Splunk Enterprise Security
O que é Splunk Enterprise Security?
Splunk Enterprise SecuritySolucao SIEM comercial da Splunk Inc. (adquirida pela Cisco em 2024) que ingere, indexa e correlaciona dados de maquina usando Splunk Processing Language (SPL) para monitorizacao e investigacao de seguranca.
O Splunk Enterprise Security (ES) e a aplicacao SIEM principal construida sobre a plataforma Splunk, desenvolvida originalmente pela Splunk Inc. e adquirida pela Cisco em marco de 2024. Indexa qualquer dado de maquina com timestamp — firewalls, EDR, eventos Windows, syslog, logs de auditoria cloud — e disponibiliza-os atraves do Splunk Processing Language (SPL) para pesquisas, dashboards e regras de correlacao. O ES inclui o Common Information Model (CIM), risk-based alerting (RBA), integracao com o ATT&CK Navigator, frameworks de ativos e identidades e fluxos de triagem de notable events. E implementado on-premises, no Splunk Cloud e cada vez mais como plataforma unificada com o Cisco XDR. O Splunk SOAR (antes Phantom) fornece automacao via playbooks.
● Exemplos
- 01
Escrever uma pesquisa de correlacao SPL para alertar sobre movimento lateral via Windows 4624 tipo 3 a partir de um host tier-0.
- 02
Usar risk-based alerting para destacar um utilizador cujo score acumulado de tecnicas MITRE ultrapassa 100 em 24 horas.
● Perguntas frequentes
O que é Splunk Enterprise Security?
Solucao SIEM comercial da Splunk Inc. (adquirida pela Cisco em 2024) que ingere, indexa e correlaciona dados de maquina usando Splunk Processing Language (SPL) para monitorizacao e investigacao de seguranca. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Splunk Enterprise Security?
Solucao SIEM comercial da Splunk Inc. (adquirida pela Cisco em 2024) que ingere, indexa e correlaciona dados de maquina usando Splunk Processing Language (SPL) para monitorizacao e investigacao de seguranca.
Como se defender contra Splunk Enterprise Security?
As defesas contra Splunk Enterprise Security costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Splunk Enterprise Security?
Nomes alternativos comuns: Splunk ES, Splunk SIEM.