Splunk Enterprise Security 7.0:優化用戶體驗、全新管理層可見性、提升雲端監控能力
發布日期:2022/04/28
今天,我們高興地宣佈:Splunk Enterprise Security 7.0版已全面推向市場。
新版Splunk Enterprise Security可幫助管理員借助高級安全分析功能提升威脅檢測能力,助力管理者實現對SOC運行狀況的可見性,為用戶帶來全新體驗。
Enterprise Security 7.0 強化了Splunk基於風險的警報 (Risk Based Alerting, RBA) 功能,為管理員提供了一套簡捷但有效的用來檢測並回應高級威脅的方法。另外,RBA功能還可助力企業大幅緩解警報疲勞程度,降低MTTD和MTTR水準。所有這一切,均有效提升了防禦能力,較高的準確度將錯報率減少了30%,同時報警流量減少了80%之多。
除了實現對原有功能的提升,Enterprise Security 7.0 也推出了系列全新功能,而這些功能對建設現代SOC至關重要。
執行摘要儀錶板
Enterprise Security可提供海量資訊,助力企業瞭解安全專案運行情況。(在7.0版本中),全新執行摘要儀錶板可顯示關鍵性能指標,為管理人員提供對SOC整體運行的深入洞察,同時向CISO及其他領導人提供報告。
執行摘要儀錶板可助您快速獲得以下洞察:
Mean Time to Triage
平均分類時間
Mean Time to Resolution
平均解決時間
Investigations Created
創建的調查
Risk Based Alerting Trends
基於風險的警報趨勢
安全運營儀錶板
與執行摘要儀錶板相類似,安全運營儀錶板除了向SOC管理者提供關鍵洞察之外,也提供了深度分析功能,該功能可對特定事件、流程、屬性形成深度認識。
Enterprise Security 6.6版本便引入了事件回顧功能,用以記錄使用者記錄某個事件是否為實報、錯報以及弱陽性。現在,隨著Enterprise Security 7.0的推出,您不僅可以看到這些資料,還可以根據這些資料深入瞭解有哪些關聯資源會對四大默認事件類型產生影響。如此一來,團隊便可以確定有哪些關聯規則可以擴大使用,又有哪些需要棄用。
雲安全監控儀錶板
雲端複雜度不斷攀升,挑戰著我們為實現環境視覺化所付出的努力。究其原因,是因為許多安全團隊使用的仍然是單點安全產品,尚未實現集成。當前,75%的雲基礎設施用戶都採用了多雲部署這種形勢,而在未來兩年內,預計將有87%的使用者將採用多雲服務。
雲環境會帶來新的攻擊面,如新的資料流程、工作負載、應用程式以及更多需要管理並確保其安全的方面,同時這一現狀導致風險和漏洞在逐步增多。Enterprise Security 7.0 新增的5個全新儀錶板,聚焦于雲原生資料,借助多雲安全監控方案實現混合環境的視覺化。
這五大儀錶板為:
AWS Security Groups
AWS IAM Activity
AWS Network ACLs
AWS Access Analyzer
Microsoft 365
即時內容自動更新
Enterprise Security 7.0版本包含了Enterprise Security Content Updates這一應用,一旦有了新的內容,該應用將主動發出通知。同時,如果Splunk Threat Research Team有了最新安全發現,用戶也將第一時間收到。
提升用戶體驗
由於採用了現代開發框架和最佳實踐,Enterprise Security和其他Splunk安全產品一樣,在使用者體驗方面發生了較大的變化。此外,Splunk Enterprise Security UI分亮暗兩種模式,可以根據需要進行切換。
Enterprise Security 6.6版本便引入了事件回顧功能,用以記錄使用者記錄某個事件是否為實報、錯報以及弱陽性。現在,隨著Enterprise Security 7.0的推出,您不僅可以看到這些資料,還可以根據這些資料深入瞭解有哪些關聯資源會對四大默認事件類型產生影響。如此一來,團隊便可以確定有哪些關聯規則可以擴大使用,又有哪些需要棄用。
雲安全監控儀錶板
雲端複雜度不斷攀升,挑戰著我們為實現環境視覺化所付出的努力。究其原因,是因為許多安全團隊使用的仍然是單點安全產品,尚未實現集成。當前,75%的雲基礎設施用戶都採用了多雲部署這種形勢,而在未來兩年內,預計將有87%的使用者將採用多雲服務。
雲環境會帶來新的攻擊面,如新的資料流程、工作負載、應用程式以及更多需要管理並確保其安全的方面,同時這一現狀導致風險和漏洞在逐步增多。Enterprise Security 7.0 新增的5個全新儀錶板,聚焦于雲原生資料,借助多雲安全監控方案實現混合環境的視覺化。
這五大儀錶板為:
AWS Security Groups
AWS IAM Activity
AWS Network ACLs
AWS Access Analyzer
Microsoft 365
即時內容自動更新
Enterprise Security 7.0版本包含了Enterprise Security Content Updates這一應用,一旦有了新的內容,該應用將主動發出通知。同時,如果Splunk Threat Research Team有了最新安全發現,用戶也將第一時間收到。
提升用戶體驗
由於採用了現代開發框架和最佳實踐,Enterprise Security和其他Splunk安全產品一樣,在使用者體驗方面發生了較大的變化。此外,Splunk Enterprise Security UI分亮暗兩種模式,可以根據需要進行切換。
Splunk Enterprise Security 7.0 現已全面推向市場,您可通過以下 QR code 獲取。
https://splunkbase.splunk.com/app/263/?_ga=2.148391487.940874091.1642410597-104590962.1622708957
https://www.splunk.com/en_us/blog/security/refined-user-experience-new-executive-visibility-and-enhanced-cloud-monitoring-with-splunk-enterprise-security-7-0.html