白皮书介绍了一种采用Splunk的分析驱动型安全平台作为SIEM的方法,以改善安全状况。该平台需要集中和聚合所有与安全相关的事件,支持多种接收、采集机制,支持检测先进和未知的威胁,提供针对高级违规分析的数据的临时搜索和报告,调查事件并进行取证调查以进行详细的事件分析,评估和报告合规的姿势,使用分析和报告安全姿势,通过简化的临时分析和事件排序跟踪攻击者的行动,跨安全堆栈集中自动执行检索、共享和响应,评估来自云、本地和混合应用和数据源的威胁。该平台可以支持大量的数据,提供一个存储库来基准正常的用户和流量活动,检测可能是高级威胁的异常和异常值,提供经济高效的扩展,使用多种机制指数任何数据,提供丰富的合作伙伴生态系统,提供对所有数据值和数据字段的访问,没有模式或正常化可以搜索、报告所有数据源中的所有值和字段,并将其关联为预定义的警报或临时调查。
