Splunk企业安全引入了新的风险提醒SOC操作(RBA)功能,可以帮助组织解决警报疲劳问题。分析师为实体创建风险归因,然后风险归因被发送到风险指数。当实体的风险评分或行为模式达到预定的阈值,就会触发一个显着的事件,为分析师提供有价值的调查过程开始时的背景。RBA还可以帮助团队构建全面的收集归因,更容易构建检测跨越更长的时间,使其非常困难让攻击者使用低速和慢速策略。此外,Splunk企业安全还提供开箱即用的功能与领先的网络安全框架保持一致,例如NIST ATT&CK冠冕、独联体20日控制等等。这些框架构成了基础用于对手模拟等主动练习。Splunk飙升的自动化能力降低用于安全事件分类活动,并提供为调查过程提供更好的背景。通过基于风险的警报,这些事件将成为通知高保真警报的上下文,帮助分析师更快地发现和调查威胁。
