白皮书探讨了检测未知恶意软件和勒索软件的方法,特别是在Windows环境中。传统的基于签名的反恶意软件解决方案依赖于已知的签名列表,但这种方法无法检测所有新型威胁。相反,组织需要利用可以从Windows基础结构收集的Windows系统活动事件,通过查看在Windows端点上创建的所有进程和会话来确定什么是正常的,什么是异常的。Splunk转发器可以从端点实时收集Windows基础架构的Sysmon数据,并将与分析异常相关的事件传输到端点。Splunk平台提供了两个关键功能来解决充分利用系统内部事件来检测已知高级恶意软件感染的早期迹象的挑战:Windows活动集合和用于搜索和分析异常的分析基础。通过对数据应用分析方法,Splunk平台允许用户通过消除统计计算中的正常模式来识别活动端点中的异常。无论组织是否已经拥有端点安全解决方案,丰富的信息都为评估端点的安全性提供了重要价值。
