白皮书系列的目的是探讨如何通过机器数据和机器学习来发现未知威胁和恶意内部人员。传统的信息安全方法依赖于签名和规则,但这些方法无法检测到不存在规则和签名的未知威胁。白皮书提出,机器数据可以提供对用户与机器之间交互以及机器对机器通信的深刻见解,从而为开始寻找未知数提供了绝佳的场所。机器学习和行为分析可以帮助安全分析师更深入地了解针对企业的高级威胁和恶意内部人员。Splunk Enterprise通过其大规模可扩展的收集和分析机器数据的方法,加上其机器学习和行为分析引擎,具有独特的优势,可以提供对这些未知威胁的洞察。白皮书还讨论了组织在深度防御技术上的花费,以及这些技术对保护组织的必要性,但并不能对抗现代网络攻击或从内部产生的攻击。白皮书强调了Splunk UBA(用户行为分析)的重要性,它可以帮助组织实时发现未知因素,而无需使用规则、签名或人工分析。白皮书还详细介绍了如何通过异常聚合、协同过滤、异常值分析、基于时间的概率图分析等多种算法来识别异常行为,并确定哪些行为组合代表威胁,哪些是简单的异常操作。最后,白皮书提出了威胁的两个主要类别:外部威胁和内部威胁,并详细介绍了被盗用帐户的数据泄露的具体威胁。
