Splunk Enterprise Security
¿Qué es Splunk Enterprise Security?
Splunk Enterprise SecuritySolucion SIEM comercial de Splunk Inc. (adquirida por Cisco en 2024) que ingiere, indexa y correlaciona datos de maquina mediante Splunk Processing Language (SPL) para monitorizacion e investigacion de seguridad.
Splunk Enterprise Security (ES) es la aplicacion SIEM estrella sobre la plataforma Splunk, desarrollada originalmente por Splunk Inc. y adquirida por Cisco en marzo de 2024. Indexa cualquier dato de maquina con marca temporal —firewalls, EDR, eventos Windows, syslog, logs cloud— y lo expone mediante Splunk Processing Language (SPL) para busquedas, dashboards y reglas de correlacion. ES incluye el Common Information Model (CIM), risk-based alerting (RBA), integracion con el ATT&CK Navigator, frameworks de activos e identidades y flujos de triaje de notable events. Se despliega on-premises, en Splunk Cloud y cada vez mas como plataforma unificada con Cisco XDR. Splunk SOAR (antes Phantom) aporta automatizacion mediante playbooks.
● Ejemplos
- 01
Escribir una busqueda de correlacion SPL para alertar de movimiento lateral con eventos Windows 4624 tipo 3 desde un host tier-0.
- 02
Usar risk-based alerting para destacar a un usuario cuyo score acumulado de tecnicas MITRE supera 100 en 24 horas.
● Preguntas frecuentes
¿Qué es Splunk Enterprise Security?
Solucion SIEM comercial de Splunk Inc. (adquirida por Cisco en 2024) que ingiere, indexa y correlaciona datos de maquina mediante Splunk Processing Language (SPL) para monitorizacion e investigacion de seguridad. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Splunk Enterprise Security?
Solucion SIEM comercial de Splunk Inc. (adquirida por Cisco en 2024) que ingiere, indexa y correlaciona datos de maquina mediante Splunk Processing Language (SPL) para monitorizacion e investigacion de seguridad.
¿Cómo funciona Splunk Enterprise Security?
Splunk Enterprise Security (ES) es la aplicacion SIEM estrella sobre la plataforma Splunk, desarrollada originalmente por Splunk Inc. y adquirida por Cisco en marzo de 2024. Indexa cualquier dato de maquina con marca temporal —firewalls, EDR, eventos Windows, syslog, logs cloud— y lo expone mediante Splunk Processing Language (SPL) para busquedas, dashboards y reglas de correlacion. ES incluye el Common Information Model (CIM), risk-based alerting (RBA), integracion con el ATT&CK Navigator, frameworks de activos e identidades y flujos de triaje de notable events. Se despliega on-premises, en Splunk Cloud y cada vez mas como plataforma unificada con Cisco XDR. Splunk SOAR (antes Phantom) aporta automatizacion mediante playbooks.
¿Cómo defenderse de Splunk Enterprise Security?
Las defensas contra Splunk Enterprise Security combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Splunk Enterprise Security?
Nombres alternativos comunes: Splunk ES, Splunk SIEM.
● Términos relacionados
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar.
- defense-ops№ 1062
SOAR
Plataforma que automatiza y orquesta los flujos de trabajo del SOC encadenando detecciones, enriquecimientos y acciones de respuesta en playbooks que se ejecutan en las herramientas de seguridad.
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- defense-ops№ 372
Elastic Stack (ELK)
Plataforma open source de Elastic N.V. que combina Elasticsearch, Logstash, Kibana y Beats para ingerir, indexar, buscar y visualizar logs de seguridad y operacion a gran escala.
- defense-ops№ 680
Microsoft Sentinel
Servicio SIEM y SOAR cloud-native de Microsoft en Azure, que consulta logs con Kusto Query Language (KQL) y se integra nativamente con Microsoft 365 Defender y orígenes de datos de Azure.
- defense-ops№ 448
Google Chronicle SecOps
SIEM y SOAR cloud-native de Google Cloud (antes Backstory) que almacena telemetria a escala de petabytes con precio plano por empleado y la consulta con el lenguaje de deteccion YARA-L.