Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
中文
Entry № 1080

Splunk Enterprise Security

Splunk Enterprise Security 是什么?

Splunk Enterprise SecuritySplunk Inc.(2024 年被 Cisco 收购)推出的商用 SIEM 解决方案,使用 Splunk Processing Language(SPL)对机器数据进行摄取、索引与关联,支持安全监控与调查。

Splunk Enterprise Security(ES)是构建于 Splunk 平台之上的旗舰 SIEM 应用,最初由 Splunk Inc. 开发,2024 年 3 月由 Cisco 收购。它能够索引任何带有时间戳的机器数据——防火墙、EDR、Windows 事件、syslog、云审计日志——并通过 Splunk Processing Language(SPL)用于搜索、仪表盘与关联规则。ES 内置 Common Information Model(CIM)、基于风险的告警(RBA)、MITRE ATT&CK Navigator 集成、资产与身份框架,以及 notable event 的处置流程。它可以部署于本地、Splunk Cloud,并越来越多地与 Cisco XDR 共同形成统一平台。Splunk SOAR(原 Phantom)提供 Playbook 自动化。

示例

  1. 01

    用 SPL 编写关联搜索,当 0 级主机出现 Windows 4624 type 3 事件且符合横向移动特征时告警。

  2. 02

    通过 RBA 让 24 小时内累计 MITRE 技术评分超过 100 的用户被自动突出显示。

常见问题

Splunk Enterprise Security 是什么?

Splunk Inc.(2024 年被 Cisco 收购)推出的商用 SIEM 解决方案,使用 Splunk Processing Language(SPL)对机器数据进行摄取、索引与关联,支持安全监控与调查。 它属于网络安全的 防御与运营 分类。

Splunk Enterprise Security 是什么意思?

Splunk Inc.(2024 年被 Cisco 收购)推出的商用 SIEM 解决方案,使用 Splunk Processing Language(SPL)对机器数据进行摄取、索引与关联,支持安全监控与调查。

Splunk Enterprise Security 是如何工作的?

Splunk Enterprise Security(ES)是构建于 Splunk 平台之上的旗舰 SIEM 应用,最初由 Splunk Inc. 开发,2024 年 3 月由 Cisco 收购。它能够索引任何带有时间戳的机器数据——防火墙、EDR、Windows 事件、syslog、云审计日志——并通过 Splunk Processing Language(SPL)用于搜索、仪表盘与关联规则。ES 内置 Common Information Model(CIM)、基于风险的告警(RBA)、MITRE ATT&CK Navigator 集成、资产与身份框架,以及 notable event 的处置流程。它可以部署于本地、Splunk Cloud,并越来越多地与 Cisco XDR 共同形成统一平台。Splunk SOAR(原 Phantom)提供 Playbook 自动化。

如何防御 Splunk Enterprise Security?

针对 Splunk Enterprise Security 的防御通常结合技术控制与运营实践,详见上方完整定义。

Splunk Enterprise Security 还有哪些其他名称?

常见的别称包括: Splunk ES, Splunk SIEM。

相关术语