使用 Splunk Enterprise Security 7.1 更快地偵測、快速確定事件範圍並簡化安全工作流程

SOC 團隊仍得奮力解決偵測緩慢、缺乏安全事件的相關內容，以及事件回應工作流程實施和執行不佳的困境。Splunk Enterprise Security 的最新版本直接解決了這些難題。

Splunk Enterprise Security 7.1 現已推出！在此版本中，我們提供了 3 個新功能來幫助安全團隊即時偵測可疑行為、快速發現事件範圍以準確回應，並使用嵌入式框架來提高安全工作的流程效率。讓我們開始吧！

即時偵測可疑行為
攻擊比以往任何時候都更快、更複雜。這就是 Splunk 繼續開發 Splunk Enterprise Security 新增功能，以改進和支援 SOC 偵測可疑和惡意行為的能力的原因。

最新的一項功能稱為雲端型串流分析 (cloud-based streaming analytic)，該功能可與 Splunk 風險型警報 (RBA) 框架整合，可增強分析能力，改善狀態感知和對可疑行為的回應時間。此功能為眾多進階協安全偵測帶來可擴展的即時串流分析能力，並專注於解決常見的使用案例，包括內部威脅、憑證存取和外洩、橫向移動和就地取材的攻擊 (living off the land)。雲端型串流分析將支援 Windows 事件日誌的 XML 來源類型，並為 Splunk Enterprise Security 用戶提供一組著重於解決內部威脅使用案例的基本組 (50 種) 即時串流偵測。藉此可增強了我們傳統的搜尋式關聯，以擴展安全監控能力並縮短偵測時間，在幾秒鐘 (而不是幾分鐘) 內發出警報。

Splunk Enterprise Security 7.1 用戶可獲得以下功能：
•常見內部威脅使用案例的即時偵測
•與 Splunk Enterprise Security 中的內容管理和 RBA 框架無縫整合，經證明可以提高可見性、推動真陽性 (true-positive) 偵測並減少警報疲勞
•可擴展分析，在資料被卸載到串流分析功能時進行分析，用直接來自 Splunk 的高價值安全內容補強傳統的排程搜尋
•一種易於部署、雲端原生且維護成本低的功能，可作為 Splunk Enterprise Security Cloud 的補充分析引擎執行

快速發現事件的範圍以準確回應
作為安全從業人員，我們往往見樹不見林。有時更容易看到事件的細節，但無法立即解讀大局。在調查安全事件時，我們必須能夠同時從兩個鏡頭快速看到情況。

這就是為什麼我們開發了一種稱為威脅拓撲視覺化 (theat topology visualization) 的功能。利用此功能，安全分析師可以快速發現 Splunk Enterprise Security 資產和身分 (即使用者和機器) 與威脅對象 (即惡意可執行檔、IP 地址和檔案雜湊) 之間的關係。在調查時，他們還可以在受影響的資產和用戶之間進行切換，以查看受感染用戶之外的事件範圍，以便提供更好的狀態感知和更廣泛的視角。此外，這項功能還能讓分析師快速確定事件的嚴重程度，並識別其他受影響的主體，連一行程式碼都不用編寫。也許，最重要的是它可以節省時間並提高生產率，進一步縮短 SOC 的平均回應時間 (MTTR)。

總之，威脅拓撲視覺化使 Splunk Enterprise Security 7.1 用戶能夠：
•更全面地了解安全事件
•快速確定事件的嚴重程度
•在不編寫新查詢的情況下，透過點擊式探索縮短啟動調查的時間
•無需編寫任何程式碼即可找出其他受影響的調查對象
觀看此示範影片中的威脅拓撲視覺效果。

使用嵌入式框架提高安全工作流程效率
跟著計畫走。在安全性方面這一點從未如此重要。為了快速、高效和全面地調查和回應事件，SOC 分析師應遵循經過實證的業界框架，並將這些工作流程嵌入到其 SOC 的營運架構中。

有了我們最新的 MITRE ATT&CK® 視覺化功能，安全分析師可以快速感知受事件影響的 MITRE ATT&CK Matrix 的相關內容。安全分析師可以在 Splunk Enterprise Security 風險事件中利用和視覺化 MITRE ATT&CK 註釋，並全面了解資產或身分如何受到各種策略和技術的影響。藉此，分析師可以輕鬆深入了解 MITRE ATT&CK 參考資料，以收集更多背景資訊並以此回應。這將使分析師能夠在回應重大事件時參考 MITRE ATT&CK 框架，並在保護組織資產時加快了解攻擊的生命週期。

總之，MITRE ATT&CK 視覺化使 Splunk Enterprise Security 7.1 用戶能夠：
•視覺化風險顯著事件 (Notable Event) 中的 MITRE ATT&CK 策略和技術
•在回應顯著事件時執行 MITRE ATT&CK 框架
•在保護組織資產的同時提高生產力和回應時間
•快速識別在顯著事件中觀察到的戰術和技術，以及歷史上特定用戶或機器在過去的顯著事件
觀看此示範影片中的 MITRE ATT&CK 視覺化功能。

還有其他功能
Splunk Enterprise Security 7.1 還提供了提高部署彈性、改善用戶體驗和提高風險型警報的保真度。

•風險型警報的進展：Enterprise Security 繼續提供新的增強功能來強化我們的風險型警報功能集，以幫助客戶判斷威脅的優先等級，包括：
•新的風險對象正規化 ─ 如果風險對象及其相關的風險評分與資產或身分符合，則現在會被歸納為同一評分。
•風險事件時間線中的附加相關內容 ─ 風險事件時間線現在預設會顯示「風險消息」(risk message)，在對顯著事件進行風險分類時可為分析師提供額外的相關內容。
•新實體網域支援 ─ RBA 新增了對實體網域的支援，可支援包含衝突 IP 地址範圍的環境。透過此增強功能，個別實體網域中的資產也能保有單獨的風險評分。
•按原始事件時間劃分的風險時間線 ─ 風險事件時間線現在會根據風險事件中所包含事件的原始時間來顯示風險事件，進而提供更準確的事件觀點。
•加寬的設定面板：您的意見我們聽到了。Splunk Enterprise Security 7.1 提供了更寬闊的關聯搜尋編輯器，可以輕鬆查看和自訂 Splunk 安全偵測。此外，您會發現其他常用的設定面板也已經擴展，以更輕鬆地操作工作流程和使用螢幕空間。
•Splunk Dashboard Studio：將 Splunk Enterprise Security 儀表板從簡單的 XML 升級到 Splunk Dashboard Studio，有助於提高效能和一致性，以便您可以從資料視覺效果獲得更好的見解。如需詳細資訊，請參閱《比較經典 Splunk 儀表板 (簡單 XML)與 Splunk Dashboard Studio》

立即更新！
您就能擁有它。Splunk Enterprise Security 7.1 更新現已推出雲端和本地環境版本。

若要了解 Splunk Enterprise Security 7.1 的更多資訊，請查看示範、版本說明 和 Splunk Enterprise Security 網站。

祝快樂 Splunking！

作者
Marquis Montgomery
Marquis 在 Splunk 的安全產品團隊工作，是企業安全和相關安全產品的產品經理，他幫助規劃和開發新一代資訊安全分析解決方案。在此之前，Marquis 在 Splunk 的安全專業服務團隊工作，負責協助客戶確保專案成功，涵蓋企業安全使用案例的進階部署、SOC 開發和安全計畫審查。