Splunk 转寄器可让使用者从端点实时收集Windows 基础架构的 Sysmon 资料。 Splunk 平台提供两个重要功能,可解决利用 Sysinternals 事件来侦测已知进阶型恶意软件感染的早期迹象的难题:收集 Windows 活动: Splunk 的 Windows 操作系统型转寄器可从事件日志收集所有 Sysinternals 数据。提供用来收集所有 Windows 数据 (事件日志、Sysinternals、效能监控、档案) 的简单代理程序。提供安全且高度可靠的传输方式,将数据集中在分析平台中。 Sysmon 专用格式化与处理能力,可立即套用分析。搜寻及分析异常情况的分析基础:使用简单的搜索、统计加总和计算,找出处理程序建立数据中的罕见值。透视不同的端点标准,以动态获得结果。套用机器学习。 Splunk 平台可让使用者去除统计计算中的正常模式,以识别出活动端点中的异常情况。这项技术可广泛使用在 Windows 型服务器基础架构,或用来收集所有 Windows 客户端的 Sysinternals 事件。本使用案例可运用在大多数的安全营运上。无论组织是否已拥有端点安全解决方案,这些丰富的信息皆可为端点安全评估提供重要价值,Sysinternals 甚至还可以为其他 IT 营运和服务分析提供更多相关信息。资料来源:侦测 Windows 端点上是否存在恶意软件活动所需的数据源,是 Sysinternals 使用 Sysmon 从 Windows 事件日志收集而得。组织可以安装 Microsoft 提供的 Sysmon,然后安装 Splunk 转寄器定义出需要收集和筛选的内容,以便取得详细信息。这些 Sysinternals 的数据是寻找特殊活动迹象的一个起点,但我们还要追踪受感染方式和内容的其他关联性,因此建议进一步撷取 Proxy、IDS/IPS、DNS/数据流数据,以根除可能感染的路径,然后确定范围并缓解事件。透过 Splunk 平台,使用者可以发现威胁并采取行动,以保护组织免受恶意软件和勒索软件的侵害。
