《Splunk：2024安全數據基本指南（20頁）.pdf》由會員分享，可在線閱讀，更多相關《Splunk：2024安全數據基本指南（20頁）.pdf（20頁珍藏版）》請在三個皮匠報告上搜索。

1、安全數據基本指南時間序列數據。流式數據。數據的崛起。在世界各地的大多數組織中，數據仍然沒有得到充分利用和應有的重視，這不是什么秘密。盡管人們經常談論數據驅動的決策，但各種規模的組織仍然不知道如何有效地捕獲和使用每天從他們的用戶、外部行業資源或自己的網絡設備產生的海量數據。然而，網絡罪犯正在意識到，數據有時比石油更有價值，因為數據與石油類似，它可以經過提煉，變成一種商品，賣給出價最高的人。安全團隊不僅要應對數據的增加和組織范圍的擴大，還要應對復雜的網絡攻擊。他們需要可見性和情境見解，以便有效地調查和響應本地、混合和多云環境中的安全事件。事實上，73%的組織通過借助分析工具，利用其他數據源豐富了他

2、們的安全分析方法。對 IT、安全性和組織的重要見解隱藏在這些數據中。數據可以保存客戶和用戶所有活動和行為、交易、應用程序、服務器、網絡、移動設備等數據源的明確記錄。來自配置、API、消息隊列、診斷輸出、工業系統傳感器等數據源的所有關鍵信息都包含在數據中，我們需要通過正確的方式訪問這些數據。通過正確的方法，數據可以輕松實現以下目標：在企業的每個方面做出更明智的決策。更高效地開展業務運營。優化用戶和客戶體驗。檢測欺詐，或者完全杜絕這些風險。在潛在的災難發生之前發現它們。發現隱藏的趨勢，幫助公司在競爭中取勝。讓每個用戶看起來像個英雄。等等對大多數公司收集的大量數據加以利用所面臨的挑戰是，這些數據的格

3、式令人眼花繚亂，傳統的數據監控和分析工具無法處理。許多工具無法跟上層出不窮的數據結構、數據源或時間刻度。它也遠遠超出了機器數據的范疇。但對數據進行利用的好處是巨大的，而這正是 Splunk 用武之地。通過 Splunk，我們可以將數據引入組織中的每個問題、決策和行動中，進而產生有意義的結果。與任何其他平臺不同的是，Splunk 可以真正從任何來源獲取任何數據，并推動實際行動，從 IT 基礎設施和安全監控到 DevOps 和應用程序性能監控和管理，從而使企業受益。適用于混合環境 的數據平臺 使用數據：能夠從數據中獲得最大價值的組織是那些能夠使用不同的數據類型，豐富它們并提取答案的組織。但如果不知

4、道要采集哪些數據，企業開始實施成功方案的計劃就會受阻。熟悉安全、IT 運維、業務分析、DevOps、物聯網(IoT)等領域的通用用例（包括涉及的數據類型和來源）可以讓您快速步入正軌。下面是一個示例：1.客戶的訂單沒有通過2.客戶打電話給支持團隊來解決該問題3.等待很長一段時間后，客戶放棄了，并在網上發帖吐槽這家公司機器數據是什么樣的？Machine Data Contains Critical Insights來源訂訂單單處處理理Twitter交交互互式式語語音音應應答答中中間間件件錯錯誤誤ORDER,05-21T14:04:12.484,10098213,569281734,67.17.10

5、.12,43CD1A7B8322,SA-2100MAY 21 14:04:12.996 wl- Order 569281734 failed for customer 10098213.Exception follows:weblogic.jdbc.extensions.ConnectionDeadSQLException:mon.resourcepool.ResourceDeadException:Could not create pool connection.TheDBMS driver exception was:BEAOracle JDBC Driver Error establis

6、hing socket to host and port:ACMEDB-01:1521.Reason:Connection refused05/21 16:33:11.238 CONNEVENT Ext 1207130(0192033):Event 20111,CTI Num:ServID:Type0:19:9,App 0,ANI T7998#1,DNIS 5555685981,SerID 40489a07-7f6e-4251-801a-13ae51a6d092,Trunk T451.1605/21 16:33:11:242 SCREENPOPEVENT SerID 40489a07-7f6e

7、-4251-801a-13ae51a6d092CUSTID 1009821305/21 16:37:49.732 DISCEVENT SerID 40489a07-7f6e-4251-801a-13ae51a6d092actor:displayName:“Go team!”,followersCount:1366,friendsCount:789,link:http:/ buythis device from ACME.Site doesnt work!Called,gave up on waiting for them to answer!RT ifyou hate ACME!”,objec

8、tType:“activity”,postedTime:“05-21T16:39:40.647-0600”圖 1：數據可以來自任何數量的來源，乍一看，可能像隨機文本。圖 2：數據的價值隱藏在看似隨機的文本中。Machine Data Contains Critical InsightsCustomer IDOrder IDCustomer IDProduct IDORDER,05-21T14:04:12.484,10098213,569281734,67.17.10.12,43CD1A7B8322,SA-2100MAY 21 14:04:12.996 wl- Order 569281734 f

9、ailed for customer 10098213.Exception follows:weblogic.jdbc.extensions.ConnectionDeadSQLException:mon.resourcepool.ResourceDeadException:Could not create pool connection.TheDBMS driver exception was:BEAOracle JDBC Driver Error establishing socket to host and port:ACMEDB-01:1521.Reason:Connection ref

10、used05/21 16:33:11.238 CONNEVENT Ext 1207130(0192033):Event 20111,CTI Num:ServID:Type0:19:9,App 0,ANI T7998#1,DNIS 5555685981,SerID 40489a07-7f6e-4251-801a-13ae51a6d092,Trunk T451.1605/21 16:33:11:242 SCREENPOPEVENT SerID 40489a07-7f6e-4251-801a-13ae51a6d092CUSTID 1009821305/21 16:37:49.732 DISCEVEN

11、T SerID 40489a07-7f6e-4251-801a-13ae51a6d092actor:displayName:“Go team!”,followersCount:1366,friendsCount:789,link:http:/ buythis device from ACME.Site doesnt work!Called,gave up on waiting for them to answer!RT ifyou hate ACME!”,objectType:“activity”,postedTime:“05-21T16:39:40.647-0600”Order IDCust

12、omers Twitter IDCustomer IDTime waiting on holdCustomers TweetCompanys Twitter IDTwitter來源訂訂單單處處理理交交互互式式語語音音應應答答中中間間件件錯錯誤誤機器數據包含重要的見解監控調查分析行動客戶 ID客戶 ID客戶 ID訂單 ID訂單 ID產品 ID客戶 Twitter ID公司 Twitter ID客戶的推文等待時間暫停通過獲取流程中涉及的所有數據（即從訂單處理、中間件、交互式語音響應系統和 Twitter 提取信息），組織可以全面 了解客戶體驗問題。安全數據組織必須利用一切可以利用的資源來抵御網絡攻

13、擊、持久的高級威脅，并防止惡意軟件輕而易舉破壞整個網絡。安全分析師終日埋頭于各種層出不窮的安全警報。分析師無法處理每天出現的所有警報，這就導致調查和響應時間緩慢。此外，SOC 人員短缺，全球范圍內都缺乏合格的安全分析師來填補空缺。鑒于云遷移的復雜性、網絡從 4G 過渡到 5G、連接設備的數量接近 800 億，以及我們在生活中變得越來越依賴自動化，這些挑戰只會越來越大。其中一個最重要的資源，也是經常被忽視的資源就是數據，組織可以利用數據來解決這些安全挑戰。數據無處不在，我們可以用它來抵御最新的網絡威脅。能夠對這些轉型帶來的功能和它們創建的數據加以利用的公司將更高效、更易于獲利、更具創新意識，并最

14、終實現更加安全的效果。本電子書展示了三家公司如何利用數據抵御最新的網絡威脅，并通過許多示例講解如何應對 IT 運營、物聯網、DevOps 和業務分析方面的挑戰。安全性和合規性IT 運維、應用程序交 付和開發運維機器數據包含重要的見解Machine Data Contains Critical InsightsCustomer IDOrder IDCustomer IDProduct IDORDER,05-21T14:04:12.484,10098213,569281734,67.17.10.12,43CD1A7B8322,SA-2100MAY 21 14:04:12.996 wl- Order

15、 569281734 failed for customer 10098213.Exception follows:weblogic.jdbc.extensions.ConnectionDeadSQLException:mon.resourcepool.ResourceDeadException:Could not create pool connection.TheDBMS driver exception was:BEAOracle JDBC Driver Error establishing socket to host and port:ACMEDB-01:1521.Reason:Co

16、nnection refused05/21 16:33:11.238 CONNEVENT Ext 1207130(0192033):Event 20111,CTI Num:ServID:Type0:19:9,App 0,ANI T7998#1,DNIS 5555685981,SerID 40489a07-7f6e-4251-801a-13ae51a6d092,Trunk T451.1605/21 16:33:11:242 SCREENPOPEVENT SerID 40489a07-7f6e-4251-801a-13ae51a6d092CUSTID 1009821305/21 16:37:49.

17、732 DISCEVENT SerID 40489a07-7f6e-4251-801a-13ae51a6d092actor:displayName:“Go team!”,followersCount:1366,friendsCount:789,link:http:/ buythis device from ACME.Site doesnt work!Called,gave up on waiting for them to answer!RT ifyou hate ACME!”,objectType:“activity”,postedTime:“05-21T16:39:40.647-0600”

18、Order IDCustomers Twitter IDCustomer IDCompanys Twitter IDTime waiting on holdCustomers TweetSourcesOrder ProcessingCare IVRMiddleware ErrorTwitter圖 3：通過將不同類型的數據關聯在一起，您可以開始深入了解您的基礎架構正在發生的變化，查看安全威脅，甚至利用洞察力推動更好的業務決策。等待時間暫?？蛻舻耐莆目蛻?ID客戶 ID客戶 ID訂單 ID訂單 ID產品 ID客戶 Twitter ID公司 Twitter ID來源訂單處理中間件錯誤交互式語 音應答

19、目錄案例研究.6通過數據智能創新改變 Intel 的安全態勢.6NewYork-Presbyterian 醫院與 Splunk 聯合對抗阿 片類藥物危機.8將威脅情報納入行動手冊.10安全數據.12認證數據.12殺毒軟件.13郵件服務器.13漏洞掃描.14Web 服務器.15防火墻.16入侵檢測/防御.16網絡訪問控制(NAC).17網絡交換機.17代理.18系統日志.18服務器日志.19通過數據智能創新改變 Intel 的安全態勢行業 t 科技Splunk 使用案例 t 安全 t 網絡安全事件響應管理 t 安全監控 t 應用監控挑戰 t 轉向以數據為中心的業務模型可以增加數據價值，但也會讓漏

20、洞增多 t 傳統 SIEM 已經無法滿足需要 t 眾多毫無關聯的數據孤島和提供不同數據分析解釋的團隊業務影響 t 實現了信息安全管控方式的轉型 t 只需幾分鐘或幾小時（無需數天或數周）即可檢測出復雜的威脅 t 提供統一的協作方案來管理網絡安全 t 為 Intel 的整個 InfoSec 組織提供網絡情報平臺Splunk 產品 t Splunk Enterprise t Splunk Enterprise Security t Splunk IT 服務智能(ITSI)t VictorOps t Splunk Mission Control執行摘要Intel 對社會的影響和技術貢獻不可估量。公司的

21、工程專業技術正在幫助確保數十億臺設備以及智能網絡基礎設施的安全、性能和連接。同樣難以高估的是安全數據作為組織最重要資產的重要性。以 Splunk和 Apache Kafka 為基礎，Intel IT 開發了一個可以通過以下方式轉變其信息安全方法的全新網絡情報平臺：加速數據分析，減少檢測和響應高級威脅的時間 支持具有通用語言和工作界面的協作組織 提供流處理和機器學習工具，以在更多領域（如安全 運維和系統運行狀況）提供業務價值數據就是一切Intel 已經從以 PC 為中心的公司轉變為以數據為中心的 公司?，F在，公司正在開發新產品，進入新市場并以創新 方式吸引新客戶?！皵祿褪且磺?；數據才是王道。它

22、可以推動業務發展；它可以為一切提供發展動力，”Intel 首席信息安全官 Brent Conran 這樣說道?！八诟淖儌鹘y行業和云原生行業。從數據中獲得精準分析的能力是決定企業成敗的關鍵?！薄拔覀兛吹搅藵摿?，并且因為看到了潛力，所以我們正在投入時間、精力和資源。我們希望 Splunk 方案獲得成功，因為我們認為這將幫助我們完成任務?！盜ntel 首席信息安全官 Brent Conran數據基本指南|Splunk6 更加強調和依賴數據需要 Intel 的信息安全(InfoSec)組織構建并保有全面的“縱深防御”策略。團隊在多個級別（包括外設、網絡、端點、應用程序和數據層）實現了預防和檢測工具

23、的自動化，以應對 Intel 整體環境中 99 的威脅。捕獲百分之一高級威脅的頻率和復雜程度持續增加。而且，陳舊的 SIEM 讓組織不堪重負，無法再滿足組織的需要。只有少數專家知道如何使用這一陳舊的 SIEM，而且隨著對更多數據類型的需求不斷增長，它無法實現擴展。Intel InfoSec 需要一種策略來檢測企圖滲透到組織環境中的復雜威脅-Intel InfoSec 稱之為捕獲百分之一。這一策略促使 Intel 開發了以 Splunk 和 Apache Kafka 等領先技術為中心的網絡智能平臺(CIP)。借助基于 Intel Xeon Platinum 處理器、Intel 3D NAND 固

24、態硬盤(SSD)和 Intel Optane SSD 的高性能服務器，全新 CIP 平臺每天可攝取 12 TB 以上的數據，并存儲 15 PB 的數據。數據從數百個來源流向 Kafka 消息總線，然后進入用戶每周會執行 130 多萬次搜索的 Splunk 平臺。借助 Splunk Data-to-Everything 平臺和數百種第三方工具，InfoSec 組織現在可實現情景豐富的可見性和通用的工作界面，進而提高整個 InfoSec 組織的效率?，F在，只需數小時或數分鐘，團隊就可以檢測到威脅并做出適 當的響應，而以前則需要數周或數小時。擴展 Intel 的網絡智能平臺CIP 的結果帶來了更多的

25、數據源、新的用例以及更多的數據模型。很快，CIP 的使用擴展到了漏洞管理、合規及執行、風險管理等團隊，這對基礎設施提出了額外的要求，同時要求更快的計算和存儲速度。為了最大程度地發揮平臺的性能，Intel 的安全解決方案架構師和工程師需要對 Splunk 平臺和 Intel 技術進行更加深入的了解。Splunk 與 Intel 的協作團隊開發了一種聯合參考配置，以幫助指導 CIP 使用最新的 Intel 產品和技術在計算、內存和存儲方面進行擴展。Splunk 和 Intel 現在可與 IT 部門的同事分享他們的成功，幫助其他人擴展他們的 Splunk 和 Apache Kafka 部署，以便更有

26、效地將原始數據轉換為運維、業務和安全智能。為現在和未來提供價值Intel 的 InfoSec 團隊正在擴大 Splunk 和 Kafka 的使用 范圍。分析人員和數據科學家正在對數據流中的數據 進行轉換、豐富、聯接、過濾和操作。團隊還在為事件 響應、運維和系統運行狀況到工作流程編排和警報等 所有業務領域添加更多的機器學習工具。通過與 Splunk 進行合作，Intel 可以為現在和未來提供價值?！癐ntel 的信息安全比以往任何時候都更加敏捷，”Conran 說道?！拔覀円肓巳碌?Splunk 數據湖，并對工具進行了更新換代。通過將數據放置在正確的位置并讓我們的員工學習全新的技能，系統的運

27、行效率大大提升。我們正在使用機器學習極大地提高我們網絡智能方案的深度和速度?！薄拔覀儤嫿?CIP 是為了每天處理數十、最終數百 TB 的數據，并支持數百名用戶構建自組織搜索、預定 搜索、數據模型加速和機器學習模型。為了顯著提高性能，我們需要配備用于高性能計算和存儲的 Intel Xeon 可擴展處理器和 Intel SSD 的服務器。當你的任務是 讓 Intel 安全快速運行 時，時間就會變得很重要?！盜ntel 安全解決方案架構師 Jac Noel數據基本指南|Splunk7 NewYork-Presbyterian 醫院與 Splunk 聯合對抗 阿片類藥物危機行業 t 醫療保健Splun

28、k 使用案例 t 安全挑戰 t 需要跟蹤電子病歷、管控藥物電子處方平臺、藥房配藥系統和其他來源的數據，以查看藥物是否被轉用于潛在的非法目的。t 無法實時監控電子 PHI 的訪問情況，導致患者病歷的安全性和保護水平降低。業務影響 t 防止不當轉移阿片類藥物和高價藥的保障措施，比如，某些抗癌藥物的價格可以高達每月數萬美元。t 監控 IT 安全運行，以確保管控藥物和其他藥物沒有被非法 使用或開具。t 為同行機構將同樣的監控和轉移技術手段引入其醫院創造 可能性。數據源 t 審計日志 t 應用程序數據 t EPIC t Cerner t Allscripts t athenahealthSplunk 產

29、品 t Splunk Enterprise t Splunk Enterprise Security(ES)執行摘要作為一個國家最全面，集成度最高的醫學院校醫療交付 系統，NewYork-Presbyterian 致力于為紐約大都會區、全美和全球患者提供質量最高，最具人文關懷的醫療服務。NewYork-Presbyterian 一直以其開創性的研究和創新，以患者為中心的臨床治療被公認為醫學教育的領導者。通過借助 Splunk 技術方案的強大功能，NewYork-Presbyterian 建立了一個平臺，用于對管控藥物和其他藥物進行嚴格保護，進而最終惠及更大范圍的醫療領域。憑借 Splunk 提

30、供的方案，NewYork-Presbyterian 現在可以：審核對患者病歷的訪問，并將數據共享給獲得授權的 用戶，以便收集見解 幫助減少阿片類藥物和其他管制藥物的不當轉移 符合健康保險流通與責任法案(HIPAA)和其他披露要求 確保受保護健康信息(PHI)數據的隱私性和患者隱私保護患者數據和隱私最初，NewYork-Presbyterian 求助于 Splunk 來完成各 種安全用例，包括防止網絡釣魚攻擊、增強帳戶安全性 以及實現關鍵安全工作流的自動化?！岸潭處讉€月后，我們就開始建立我們的安全運營中心(SOC)，”NewYork-Presbyterian 高級副總裁兼首席信息安全官 Jenn

31、ings Aske 如是說。Aske 說：“現在，我們有一個六個人的團隊，我們每天都會密切關注集成了安全所需的所有數據源的各種儀表盤和可視化工具?！睌祿局改蟶Splunk8 但這僅僅是個開始?！霸诮?SOC 的過程中，我們意識到，我們需要考慮與患者隱私相關的業務問題。我們特別希望擁有一個可以幫助我們確保數據不會被窺探，查看過多記錄或訪問錯誤記錄的平臺，”Aske 繼續說?！八晕艺f，讓我們去和 Splunk 談談，建議我們要為我們和 Splunk 的其他客戶建立一個隱私平臺，以便與 EPIC 這樣的臨床系統進行集成?！盢ewYork-Presbyterian 和 Splunk 共同將這一

32、愿景變成了現實，他們創建了一個平臺，如果患者的記錄被不當訪問，就會提醒隱私官員即時進行調查。但醫院很快意識到，這個平臺的潛力遠遠超出了他們最初的設想。在全球范圍內對抗阿片類藥物很快，NewYork-Presbyterian 意識到，Splunk 幫助助力患者平臺的相關性和機器學習的，同樣強大的功能也可以幫助識別阿片類藥物的不當轉移，而這正是破壞美國阿片類藥物泛濫的一個關鍵因素。Aske 說：“當我們考慮到醫院在阿片類藥物危機中所扮演的角色時，我們有些員工實際上比普通民眾的成癮率更高?！薄拔覀儚募膊】刂婆c預防中心的統計數據中知道，在某些時間點，醫院一直是街頭泛濫的一些藥物的主要來源。有一年，街頭

33、大約 25%的奧施康定來自醫院。無論是從倫理的角度，還是道德的角度看，我們都有義務不只是依靠人工審核，我們需要建立一個平臺來幫助捕捉潛在的不當轉移?！彼幬锓治銎脚_可以幫助 NewYork-Presbyterian 跟蹤來自電子病歷(EHR)、管控藥物電子處方(EPCS)平臺、藥房調劑系統和其他來源的數據，以防止這些藥物不當轉移，從而幫助實現這一目標。例如，如果一名醫生為醫院未收治的患者開具了管控類處方藥物，或者一名藥房技術人員使用自動調劑柜的頻率高于同事，該平臺將立即向 NewYork-Presbyterian 發出提醒。Aske 說：“當我考慮藥物分析平臺時，我想到的實際情況是，如果你超出自

34、己或家庭的六度空間，你就可以找到受影響的家庭成員?！薄拔蚁氲?，如果進行牙齦手術時，醫生為我提供了阿片類藥物，但實際上我并不需要它。我有一個年幼的女兒，我想確保，只有在有正當理由的情況下，醫生才會為她開具阿片類藥物，而不是通過不正當的途徑私自獲得這些藥物?！泵篮玫奈磥碓诶^續為世界各地的患者提供人性化醫療服務的同時，NewYork-Presbyterian 還在探索 Splunk 在整個醫院系統中的新用途，這可能包括利用 Splunk 來更快地發現保險代碼問題，以及更好地調查報銷被拒的情況。Aske 說：“Splunk 是一個可以通過可能不太明顯的方式對數 據進行利用和探索的平臺?！薄巴ㄟ^將 Sp

35、lunk 用于解決 更多問題，比如保險賬單，我們可能會為醫院節省數百 萬美元?！盇ske 說，通過 Splunk 和 NewYork-Presbyterian 的合作“我們幾乎可以想出無限多的方法來對醫院數據加以利用”?！拔覀兿Ｍ哟髮?Splunk 的使用力度，以便切實推動我們的合作不僅對我們來說是這樣，對全國各地的醫療機構也是如此?！薄白罱K，我們認為用 Splunk 構建這個平臺意味著它可以很容易地被全國的同行機構加以利用?？梢钥隙ǖ卣f，美國的所有 20 家這些機構都在使用 Splunk新聞排名前 20 名的醫院。這是一種數量上的優勢，可以讓這些平臺在提升醫療和公共衛生水平方面發揮重要作用

36、?！盢ewYork-Presbyterian 高級副總裁兼首席信息安全官 Jennings Aske數據基本指南|Splunk9 將威脅情報納入行動手冊為什么 Recorded Future 的客戶選擇 Splunk 平臺行業 t 科技Splunk 使用案例 t 安全 t 網絡安全 t 安全編排、自動化和響應 t 事件響應管理 t 安全監控 t 應用監控挑戰 t 客戶手動操作 t 為各個客戶重新設計流程業務影響 t 客戶識別威脅的速度提高了 10%t 客戶處理事件的速度提高了 63%t 觀察到整體效率提高了 32%Splunk 產品 t Splunk SOAR t Splunk Enterpr

37、ise Security來自 6 大洲 22 個行業的約 4 萬名安全專業人員依靠 Recorded Future 來獲得同類最佳的威脅情報。Recorded Future 可以收集大量數據并對其進行分析，以便實時提供相關的網絡威脅分析?？蛻艨梢酝ㄟ^這種智能提升檢測和響應水平，從而幫助安全團隊更快地做出更好的決策。讓我們來認識一下 Recorded Future 集成和戰略合作副總裁 Seth Whitten。我們和他討論了 Splunk 和 Recorded Future 的合作，以及 Splunk SOAR 的集成產生了怎樣的影響?！拔覀兡壳白畲蟮募墒?Splunk Enterprise

38、，”他說?！皩ξ覀儊碚f，集成到 SOAR 中是一件自然而然的事。我們有很多客戶正在使用 SIEM 工具發現事件，并希望能夠更好地對這些事件進行處理?！睘楹芜x擇 SOAR在 SOAR 之前，Recorded Future 客戶只能依賴手動操作。Seth 說：“他們必須進入我們的平臺，拉取他們需要的信息，并在調查警報或在他們的環境中進行分類時決定是否繼續采取相應的措施?！庇辛?SOAR，Recorded Future 客戶就可以將那些原本 需要手動操作的重復安全操作任務實現自動化。借助 SOAR 的自動化功能，以前需要幾分鐘或幾個小時才能 解決的安全警報，現在只需要幾秒鐘就可以輕松完成。因此，Re

39、corded Future 客戶提高了他們的操作效率，并顯著縮短了對安全事件的響應時間?！叭绻皇褂米詣踊途幣?，我不知道公司如何才 能面對今天面對的挑戰。所有這些情況層層疊加，公司不堪重負。人類根本無法獨立完成這些任務?！奔珊蛻鹇院献鞲笨偛?Seth Whitten數據基本指南|Splunk10 Seth 說，他最喜歡的是他的團隊制定行動計劃的方式。他說：“對我們來說，在現場搭配使用 SOAR 更容易，因為無需重新設計，我們就可以輕松獲得可以更快地為客戶構建和運行的預定義行動計劃?！盧ecorded Future 和 SOARSOAR 行動計劃可以機器速度自動執行一系列安全操作，使客戶能夠

40、創建定制的，可重復的安全工作流。例如，SOAR 行動計劃可以指示 Sandbox 觸發一個文件錯誤，或告訴端點安全工具隔離一個設備。通過超過 100 個可以直接使用的預定義行動計劃，SOAR 可以幫助客戶確保他們可以獲得一個可重復且可審計的安全操作流程。這些行動計劃可以通過與 Recorded Future 的集成訪問威脅情報數據。系統將一個警報傳遞給 SOAR（無論從 Splunk Enterprise Security，還是作為一個新的人為環境）時，系統將調用一個可以通過 Recorded Future 風險評分和相關上下文實現自動豐富的行動計劃。行動計劃的決策邏輯可以根據警報是否有風險來

41、確定是否需要將其升級為人類分析師分析，還是跳過警報。由于 SOAR 可以幫助消除數據流中的誤報，人類分析師就可以有更多時間去關注更大的問題。三大好處 威脅識別速度提高 10%事件處理速度提高 63%整體效率提高 32%“我們的客戶希望能夠處理所有的警報。他們想要制定處理警報的優先順序。他們想要行動起來。他們想要實實在在的效果。對我們來說，SOAR 是一個自然的選擇，我們可以用我們的數據圍繞這些結果來制定行動計劃?！奔珊蛻鹇院献鞲笨偛?Seth Whitten“我們使用自然語言處理和人工智能來關聯數據，并使其可供客戶在解決問題時使用?！奔珊蛻鹇院献鞲笨偛?Seth Whitten數據基本指南

42、|Splunk11 認證數據使用案例：安全與合規、IT 運維、應用程序交付示例和數據源：Active Directory、LDAP、身份管理、單點登錄認證數據可以提供對用戶和身份活動的深入見解。常見的身份驗證數據源包括：Active Directory：一種組織可以在其中定義用戶和組 身份、安全策略和內容控制的分布式目錄。LDAP：一種由互聯網工程任務組(IETF)定義的開放 標準，通常用于提供用戶身份驗證（姓名和密碼）。它具 有靈活的目錄結構，可用于全名、電話號碼、電子郵件和 物理地址、組織單位、工作組和經理等多種信息。身份管理：身份管理是一種將數字資源的用戶（無論 是人、物聯網設備、系統還

43、是應用程序）與可驗證的在 線 ID 聯接起來的方法。單點登錄(SSO)：使用聯邦身份管理從單一來源向多個 系統提供可驗證、可證明身份的過程。SSO 可通過將用 戶憑據綁定到單個來源，以允許一次性更改用戶權限和 帳戶狀態，并反映在用戶有權訪問的每個應用程序或服 務中，從而顯著提高安全性。SSO 對于具有較高安全權 限的用戶尤其重要，例如可以訪問大量系統的系統或網 絡管理員。用戶數據用例安全與合規：為了安全目的，身份驗證數據可提供有關用戶活動的豐富信息，例如在給定時間窗口內對多個主機的多次失敗或成功登錄，給定時間內來自不同位置的活動，以及暴力破解活動。具體來說：Active Directory 域

44、控制器日志包含有關用戶帳戶的信 息，如特權帳戶活動，以及遠程訪問、新帳戶創建和過 期帳戶活動的詳細信息。LDAP 日志包括用戶登錄系統的身份、時間和地點，以及信息訪問方式的記錄。身份管理數據可以按用戶、組和職位（如 CEO、主管或 普通用戶）顯示訪問權限。此數據可用于識別可能構成 潛在威脅的訪問異常例如，CEO 訪問低級網絡設備 或網絡管理員訪問 CEO 的帳戶。IT 運維和應用程序交付：身份驗證數據可以在 IT 運維團隊解決身份驗證相關問題時對其提供支持。例如，可以將應用程序支持綁定到登錄，使 IT 運維人員能夠看到用戶是否難以登錄應用程序。對于支持 Active Directory 的 I

45、T 運維團隊，可以使用日志進行故障排除并了解 Active Directory 的運行狀況。用戶數據數據基本指南|Splunk12 殺毒軟件使用案例：安全性和合規性示例：Kaspersky、McAfee、Norton Security、F-Secure、Avira、Panda、Trend Micro企業安全中最薄弱環節是人，殺毒軟件是防止他們無意間出現有害行為的一種方法。無論是點擊不可信的網絡鏈接，下載惡意軟件，還是打開設有陷阱的文件（通常會是一個完全意想不到的同事發送給他們），殺毒軟件通常都可以防止、減輕或消除損害。我們所說的高級持續性威脅(APT)通常通過連接到可信網絡的一臺受到攻擊的機器

46、進入。雖然殺毒軟件并不完美，但它們可以在常見的攻擊方法傳播之前識別并阻止它們。用例安全與合規：殺毒軟件日志支持對主機、筆記本電腦和 服務器進行惡意軟件和漏洞分析；并可用于監控可疑文 件路徑。它可以幫助識別：文件系統和注冊表中新檢測到的二進制文件、文件 哈希。二進制文件、哈?；蜃员砗螘r與威脅情報匹配。未打補丁的操作系統。已知的惡意代碼簽名。應用程序數據郵件服務器使用案例：安全與合規、IT 運維示例：Exchange、Office 365在大多數組織中，電子郵件仍然是正式溝通的主要形式。因此，郵件服務器數據庫和日志是最重要的業務記錄。由于它們的大小和無限制增長的趨勢，電子郵件數據管 理通常需要數

47、據保留和歸檔策略，以便只保留重要的 記錄，同時將不活躍的數據移動到低成本存儲。用例安全與合規：郵件服務器數據可以幫助識別惡意附件、惡意域名鏈接和重定向、已知惡意域名的電子郵件和未知域名的電子郵件。它還可以用于識別消息大小異?；蜻^大的電子郵件，以及異常電子郵件活動時間。IT 運維：可能需要電子郵件消息和活動日志才能保持符合組織的信息安全、保留和法規遵從性流程。郵件服務器事務和錯誤日志也是解決 IT 問題的重要調試工具，也可以用于基于使用量的計費。應用程序數據數據基本指南|Splunk13 漏洞掃描用例：安全性和合規性例如：ncircle IP360、Nessus從攻擊者的角度檢查基礎設施是發現安

48、全漏洞的一種有效方法。漏洞掃描可以對組織的網絡進行探測，尋找為外部代理提供入口點的已知軟件缺陷。這些掃描可以產生關于惡意代理進入特定系統或整個網絡借助的開放端口和 IP 地址的數據。系統通常會默認保持網絡服務運行，即使特定服務器并不需要。這些正在運行、不受監控的服務是一種常見的外部攻擊方式，因為最新的操作系統可能還沒有針對它們發布安全更新補丁。大規模漏洞掃描可以發現可以用來訪問整個企業網絡的安全漏洞。應用程序數據用例安全與合規：漏洞掃描可以產生關于惡意代理進入特定系統或整個網絡借助的開放端口和 IP 地址的數據。這些數據可以用來識別：因系統配置錯誤產生的安全漏洞。過時的補丁。不必要的網絡服務端

49、口。配置錯誤的文件系統、用戶或應用程序。系統配置文件的變更。各種用戶、應用程序或文件系統權限的變更。應用程序數據數據基本指南|Splunk14 Web 服務器使用案例：安全與合規、IT 運維、應用程序交付示例：Java J2EE、Apache、應用程序使用日志、IIS 日志、nginxWeb 服務器是每個網站背后的后端應用程序，用于提供瀏 覽器客戶端查看的所有內容。Web 服務器會訪問靜態 HTML 頁面并運行各種語言的應用程序腳本，之后這些腳本會生 成動態內容并調用其他應用程序（如中間件）。Web 服務器的種類很多，其中包括：Java J2EE：Java 是最流行的編程語言，因為它的功能 多

50、樣，使用起來相對簡單，開發工具生態系統豐富。通過包含 API、協議、SDK 和對象模塊的 J2EE 平臺，Java 被廣泛用于企業應用程序，包括網絡小程序、中間層業務邏輯和 圖形前端。Java 還可以用于原生 Android 移動應用程序。Apache：Apache 是互聯網上最古老，最常用的 Web 服務器之一，為數百萬的企業、政府和公共網站提供支持。Apache 可以保存每個事務的詳細記錄：每次瀏覽器請求 Web 頁面時，Apache 日志詳細信息都會包括時間、遠程 IP 地址、瀏覽器類型和請求的頁面等項目。Apache 還可以記錄各種錯誤情況，例如請求的文件丟失、試圖在沒有適當權限的情況

51、下訪問文件或 Apache 插件模塊出現問題。Apache 日志在調試 Web 應用程序和服務器問題時至關重要，但也用于生成流量統計數據，跟蹤用戶行為和標 記安全攻擊，如未授權條目或 DDoS 攻擊。應用程序使用日志：與 Apache Web 日志類似，收集應用程序使用情況可以為多個相關角色提供有價值的信息，包括開發人員、IT、銷售和市場營銷人員。根據測量粒度的不同，使用跟蹤可以幫助開發人員識別應用程序中最常用和最不常用的功能，用戶在使用時出現問題的功能，以及未來需要 中間件數據強化的環節。對于面向客戶的應用程序，使用日志可為銷 售和市場營銷團隊提供在線和基于應用程序的銷售渠道和促銷活動效果的

52、見解，關于實際銷售比和交易放棄的數據，以及可能的交叉銷售促銷活動信息。用例安全與合規：Web 日志可以記錄錯誤情況，例如在沒有適當 權限的情況下訪問文件的請求，還可以跟蹤可能標記安全攻擊的用戶活動，例如未授權條目或 DDoS 攻擊。它還可以幫助識別 SQL 注入以及與欺詐交易相關的支持。由于 Java 應用程序會頻繁訪問網絡服務和敏感數據庫，安全團隊可以使用日志數據來審查 J2EE 應用程序的完 整性，識別可疑的應用程序行為和應用程序漏洞。Apache Web 日志可以對安全攻擊發出警報，例如未授權 條目、XSS、緩沖區溢出或 DDoS 攻擊。與 Web 日志類似，通用應用程序使用日志可以向安

53、全團隊 發出未授權訪問警報，例如有人消耗了比正常情況更多的 資源，或在空閑時間使用應用程序。IT 運維和應用程序交付：調試 Web 應用程序和服務器問 題時 Web 日志都很關鍵，而且還可用于生成流量統計信息，這在容量規劃中很有用。Web 服務器數據可以為 IT 運維團隊 提供各種信息：J2EE 數據可以幫助運維團隊診斷涉及 Web、中間件和數 據庫服務器之間相互交互的三層應用程序的問題?？偟膩碚f，Apache Web 日志可以顯示 Web 服務的活動。深入了解細節可以發現基礎設施瓶頸并指出下游問題。通過提供資源消耗的詳細記錄，應用程序使用日志可以幫 助 IT 運維團隊進行基礎設施容量規劃、優

54、化、負載均衡和 基于使用的計費。中間件數據數據基本指南|Splunk15 防火墻使用案例：安全與合規、IT 運維示例：Palo Alto、Cisco、Check Point防火墻可以劃分不同安全策略的區域。通過控制網絡流量數據流，防火墻可以充當網絡流量的守護者，收集有價值的數據，因為防火墻作為網絡流量守護者的獨特位置，這些數據可能無法在其他位置捕獲。防火墻還可以執行安全策略，因此可能會使用不尋?；蛭唇浭跈嗟木W絡協議破壞應用程序。用例安全與合規：防火墻日志可以提供網段間流量的詳細記錄，包括源 IP 地址、目標 IP 地址、端口和協議等，所有這些信息都是調查安全事件的重要依據。這些數據還可以發現安

55、全策略中的漏洞，而這些漏洞可以通過更嚴格的防火墻規則構造來彌補。防火墻數據可以幫助識別并檢測：橫向運動 命令和控制流量 DDoS 流量 惡意域名流量 未知域名流量 未知位置流量IT 運維：當網絡應用程序出現通信問題時，網絡安全策略可能是罪魁禍首。防火墻數據可以提供哪些流量被阻止，哪些流量可以通過的可見性，進而幫助識別是否有應用程序或網絡問題。網絡數據入侵檢測/防御用例：安全性和合規性示例：Tipping Point、Juniper IDP、Netscreen Firewall、Juniper NSM IDP、Juniper NSM、Snort、McAfee IDSIDS 和 IPS 是互補的、

56、并行的安全系統，可以對防火墻進行補充IDS 可以發現穿透防火墻的成功的網絡和服務器攻擊，IPS 則可提供更先進的防御，來抵御復雜的攻擊。IDS 通常放置在網絡邊緣，就在邊界防火墻內部，但一些組織也會在防火墻之外放置一個系統，以提供有關所有攻擊的更多情報。同樣，IPS 通常被放置在網絡外圍，但它也可以在網絡內的其他位置點或單個服務器上使用。IPS 通常通過丟棄數據包、重置網絡連接和將特定的 IP 地址或范圍列入黑名單來實現目標。用例安全與合規：IDS 日志可為安全團隊提供詳細的攻擊記錄，包括類型、源、目標和端口，進而提供整體的攻擊特征信息。特殊的簽名可能會觸發警報或其他緩解措施。IPS 可提供相

57、同的攻擊簽名數據集，但也可以包括不良網絡數據包威脅分析和橫向運動檢測。這些數據還可以檢測命令和控制流量、DDoS 流量以及惡意或未知域名流量。網絡數據數據基本指南|Splunk16 網絡訪問控制 (NAC)用例：安全性和合規性示例：Aruba ClearPass、Cisco ACS網絡訪問或準入控制是一種客戶端/端點安全形式，它使用本地安裝的軟件代理對到受保護網絡的連接進行預授權。NAC 會篩查客戶端設備是否受到已知惡意軟件的污染，并遵守安全策略，例如通過最新的補丁運行已批準的操作系統。未通過 NAC 篩查的客戶端將被重新路由到隔離的隔離網絡，直到檢測到的問題被糾正。用例安全與合規：NAC 軟

58、件會收集連接客戶端的相關數據，包括已安裝客戶端軟件清單、合規安全策略、操作系統和應用程序補丁版本、遠程接入客戶端的可訪問性、用戶訪問受保護網絡等。NAC 日志可為安全團隊提供客戶端狀態和活動的詳細概要。它可以提供未授權設備連接的詳細信息，還可以用于將用戶/IP 與物理網絡位置進行關聯。網絡數據網絡交換機使用案例：安全與合規、IT 運維示例：以太網交換機、虛擬交換機 交換機是網絡的交匯點，是數據包從一個網段轉移到另一個網段的位置。在其最根本的工作方式中，交換機工作在特定的 IP 子網中，不能將第三層數據包路由到另一個網絡?，F代數據中心設計通常使用兩層交換機層次結構：連接邊緣服務器和存儲陣列的架頂

59、(ToR)交換機和連接網絡核心的匯聚交換機或主干交換機。雖然以太網交換機使用廣泛，但一些組織還會使用光纖通道或無限帶寬技術，用于存儲區域網絡或 HPC 互連，每種連接都有自己類型的交換機。用例安全與合規：交換機數據通常以 NetFlow 記錄的形式捕獲，是標記高級持續性威脅、分析異?；顒恿髁亢妥R別潛在數據泄漏的重要數據源。交換機統計信息作為一種有線數據源，幾乎不可能被冒名頂替，因此是安全數據的重要來源。該數據還可用于將用戶或 IP 地址與物理網絡位置進行關聯。IT 運維：運維團隊可以使用交換機日志來查看流量的狀態，如源和目標、服務類別和堵塞的原因。日志還可以按端口和客戶端顯示總體流量統計信息，

60、以及特定端口是否堵塞、故障或出現故障。網絡數據數據基本指南|Splunk17 代理使用案例：安全與合規、IT 運維示例：Blue Coat、Fortinet、Juniper IDP、Netscreen Firewall、Palo Alto Networks、Palo Alto Networks 配置、Palo Alto Networks system、Palo Alto Networks 威脅、Palo Alto Networks 流量、nginx在 IT 基礎設施中，我們可以通過多種方式使用網絡代理：作為 Web 應用程序加速器和智能流量定向、應用程序級防火墻和內容篩選器。代理作為一個透明的

61、“電纜中的塊”，可以看到整個第 7 層網絡協議棧，這允許它們實現應用程序特定的流量管理和安全策略。用例安全與合規：安全團隊對可以充當應用程序層防火墻的代理很感興趣。在這里，代理記錄可以標識穿越網絡控制點的特定內容的詳細信息，包括文件名、類型、源和目標，以及有關請求客戶端的元數據，如操作系統簽名、應用程序和用戶名/ID（取決于代理實現）。這些數據還可以用于幫助檢測命令和控制流量、惡意域名流量和未知域名流量。Web 代理和一些下一代防火墻可以透明或顯性模式與代表客戶端的 HTTP 服務器進行通信。使用許多相關技術，可以根據用戶角色、站點或資源類別或攻擊指標檢查、允許或阻止請求和響應。記錄在事件中的

62、數據可能用于檢測相關性。IT 運維：運維團隊經常使用嵌入在應用程序交付控制器(ADC)中的代理，ADC是一種更高級的，可感知到第七層的負載均衡器版本。在這種情況下，代理日志可以提供關于傳入請求和可用資源流量分布的信息。網絡數據系統日志使用案例：安全與合規、IT 運維、應用程序交付示例：Unix、Windows、Mac OS、Linux每個操作系統都會記錄其操作條件和錯誤的詳細信息，這些帶有時間戳的日志是系統遙測數據的基礎和權威來源。根據操作系統的不同，可能會有不同類別的事件的單獨日志，例如例行信息更新、系統錯誤、引導加載程序記錄、登錄嘗試和調試輸出。錯誤日志通?？梢跃酆蟻碜远鄠€子系統和操作系統

63、服務或守護進程的記錄，因此是故障排除信息的最終來源。用例安全與合規：系統日志包括各種安全信息，如嘗試登錄、文件訪問和系統防火墻活動。這些條目可以向安全團隊發出網絡攻擊、安全漏洞或軟件泄露的警報。它們也是安全事件取證分析的寶貴信息來源。例如，這些數據可以用來識別系統配置的更改，以及用戶或特權用戶執行的命令。IT 運維和應用程序交付：無論是操作系統、硬件還是各種 I/O 接口，在排除系統問題時，操作團隊通常首先會查看系統日志。由于一個特定的問題經常在多子系統中表現為錯誤，因此將日志條目關聯起來是確定微妙的系統故障根源的最佳方法之一。操作系統數據數據基本指南|Splunk18 服務器日志使用案例：安

64、全與合規、IT 運維、應用程序交付服務器操作系統會定期記錄各種操作、安全、錯誤和調試數據，例如啟動期間加載的系統庫、打開的應用程序進程、網絡連接、安裝的文件系統以及系統內存使用情況。詳細程度可由系統管理員配置；但是，可以通過足夠的選項來完整了解系統在其整個生命周期中的活動。根據子系統的不同，服務器日志對系統、網絡、存儲和安全團隊很有用。用例安全與合規：服務器日志包括來自安全子系統的數據，例如本地防火墻、登錄嘗試和文件訪問錯誤，安全團隊可以使用這些來識別違規企圖、追蹤成功的系統滲透和插件漏洞。監控服務器日志（例如文件訪問、身份驗證和應用程序使用情況）可幫助保護基礎架構組件。IT 運維和應用程序交

65、付：服務器日志提供了整體系統運行狀況的詳細記錄，以及有關用于確定系統問題根本原因的錯誤和異常情況確切時間的取證信息。物理基礎設施數據數據基本指南|Splunk19 Splunk、Splunk 和 Turn Data Into Doing 是 Splunk Inc.在美國和其他國家/地區的商標和注冊商標。所有其他品牌名稱、產品名稱或商標均屬于其各自所有者。2023 Splunk Inc.保留所有權利。24-122987-Splunk-theessentialguidetosecuritydata-101關于 SplunkSplunk 可將數據轉化為通過統一的安全和可觀測 性平臺進行的操作。Splunk 技術旨在對數據進行調查、監控、分析并根據任何規模的數據采取行動。免費試用 Splunk，立即加入數百萬激情用戶的行列。免費試用