Splunk Enterprise Security
Что такое Splunk Enterprise Security?
Splunk Enterprise SecurityКоммерческая SIEM от Splunk Inc. (приобретена Cisco в 2024 году), которая собирает, индексирует и коррелирует машинные данные через Splunk Processing Language (SPL) для мониторинга и расследования инцидентов.
Splunk Enterprise Security (ES) — флагманское SIEM-приложение на платформе Splunk, изначально разработанное Splunk Inc. и приобретённое Cisco в марте 2024 года. Оно индексирует любые машинные данные с временной меткой — журналы файрволов, EDR, события Windows, syslog, облачные аудит-трассы — и делает их доступными через Splunk Processing Language (SPL) для поиска, дашбордов и правил корреляции. ES поставляется с Common Information Model (CIM), risk-based alerting (RBA), интеграцией ATT&CK Navigator, фреймворками активов и идентичностей и процессами разбора notable events. Развёртывается локально, в Splunk Cloud и всё чаще как единая платформа вместе с Cisco XDR. Splunk SOAR (ранее Phantom) обеспечивает автоматизацию через плейбуки.
● Примеры
- 01
Корреляционный SPL-поиск, который сигнализирует о латеральном перемещении при событии Windows 4624 типа 3 c tier-0 хоста.
- 02
Использование risk-based alerting для выделения пользователя, накопленный счёт техник MITRE которого превысил 100 за 24 часа.
● Частые вопросы
Что такое Splunk Enterprise Security?
Коммерческая SIEM от Splunk Inc. (приобретена Cisco в 2024 году), которая собирает, индексирует и коррелирует машинные данные через Splunk Processing Language (SPL) для мониторинга и расследования инцидентов. Относится к категории Защита и операции в кибербезопасности.
Что означает Splunk Enterprise Security?
Коммерческая SIEM от Splunk Inc. (приобретена Cisco в 2024 году), которая собирает, индексирует и коррелирует машинные данные через Splunk Processing Language (SPL) для мониторинга и расследования инцидентов.
Как работает Splunk Enterprise Security?
Splunk Enterprise Security (ES) — флагманское SIEM-приложение на платформе Splunk, изначально разработанное Splunk Inc. и приобретённое Cisco в марте 2024 года. Оно индексирует любые машинные данные с временной меткой — журналы файрволов, EDR, события Windows, syslog, облачные аудит-трассы — и делает их доступными через Splunk Processing Language (SPL) для поиска, дашбордов и правил корреляции. ES поставляется с Common Information Model (CIM), risk-based alerting (RBA), интеграцией ATT&CK Navigator, фреймворками активов и идентичностей и процессами разбора notable events. Развёртывается локально, в Splunk Cloud и всё чаще как единая платформа вместе с Cisco XDR. Splunk SOAR (ранее Phantom) обеспечивает автоматизацию через плейбуки.
Как защититься от Splunk Enterprise Security?
Защита от Splunk Enterprise Security обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Splunk Enterprise Security?
Распространённые альтернативные названия: Splunk ES, Splunk SIEM.
● Связанные термины
- defense-ops№ 1039
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
- defense-ops№ 1062
SOAR
Платформа, автоматизирующая и оркеструющая процессы SOC за счёт сценариев (playbooks), объединяющих обнаружения, обогащение данных и действия по реагированию во множестве инструментов безопасности.
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- defense-ops№ 372
Elastic Stack (ELK)
Открытая платформа Elastic N.V., объединяющая Elasticsearch, Logstash, Kibana и Beats для приёма, индексации, поиска и визуализации журналов безопасности и эксплуатации в большом масштабе.
- defense-ops№ 680
Microsoft Sentinel
Облачный сервис SIEM и SOAR от Microsoft на Azure, который запрашивает журналы на Kusto Query Language (KQL) и нативно интегрируется с Microsoft 365 Defender и источниками данных Azure.
- defense-ops№ 448
Google Chronicle SecOps
Облачная SIEM/SOAR от Google Cloud (ранее Backstory), которая хранит петабайтные объёмы телеметрии по фиксированной цене за сотрудника и запрашивает их на языке детекций YARA-L.