使用 Splunk 统一您的安全运营

全运营 统使一用您Sp的lu安nk 白皮书 简关化于和使现用代Sp化lu安nk全M运is营si的on一C站on式tr指ol南统一、 处于不堪重负的被动状态。 在执当行今摘的安要全运营环境中，安全团队面临着人分员、散流在程孤和立技的术工方具面中的，挑难以战实。检现测跨、界调面查的和智响能应态数势据感分知散。在此不外同，的安系全统运中营，中限心制(了SO团C队)程调序查和动响流应基程以本及和应高级对攻新击的的复能杂力攻。击持的续需的求检使测S、O手C 的安全运营体验S。OC提供统一、简化和现代化 应用程序，可为MissionControl是一款Splunk 营我带们来通秩过序M，issionControl为您混乱的安全运 威胁检测、调查和响Mi应ss能ion力C和on数tr据ol，允使许用您响统应一化模和板响简应化操(S作OA，R并)使实现用嵌SO入C式现安代全化编。排、自动 Splunk领先的安全信息和事件管理 在结一合了个单一的工作界面中，MissionControl 态(SI系EM统)、，S提O供AR全、面威的胁安情全报运技营术体和验合。作通伙过伴了生解安全面全调见查解威和胁趋，势并的智全能貌地，应您对可业以务发风现险重。要除方了面，义简的化模安板全中操，作以，提您高还可以将操作程序编入预定 安全运营现状 安全运营团队或SOC的职责是监督组织内的 不可能实现的章程 构建和维护安全架构的集中场所，该架构通常 安全运营。SOC是信息安全专业人员使用技术全天候监控、检测、分析和响应网络安全事件。 列表）。 为全了运识营别团潜队在会的监安督全服威务胁器并、数尽据快库阻、止网它络们、，应安活用程动。序由、于终端这设种备宽、泛网的站章和程其，他安系全统运上营的团所队有经常组会织筋安疲全力状尽况。的此相外关，外团部队来还源会（监例控如可威能胁影情响报 查除了其识来别源威、识胁别之漏外洞，S并O计C划还如必何须防分止析未事件来、事调件不的断发改生善。因组此织，的您安可全以状实况时。处理安全问题，同时 都使用不同的技术，并且处于不同的成熟水 此外，并非所有SOC都是平等的。每一个 SANS 这些动态。（您可以在此下载完整的调 平。Splunk在SANS2022SOC调查中研究了查数据集。）根据这项研究和Splunk对大量 您将提升团队的速度和效率。 将SOC流程的合规性。通过 客户的观察，我们可以总结安全运营团队面临 您独Sp特lu的nk技E术nte集rp成ri堆se栈Se中c的uri安ty全(S自IE动M)化见相解结与合， 的主要挑战。 SecOps面临的主要挑战 首具先和，数重据要是的孤是立要和认脱识节到的，。您不用同于的安工全具运以营不的同工 一些工具涵盖多种功能。 的解方决式安处全事理件检时测，、在调所查有和这响些应不功同能的。工当您具尝之试间切检换测会，一花些费工大具量进的行时调间查和，精一力些。工一具些进工行具响进应行， 官很难快速了解情况。 由解于可这能些会不扩同散的，这管使理得界安面全，安分全析数师或据事和件安指全挥见 支根据持研SA究NS2022SOC调查的结果，这组挑战似整乎个得组到织了充很分好利的用验的证问。题对，于SOC能力是否被 工具和数据是孤立和脱节的 要回答是 235名受访者的首 ”。 检测、调查和响应功能分散在孤立的工具中，是 “高人员需求”。第二个最常见的障碍 实而现安智全能见态解势分感散知在。不同的界面中，因此很难 活更轻松。 SOC流程缓慢而且复杂 它您们还之有间第快二个速问执题行：具S有O挑C流战程性太。造复成杂这、太种慢局。在并面且的团最队终不原能因在是一，不个同地的方工协具执和行管不理同响的应流。因程，此能，将您所无有法工进作行流足程够集快中速在的一调起查，那和会响让应您。如的果生 道SO在C调程查序和分响散应在基不本同和的高系级统攻中击，团时队应不该知遵 业务的活动。 循什么流程。 处于不堪重负的被动模式。 境然的后反，分应析循师环发。现他自们己总不是知处所于措守，势陷，入不了断永对无威止还胁因做为出他反们应手。这动不响仅应仅警是报因，这为比不自断动有化警要报花涌费入，更另长一次的攻时击间花。事费实的上时，间手更动长响。应因比此攻，S击O者C发正起处于从事永威无胁止搜境寻的或积其压他循可环以中帮。这助使您得更分主析动师地无保法护 手分动析流师程不以知及所应措，对被新动的反复应杂没攻完击没迫了使的S警O报C、 编“排缺乏熟练的员工”，第三个是“缺乏自动化和 正统如计数Sp据lu所nk《示，20我2们2年在安自全己现的状研报究告中》也的看最到新了 这些受访者出于多种原因表达了这一观点。1.) 题导14致小了时安，全平均行成业的本高为度20精万疲美力元竭；，3.)这些问 示这，些由挑于战复。杂这性项增研加究，发他现们，很64难%满的足受安访全者要表求。工30具%堆的栈受；访者表示，他们拥有极其复杂的安全达2.)与网络安全事件相关的计划外停机时间长 人员的效率。 访者表示他们有同事因精疲力竭而辞7职3%。的受 “64%的组织发现更难满足安全要求，因为 Splunk2022年安全现状报告 •极其复杂的安全堆栈（30%，去年为 快速变化的威胁形势超过了安全计划。” 主要原因包括 •与网络安全事件相关的计划外停机时间 25% ）。 •业而内辞职73。%的人报告说，同事们因工作倦怠 为14小时，平均每小时成本为20万美元。 作这为些整挑合战的也一体部现分在，C安IS全O团对队整正合在工合具并的或渴减望少上。他样们做，使他用们的希安望全改供善应风商险和管产理品并的提数高量安。全通运过营这 退整合一步趋，势通。过威胁检测、调查和响应(TDIR)流程从整体上审视您的安全技术，可以帮助您了解这种 响应是如何S重IE叠M的和。S我O们AR在技术可以被想象成两个世界在维恩图中走到一起，以说明检测、调查和 MissionControl：准备起飞 位置。 SIEM和SOAR的技术领先地位使Splunk处于结合这些技术的理想 SIEM ·基高本级安集全合监控 ·日志管可理视化 ·数威胁据搜报寻告 调威查胁和检响测应、 SOAR ·可已操记训作录练指的标工作流符 ·定支持义的剧技本术和集进成程 个工作界面中。这意味着安全监控、日志收集和管理S以IE及M数功据能可与视行化业等领先的SOAR技术结合在一核心功能，与通过嵌 通这是过我Sp们lu对nk统M一is安sio全n运Co营nt的ro愿l，景您，可它以将集行成业S领IE先M的和SOAR功能来检测威胁、调查威胁并做出响应。 SIEM 入式行动手册和操作实现工作流程自动化的能力相融合。 SIEM SOAR 领先市场的领先市场的 SplunkEnterpriseSecurity 威胁情报 SplunkSOAR 动Mi态ss。ionControl致力于通过允许您统一、简化和现代化安全运营来解决这些不断增加的挑战和 统一TDIR功能和数据 减少确定风险所需的时间。在SplunkES和 为调了查根和据响优应先能的力见及解数采据取。通行过动单，必一须工作统界一面检，测您、可更以好看地到了安解全业见务解风险和。趋势的全貌，因此您可以更通快过地将确Sp定lu风nk险行业领先的安全技术集成到用佳户体安全验中性，。在将一威个胁工情作报界纳面入中风利险用确S定p流lun程k，的以最 的Sp切lun换k。SOAR之间双向工作，减少控制台之间 了解风险事件有多大，以便您可以优先进行调查 了解您的优先事项 Splunk 要点的有组织的事件队列中工作。使用 和响应。从包含基于风险的警报(RBA)和风险ES检测，深入了解数千种技术集成和数据源。 访更问快风地险关显闭著正事确件的的案威例胁情报上下文，以改进 下整文个可安见全性和，I缩T短基检础测设和施响的应决安策全。借事助件快的速平的均上时案间例。借助快速的上下文可视性，更快地关闭 将简您化的您操的作工程作序流整程理成预定义的模板将简化 使缩用小预检构测建和的响模应板之，间您的可差以距计划如何应对安全可以通过组”。合为分了散实在现各可个重系复统的中安的全既运定营流，程您 来创建自己的模板。通过这样做，您可以缩小 SOC团队的模板也很重要，因为SOC的人员 勒威索胁软，例件如“编码PowerShell”、“内部威胁”和“ SplunkES检测和快速事件响应之间的差距。 消除(36%)。 SOC调查中，当236名受访者被问及：“在您的 您可以SO在C瓶颈 即使具有流程知识的人员离开团队，也可以减 年最常见”70%的受访者表示会少于5年，1-3 流动率很高。当您的团队拥有可重复的流程时，轻因此造成的影响。例如，在2022年的SANS多SO快C）环？境中，员工受雇多长时间（员工流动有 的数据，包M括is任sio务n所Co有n者tro、l开中始搜时索间响、应完模成板时中间、之注类释的和指文件标。，以这查允看许您测的量团队诸在如哪任里务遇持到续瓶时颈间。改通进过衡SO量C所管有理指。标，您将知道在何处自动化和 为通了过更嵌快入实搜现索价加值快，速您度可以在响应模板中嵌入预熟配悉置程的度如Sp何lu。nk从搜索查询，无论您对SPL的 您的安全工作流程，并提高您的 访问整个 MissionControl中，您可以 规性。 SOC流程合 选项卡之间Sp进lu行nk额搜外索的U转I，换从。而避免在实例和 安全流程，实现主动、强大的安全运营。 安通全过自自动动化化应实该现融现入代到化您的日常任务中，这样过您在就可您以的实集现成安全运体营系的中现自动代化手和动强、大重化复。的通 作，以减少控制台旋转并自动响应 直自动接响在应M并iss主io动nC出o击ntrol中运行行动手册和操 板事将件指响导应S模O板C：团拥队有完预成构特建定的于事事件件响的应阶模段、安任全务事和件标做准出操准作确程、序快，速从的而响帮应助。您如确果保您对 也可以作为运营连续性的主动措施。 • 展的，团需队要经快历速人培员训更更替多，或分者析您师，开这始种快能速力发 •全安自全动编化排对、自安动全化团和队响有着应改(S变OA游R戏)：规尽则管的安通影响过，集但成很从难单快个速工应作用界到面您启的动日行常动运手营册中以。力自，动您化可整以个减安少全响体应系时中间的和任精务力和消操耗作。的能 •师案能例够管在理必：记要录时完添善加的包工含作情流报程数要据求的分自析定 义中注的释工，作并。上此传外相，这关种文类件型以的记历录史事背件景调将查允 许阻分碍析地师继在续轮进班行期，而间不轮管换分，确析保师调是查否在不受处 在利用 Splunk的连接器生态系统 ES检测。 理案例。 •SOC指标和可审计性：通过存储SOC内 用您需要的集成。IT用例中即插即 接器Sp生lu态nk系ba统se。上在访您问的安Sp全lu和nk开放而广泛的连 通解过决将您自所动在化S任OC务的集人成员到高您流的动安率全问运题营中，提高增强工作组满织意的度韧并性保。持您的SOC平稳运行。这将 在清单统一SOC过程中所需能力的 虑集成到SOC中的顶级能力类别。 为能了力统已一准您备的就安绪全。下运面营列，您出将了一需些要您确应保该某考些 SIEM •有安高全保分真析事：能件够，该在队一列个包队含列您中的查优看先您的所显据著业事务件风。险通确过定计调算查风的险优分先值级，。您通可过以可根扩数展的据数源据和技分术析，集可成以的快数速据呈见现解来。自数千个 发标生、报的告响和应可的审历计史性数。据通，过可将以自报动告化S应OC用指到这工种作类流型程的中可来见加性速将极使其您缓能慢够的在手发动现流瓶程颈， 后立即消除它们。 析师能力库中最强大的工具。 •搜强索大的的能搜力索，功分能析：师凭可借以无收需集旋上转下即文可，执向行案例间添的恶加意子事指件标，之并间确的定联各系种。设您备需和要用触户手之可及大的强环境大中搜检