8 Августа, 2018

Зачем вам нужен Splunk? Аналитика событий безопасности

Евгений Ольков


Было ли нарушение информационной безопасности предприятия? Какие внутренние угрозы есть у организации? Как и насколько быстро мы можем обнаружить, заблокировать или остановить атаку? В этой статье мы расскажем, как вам может помочь Splunk в поиске ответов на эти вопросы.


Этой статьей мы продолжаем цикл статей о том, для решения каких задач можно использовать Splunk и сегодня мы будем подробнее разбираться с тем, как можно использовать Splunk для аналитики событий безопасности.



В реалиях сегодняшнего дня предприятиям уже недостаточно простого мониторинга традиционных событий, им нужны решения, способные адаптироваться к современным угрозам, ускоряющие скорость реагирования на инциденты и дающие возможность выявлять и устранять известные и неизвестные угрозы.



Давайте разберемся подробнее, какие задачи решает Splunk для обеспечения безопасности:

Мониторинг в реальном времени



Ускорение реакции является сложной задачей в современных сложных ИТ-средах. Splunk позволяет получать четкое и наглядное представления о состоянии безопасности организации в текущий момент, а также содержит удобную настройку представлений и детализацию данных вплоть до базовых событий. Использование непрерывного мониторинга, статических и динамических поисков или визуальных корреляций для определения вредоносной активности сокращает время реагирования. А также Splunk предоставляет аналитикам инструменты для определения приоритетов для более быстрого реагирования на угрозы с более высоким приоритетом.

Обнаружение сложных угроз




С помощью Splunk можно отслеживать разные стадии сложной угрозы и объединять взаимосвязанные события. Взаимосвязи определяются по любому полю, любым данным и на любом временном интервале. Splunk позволяет аналитикам безопасности применять расширенный статистический анализ и методы машинного обучения для выявления выбросов и аномалий, которые позволяют выявить неизвестные и сложные угрозы.

Внутренние угрозы



Splunk служит для выявления злонамеренных действий сотрудников и других внутренних угроз до того, как произойдет кража конфиденциальных данных, их повреждение или злоупотребление полномочиями. С помощью Splunk можно определить неправильное использование разрешений, аномальное поведение, даже в случае использования законных учетных записей, уровней доступа или источников. Например, чрезмерно длительные сеансы, нестандартное время или входа. А накапливаемые данные о различных действиях пользователя позволяют основывать исследования на исторических данных. В Splunk возможна интеграция с Active Directory или базами данных HR для получения информации о сотрудниках.

Расследование инцидентов



Splunk позволяет анализировать инциденты для определения обстоятельств и масштабов инцидента. Это достигается с помощью поиска и нахождения корреляций по ключевым словам, терминам или значениям для различных сетевых устройств, хостов, считывателей и т.д. Для аналитиков безопасности это дает широкий контекст инцидента, что помогает быстрее и лучше оценивать уровень угрозы, определять причины и следствия.

Автоматизация гетерогенных систем



Архитектуры безопасности обычно включают в себя различные уровни инструментов и продуктов. Как правило, они не предназначены для совместной работы и содержат пробелы в вопросах работы специалистов по безопасности по установке связей между разными доменами. Splunk устраняет эти пробелы, обеспечивая единый интерфейс для автоматического извлечения данных, что позволяет строить комплексную аналитику и реагировать на угрозы в средах с продуктами разных поставщиков.

Обнаружение мошенничества



С помощью поиска и анализа данных в реальном времени, обнаружения и исследования выбросов и аномалий на основе исторических данных можно выявить мошеннические действия, определить влияние и масштаб мошенничества.

Обзор основных готовых решений:


Splunk Enterprise Security




Splunk Enterprise Security (ES) — система управления информационной безопасностью и событиями (англ. Security and information event management, SIEM), которая формирует подробную картину машинных данных, создаваемых различными технологиями безопасности (сеть, конечные точки, доступ, вредоносные программы, уязвимость). Благодаря Splunk Enterprise Security специалисты по безопасности могут быстро обнаруживать внутренние и внешние атаки и принимать ответные меры. Это позволяет упростить операции по защите от угроз, минимизировать риск и обеспечить безопасность бизнеса. Splunk Enterprise Security оптимизирует все аспекты защиты и подходит для организаций любого масштаба и профессионального уровня.

Видео-обзор можно посмотреть тут

Организации по всему миру используют Splunk Enterprise Security (ES) в качестве SIEM для мониторинга безопасности, расширенного обнаружения угроз, реагирования на инциденты и использования широкого спектра аналитических приложений для анализа безопасности.

Осенью 2017 года Gartner опубликовал свой магический квадрант по рынку решений по управлению информационной безопасности и событиями безопасности, где Splunk был назван одним из лидеров на этом рынке.



Splunk User Behavior Analytics




Splunk User Behavior Analytics (Splunk UBA) помогает компаниям находить скрытые угрозы и аномальное поведение пользователей, устройств и приложений с помощью алгоритмов машинного самообучения, аналитики базовых линий поведения пользователей и одноранговых групп. Таким образом организации могут обнаруживать постоянные угрозы повышенной сложности (advanced persistent threat, APT), заражения вредоносными программами и внутренние угрозы. Splunk UBA обеспечивает рабочие процессы аналитиков и разработчиков процедур безопасности, требует минимума администрирования и интегрируется с существующей инфраструктурой для обнаружения скрытых угроз.

Видео–обзор по этой ссылке

PCI Compliance



Приложение Splunk для PCI Compliance (для Splunk Enterprise) — это разработанное и поддерживаемое Splunk приложение, призванное помочь организациям удовлетворить требованиям PCI DSS 3.2. С помощью приложения анализируются и измеряются эффективность и статус соответствия PCI в режиме реального времени. Оно также может определять и устанавливать приоритеты в любых областях управления, которые могут потребоваться, и вы также можете быстро обратиться к любому отчету или запросу данных.

Приложение предоставляет готовые поисковые запросы, информационные панели, отчеты, инфраструктуру реагирования на инциденты и интеграцию с информацией о сотрудниках и устройствах, чтобы обеспечить вам видимость активности системы, приложений и устройств, относящихся к соблюдению PCI.

Видео-обзор можно посмотреть тут

Если вы все еще не пробовали Splunk, то самое время начать, бесплатная версия до 500Мб в сутки доступна всем желающим. А если у вас есть вопросы или проблемы со Splunk — вы можете задать их нам , а мы поможем.

Мы являемся официальным Premier Партнером Splunk .