透過 Splunk Enterprise Security 中的內置威脅研究和檢測為未來的 SOC 提供動力

網路安全威脅形勢不斷變化和發展，不良行為者實施越來越複雜的策略來逃避檢測。 然而，許多安全團隊都在努力以相同的速度調整他們的檢測策略。 支援高級威脅檢測需要組織投資於一致的威脅研究和檢測工程。 沒有它，他們就無法開發針對最新威脅所需的高質量檢測。

不幸的是，許多安全團隊缺乏必要的資源來支援這項工作以及高效完成這項工作的流程。 因此，他們面臨著安全覆蓋範圍不足和檢測品質低下的問題，因此無法領先於高級的、時間敏感的威脅。

值得慶幸的是，Splunk 威脅研究團隊隨時為您提供説明。 繼續閱讀以瞭解 Splunk 威脅研究團隊是誰、該團隊是做什麼的，以及您如何利用他們的工作來提高檢測和回應高級威脅的能力。

通過經過測試的複雜威脅檢測來擴展 Splunk Enterprise Security 中的安全覆蓋範圍

Splunk 威脅研究團隊是我們的內部威脅研究和檢測工程團隊。 這支由行業公認的專家組成的團隊開發了尖端的安全資源和內容，包括 1,700 多種開箱即用的安全檢測，Splunk Enterprise Security 客戶可以使用這些檢測來幫助擴大其安全覆蓋範圍，快速檢測和回應新的和不斷發展的威脅，並主動保護其組織。

但眾所周知，沒有質量，數量就什麼都不是。 為了支援這些檢測的有效性，該團隊採用強大的威脅研究和檢測工程工作流程來創建和更新檢測，以抵禦在野外使用的最新戰術、技術和程式 （TTP Tactics， Techniques， and Procedures）。 此工作流程包括：

• 研究威脅：該團隊識別並分析新出現的威脅，以瞭解其運作方式。
• 生成數據集：團隊收集和解析相關數據，識別可用於幫助檢測威脅的模式。
• 構建檢測：團隊構建查詢，旨在識別與威脅相關的特定活動。
• 測試檢測：該團隊針對模擬攻擊者行為的數據集運行查詢，以提高檢測的準確性並減少誤報。
• 發佈檢測：該團隊將檢測打包，以提供針對新出現的威脅的及時有效的防禦。

此工作流程可説明 Splunk 威脅研究團隊創建高品質、開箱即用的安全檢測，客戶可以實施這些檢測來説明快速擴大其安全覆蓋範圍，而無需花費大量時間研究威脅和從頭開始構建檢測。

探索可操作的安全內容，實現主動網路安全

要深入瞭解 Splunk 威脅研究團隊提供的所有檢測，請查看 research.splunk.com。 它具有 Splunk 安全內容的完整存儲庫，並且最近進行了更新，以更好地説明安全團隊：

1.  查找與其組織最相關的內容

該存儲庫已經過優化，可以更輕鬆地、更快速地搜索安全內容，並且可以按關聯的數據源、MITRE ATT&CK 技術等篩選檢測結果。

圖 1：可篩選表中的檢測清單

2.  瞭解單個檢測的運行方式

詳細清單提供了有關單個檢測的大量資訊，包括支持檢測所需的任何特定數據源或應用程式; 檢測如何與 MITRE ATT&CK、NIST CSF 2.0 和 Cyber Kill Chain® 等行業框架保持一致; 檢測的預設配置; 和更多。

圖 2：單個檢測的詳細清單

3.  及時瞭解最新版本

搜尋結果可以按添加日期排序，新的互動式時間線允許訪問者點擊流覽 Splunk 威脅研究團隊的最新版本，包括產品更新、新研究等。

圖 3：可點擊的時間線，其中包含 Splunk 威脅研究團隊的最新內容和版本

這還不是全部。前往 research.splunk.com 細讀所有最新功能和內容 - 現在提供淺色和深色模式！

立即將頂級檢測和防禦集成到您的安全運營中

準備好在 Splunk 的開箱即用檢測的幫助下改進您的檢測策略了嗎？下載 Enterprise Security Content Update

（ESCU） 或 Splunk Security Essentials （SSE） 應用程式，立即開始啟用內容。