Splunk Enterprise Security
O que é Splunk Enterprise Security?
Splunk Enterprise SecuritySolucao SIEM comercial da Splunk Inc. (adquirida pela Cisco em 2024) que ingere, indexa e correlaciona dados de maquina usando Splunk Processing Language (SPL) para monitorizacao e investigacao de seguranca.
O Splunk Enterprise Security (ES) e a aplicacao SIEM principal construida sobre a plataforma Splunk, desenvolvida originalmente pela Splunk Inc. e adquirida pela Cisco em marco de 2024. Indexa qualquer dado de maquina com timestamp — firewalls, EDR, eventos Windows, syslog, logs de auditoria cloud — e disponibiliza-os atraves do Splunk Processing Language (SPL) para pesquisas, dashboards e regras de correlacao. O ES inclui o Common Information Model (CIM), risk-based alerting (RBA), integracao com o ATT&CK Navigator, frameworks de ativos e identidades e fluxos de triagem de notable events. E implementado on-premises, no Splunk Cloud e cada vez mais como plataforma unificada com o Cisco XDR. O Splunk SOAR (antes Phantom) fornece automacao via playbooks.
● Exemplos
- 01
Escrever uma pesquisa de correlacao SPL para alertar sobre movimento lateral via Windows 4624 tipo 3 a partir de um host tier-0.
- 02
Usar risk-based alerting para destacar um utilizador cujo score acumulado de tecnicas MITRE ultrapassa 100 em 24 horas.
● Perguntas frequentes
O que é Splunk Enterprise Security?
Solucao SIEM comercial da Splunk Inc. (adquirida pela Cisco em 2024) que ingere, indexa e correlaciona dados de maquina usando Splunk Processing Language (SPL) para monitorizacao e investigacao de seguranca. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Splunk Enterprise Security?
Solucao SIEM comercial da Splunk Inc. (adquirida pela Cisco em 2024) que ingere, indexa e correlaciona dados de maquina usando Splunk Processing Language (SPL) para monitorizacao e investigacao de seguranca.
Como funciona Splunk Enterprise Security?
O Splunk Enterprise Security (ES) e a aplicacao SIEM principal construida sobre a plataforma Splunk, desenvolvida originalmente pela Splunk Inc. e adquirida pela Cisco em marco de 2024. Indexa qualquer dado de maquina com timestamp — firewalls, EDR, eventos Windows, syslog, logs de auditoria cloud — e disponibiliza-os atraves do Splunk Processing Language (SPL) para pesquisas, dashboards e regras de correlacao. O ES inclui o Common Information Model (CIM), risk-based alerting (RBA), integracao com o ATT&CK Navigator, frameworks de ativos e identidades e fluxos de triagem de notable events. E implementado on-premises, no Splunk Cloud e cada vez mais como plataforma unificada com o Cisco XDR. O Splunk SOAR (antes Phantom) fornece automacao via playbooks.
Como se defender contra Splunk Enterprise Security?
As defesas contra Splunk Enterprise Security costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Splunk Enterprise Security?
Nomes alternativos comuns: Splunk ES, Splunk SIEM.
● Termos relacionados
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza e correlaciona telemetria de segurança em toda a organização para deteção, investigação, conformidade e reporting.
- defense-ops№ 1062
SOAR
Plataforma que automatiza e orquestra workflows do SOC, encadeando deteções, enriquecimentos e ações de resposta em playbooks executados nas várias ferramentas de segurança.
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- defense-ops№ 372
Elastic Stack (ELK)
Plataforma open source da Elastic N.V. que combina Elasticsearch, Logstash, Kibana e Beats para ingerir, indexar, pesquisar e visualizar logs de seguranca e operacionais em larga escala.
- defense-ops№ 680
Microsoft Sentinel
Servico SIEM e SOAR cloud-native da Microsoft em Azure, que consulta logs com Kusto Query Language (KQL) e integra nativamente com Microsoft 365 Defender e fontes de dados Azure.
- defense-ops№ 448
Google Chronicle SecOps
SIEM e SOAR cloud-native do Google Cloud (antes Backstory) que armazena telemetria a escala de petabytes com preco fixo por empregado e a consulta com a linguagem de detecao YARA-L.