Splunk User Behavior Analytics (UBA) 5.1 版增強了安全性

延續夏季的安全饗宴！在發表 .conf22 的安全公告和推出全新的 Splunk Security Essentials 3.6.0 後，我們很高興地宣布 User Behavior Analytics (UBA) 5.1 版。

UBA 5.1 有什麼新增功能？

在這個新版本中，Splunk 繼續以我們領先業界的行為分析平台為基礎。UBA 5.1 提供了新的作業系統支援、安裝和設定升級，還有安全漏洞修補程式和針對個別資料來源的自訂設定。讓我們深入了解細節。

作業系統支援和更新，以及實體隔離安裝

我們客戶一致要求的功能之一是支援更新的作業系統版本。UBA 5.1 可以安裝在 RedHat Enterprise Linux 8.4 和 8.5、Oracle Enterprise Linux 8.6 和 Ubuntu 18.04 上。在作業系統支援方面的改變之一是，由於 CentOS 的　8.0 版已經在 2021 年 12 月生命週期結束，我們不再對 CentOS 提供支援。RedHat 制定了一個從 CentOS 移轉到 RedHat Enterprise Linux 的計畫。

我們現在還支援在實體隔離 (air-gapped) 環境中安裝。實體隔離網路可增加隔離性、保密性，進而提高關鍵基礎架構等高風險安全網路的安全性。藉由這項新功能，在實體隔離網路上擁有機密或關鍵性電腦系統的客戶亦能進行 UBA 的離線升級或安裝。

更多擴展的內容、改進可見性，以及許多修補程式

任何使用過 Splunk UBA 的人都知道，它在背景執行了許多核心程式庫和產品，為您提供機器學習的優點。在 UBA 5.1 中，更是帶來了一次重大的改革。首先，Splunk 資料科學家和內容工程團隊已經全面採用了新的模型更新。這項動作的目的是支援從 Spark 2 移轉到 Spark 3，讓 UBA (和未來的產品內容) 在現在和未來都更具可擴展性。

我們也沒有忽略簡單的日常操作功能，例如更新後的 MaxMind IP 到地理位置對應功能，應該有助於在評估登陸速度是否違規時減少誤報。我們還改進了威脅和異常功能表，現在可以顯示員工 ID了，如此一來可以解決多個員工同名的情況，大大減少分析師的困擾。

最後出現在這個新版本中的，是網路安全韌性的無名英雄──萬能的漏洞修補程式。最近我和安全分析產品總監 Erick Ingleby 聊過，我問他最喜歡這個版本中的哪些改變。毫無意外的——就是修補程式！

他說：「在這個版本中，我最自豪的就是通常被認為是理所當然的事情——安全性和穩定性。這個最新版本包括修補程式和升級，可確保產品沒有所有高度和嚴重的漏洞。客戶期望安全產品能做到這一點，我們就必須繼續實現這一承諾，無論開發出修補程式有多麼困難。還有很多重要的安全更新；此外，我們還升級了 50 多個第三方程式庫 (Hadoop、Spark、Scala 等)。這些升級為我們的資料科學家和內容工程師打開了大門。藉此，他們得以重新開始工作，提供我們客戶需要和期望從 Splunk 得到的先進機器學習和偵測分析。」

針對個別資料來源設定

為每個資料來源提供延遲支援是監控混合、本地或多雲環境的一項重要新功能。分析師現在可以指定每個資料來源在 UBA 內的延遲，並在幾分鐘後搜尋自訂的時間範圍。這對於任何擁有雲端資料來源的客戶來說非常重要，例如以雲端為基礎的目錄服務，它可以幫助系統管理員管理權限並控制對網路資源的存取，而這些網路資源可能會受到從日誌開始到交付的各種延遲的影響。如果沒有這項功能，您可能永遠不會從這些延遲的資料來源中看到異常問題。

就是這裡！Splunk UBA 5.1 已經推出。詳細了解 Splunk UBA 或立即取得最新版本！

作者
Tom Smit
Tom Smit 是 Splunk 的首席安全策略師，已經在 Splunk 工作了 8 年。他在 Splunk 積極為安全發聲，是安全研討會的堅定倡導者。他時時分享他的經驗，並為客戶將 Splunk 和安全結合在一起。在 Splunk 期間，他參與並設計了 SOC v3、v4、v5 的內容，並領導了 v6 和 v7 計畫。在加入 Splunk 之前，Tom 在 Symantec、Mimecast、Raytheon 和 Core Security 擔任過銷售工程、專業服務和產品開發等職務。