Splunk企业安全可以帮助安全团队提高对环境的可见性,以便更快地检测和响应威胁。前5名的用例包括:1. 妨碍凭证泄露:Splunk可以识别用户凭据所在的实例遭到入侵并被授权人员以外的人使用或应用程序。2. 特权用户妥协:Splunk可以利用基于风险的警报(RBA)来检测复杂的威胁,将风险归因于用户和实体,并且仅在行为时触发警报超过阈值并遵守某些MITRE ATT&CK策略。3. 帮助识别内部威胁:Splunk可以识别内部威胁,包括有权访问特权的员工或承包商信息有意或无意地滥用其访问权限来伤害他们工作的公司。
