Splunk大数据
資料無所不在,遍佈雲端、本地和混合環境之中。作為安全從業者,我們需要快速存取這些數據,以便對其進行分析、獲得洞察並發現潛在威脅。然而,龐大的資料量和威脅的複雜性使得保持可見度、偵測隱密攻擊和快速回應安全事件變得異常困難。傳統方法需要在眾多資料孤島中搜尋,無法對分散式環境實現即時、豐富的情境分析。
最終的結果,無非四種:
資料可見性仍然分散。 SecOps團隊必須應對來自多個平台的不同資料來源,很難實現安全資料的全景視圖。
0102
資料管理使得資源的使用和分配效率低下,包括人力和運算資源。龐大的數據量迫使 SecOps 團隊採取被動而非主動的安全態勢。威脅情勢變得越來越複雜,數據量激增,使得團隊難以迅速且精準地偵測和回應威脅。這種被動態勢可能會延遲關鍵反應時間並削弱安全措施的有效性。
0304
實現資料規模、可近性和成本之間的平衡,仍然極具挑戰性。由於成本過高,組織無法簡單地將全部資料匯入其安全分析引擎。在保持按需存取的同時將資料引流至適當的儲存單元仍然存在困難,使得 CISO 在降低營運成本和保持安全可見度和檢測能力之間難以做出選擇。
實現數據聯邦之路
Splunk Federated Analytics 聯邦分析進階外掛程式(可在Splunk Cloud Platform 和Splunk Enterprise Security雲端版本上部署)不僅可以幫助安全團隊完成儲存於任意位置(如在Splunk 或Amazon Security Lake 中)的資料的分析,還可以實現資料在客戶資料湖和Splunk 之間的動態移動。此功能可協助團隊實現低成本資料湖存儲,並按需將選定的資料引入 Splunk,以加速偵測,執行密集的深度搜尋。這種方法不僅可以保持資料的完整性,降低時延,還可以藉助存取和分析任意儲存位置的資料來獲得全面的可見性。透過Splunk聯邦分析,企業機構可以進行高效能搜尋並產生響應式報告,讓安全營運流程更加高效,更具成本優勢,進而減少資料孤島的限制,深入探索資料以發現潛在威脅。
對於儲存在 Amazon Security Lake 中的數據,Splunk聯邦分析可以針對性地僅對必要的數據集進行調查和查詢,選擇性地將特定數據集引流至 Splunk 以增強效能。這種直接在 Amazon Security Lake S3 中執行不頻繁但關鍵的搜尋功能對於即席威脅狩獵至關重要。為了滿足合規和長期審計需求,我們建議使用 Amazon S3 聯邦搜尋訪問資料湖 (S3) 中的所需資料並在 Splunk 中呈現結果。這種進階分析解決方案透過優化資料查詢和使用方式,簡化了營運流程,降低了 IT 成本,尤其在即席調查期間,可最大限度地降低搜尋 S3 相關成本。
借助高級分析和機器學習,Splunk 聯邦分析不僅提升了組織的威脅偵測能力,還提供了可立即用於營運的可操作洞察。這項整合無縫擴展了現有 Splunk 部署的功能,實現了對全部資料環境的即時安全管理。借助 Splunk聯邦分析,組織可以實現高效且敏捷的安全運營,確保快速檢測和響應威脅,助力企業做好準備以更好地抵禦不斷變化的威脅和複雜的攻擊向量。
Amazon Web Services (AWS) 團隊對這項全新功能很感興趣。 AWS 風險管理總監Mark Terenzoni 表示, 「 Splunk 聯邦分析的全面推出,可以幫助客戶分析比以往更多的日誌。Amazon Security Lake 簡化了安全日誌的匯聚,助力客戶將日誌儲存在Amazon S3 多年以上。聯邦分析可以幫助組織解決包括監控和威脅狩獵在內的關鍵SOC 用例。合作,我們充滿熱情,我們的客戶將因此有能力對大量資料來源執行即席索引,而無需行動資料就可進行調查。安全領域創新和效率方面的共同願景。
Accenture等 Splunk 技術合作夥伴認為,聯邦分析可以為客戶帶來重大好處,可提升其整體安全態勢。 Accenture AWS 安全業務全球負責人Tony Harris 表示:「多年來,取得安全資料的統一可見性一直是客戶面臨的挑戰。長期以來,資料攝取成本高昂且流程效率低下等因素阻礙了客戶獲得全景視圖的營運優勢。
碎片化資料可見性-實現安全資料的統一視圖
SecOps 團隊需要處理的,是碎片化資料的可見性。數據無處不在,很難獲得全景視圖。 Splunk 聯邦分析可以將這些分散的資料來源整合在統一視圖當中,而無需考慮這些資料儲存於何處。這不僅提高了安全資料的可見性,還最大限度地減少了手動攝取資料的麻煩,杜絕危及全面安全分析的危險盲點。
透過聯邦分析,您可以獲得:01全景安全視圖:整合並分析來自 Splunk 和 Amazon Security Lake 的數據,提供全面安全視圖,節省資料遷移成本。 02即時數據存取:即時存取和分析本地環境中的數據,支援客戶做出及時且明智的安全決策。 03簡化資料分析:避免了手動複製和遷移資料這種耗時且成本頗高的工作,助力客戶將更多精力放在在資料儲存的位置進行高效和集中的資料分析。
資源使用率低-實現資源的智慧管理
資源分配也是SecOps 團隊面對的挑戰,這通常會導致在管理安全資料時,人力和運算資源的使用效率極度低。聯邦分析透過實現精準高效的數據查詢和分析來優化資源使用率,從而降低營運成本和工作量。
聯邦分析可提供給您:01
選擇性數據分析從 Amazon Security Lake 和 Splunk 中取得並精準分析所需數據,優化運算資源並將精力集中在高價值活動上。自動化資料流程
02聯邦分析利用OCSF實現標準化資料流程,使團隊能夠根據需要靈活地新增、刪除和替換資料來源,而無需重新架構 Splunk 和資料湖之間的整合。這有助於安全團隊將更多寶貴的時間花在策略任務上,提高威脅偵測和管理的速度和準確性。 03
成本優化以實現價值使用 Amazon Security Lake 和 Splunk聯邦分析以優化營運成本。實施資料分層策略以降低儲存和入埠/輸出口成本,並利用安全架構標準化和雲端可擴展性實現更具成本效益的資料管理。
被動式威脅偵測、調查和回應-實現主動式事件管理
SecOps 團隊經常發現自己處於被動的安全態勢。隨著數據規模的日益增大和威脅行為者的日漸增多,團隊很難迅速且準確地偵測和應對威脅。 Splunk Enterprise Security 雲端版本中的聯邦分析,可以幫助組織主動偵測、調查和應對所有儲存資料中的威脅,即使面對日益複雜的威脅情勢和不斷增加的資料量也是如此。這種分析可以確保客戶有能力實現對威脅及時精準的管理,並最終提升安全營運效率。
聯邦分析有以下優勢:
01高級威脅檢測利用複雜的分析技術在整合資料環境中發現威脅並確定其優先級,助力SecOps 團隊及時存取最相關的信息,實現更快、更準準地檢測威脅。 02整合調查和回應功能透過跨多個資料來源的工作流程簡化調查和回應操作,更快分析威脅並解決安全事件。這種整合可確保在關鍵時刻可以存取正確的數據,實現更快的決策和更有效率的事件管理。 03上下文洞察和工作流程借助經過豐富的資料上下文和整合的工作流程,提升威脅偵測、調查和回應速度。這種方法可提高安全精準性,最大限度地減少盲點,緩解警報疲勞,提供更透明、更豐富的統一安全運作視圖。透過上下文洞察,確保決策的製定以全面和相關的數據為基礎,充分發揮在正確的時間擁有正確數據的好處。