Splunk Enterprise Security
Что такое Splunk Enterprise Security?
Splunk Enterprise SecurityКоммерческая SIEM от Splunk Inc. (приобретена Cisco в 2024 году), которая собирает, индексирует и коррелирует машинные данные через Splunk Processing Language (SPL) для мониторинга и расследования инцидентов.
Splunk Enterprise Security (ES) — флагманское SIEM-приложение на платформе Splunk, изначально разработанное Splunk Inc. и приобретённое Cisco в марте 2024 года. Оно индексирует любые машинные данные с временной меткой — журналы файрволов, EDR, события Windows, syslog, облачные аудит-трассы — и делает их доступными через Splunk Processing Language (SPL) для поиска, дашбордов и правил корреляции. ES поставляется с Common Information Model (CIM), risk-based alerting (RBA), интеграцией ATT&CK Navigator, фреймворками активов и идентичностей и процессами разбора notable events. Развёртывается локально, в Splunk Cloud и всё чаще как единая платформа вместе с Cisco XDR. Splunk SOAR (ранее Phantom) обеспечивает автоматизацию через плейбуки.
● Примеры
- 01
Корреляционный SPL-поиск, который сигнализирует о латеральном перемещении при событии Windows 4624 типа 3 c tier-0 хоста.
- 02
Использование risk-based alerting для выделения пользователя, накопленный счёт техник MITRE которого превысил 100 за 24 часа.
● Частые вопросы
Что такое Splunk Enterprise Security?
Коммерческая SIEM от Splunk Inc. (приобретена Cisco в 2024 году), которая собирает, индексирует и коррелирует машинные данные через Splunk Processing Language (SPL) для мониторинга и расследования инцидентов. Относится к категории Защита и операции в кибербезопасности.
Что означает Splunk Enterprise Security?
Коммерческая SIEM от Splunk Inc. (приобретена Cisco в 2024 году), которая собирает, индексирует и коррелирует машинные данные через Splunk Processing Language (SPL) для мониторинга и расследования инцидентов.
Как защититься от Splunk Enterprise Security?
Защита от Splunk Enterprise Security обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Splunk Enterprise Security?
Распространённые альтернативные названия: Splunk ES, Splunk SIEM.