Splunk Phantom 是一种安全编排、自动化和响应 (SOAR) 工具,旨在帮助安全团队更智能地工作、更快地应对威胁并加强防御。它通过将团队、流程和工具集成在一起,提高 SOC 效率,缩短安全技能差距,并支持广泛的 SOC 功能,包括事件和案例管理、协作和报告。Phantom 还提供了事件丰富和程序化的分类,以消除噪音,以机器速度预获取威胁情报,支持决策,并为人类分析确定最关键事件的优先级。此外,它还可以自动执行恶意软件调查中的重复步骤,提高安全性,并降低总体平均解决时间 (MTTR)。Phantom 还帮助安全团队更快地调查和应对威胁,从任务控制界面执行调查性质的安全动作,例如将文件提交到沙箱并查询威胁情报服务,而不会丢失调查的上下文。
