机房360首页
当前位置:首页 » 业界动态 » Splunk推出面向未来的安全情报产品

Splunk推出面向未来的安全情报产品

新的Splunk App for Enterprise Security凸显了针对威胁检测的统计分析

来源:机房360 作者:yayo编辑 更新时间:2013-5-7 16:29:55

摘要:近日——领先的实时运营信息软件供应商Splunk Inc. (NASDAQ:SPLK)宣布2.4版Splunk App for Enterprise Security全面发售。Splunk® Enterprise和Splunk App for Enterprise Security是一个帮助企业机构通过现成内容发现未知威胁的安全信息平台,其中包括新的搜索、仪表盘以及能够对机器数据进行丰富的统计分析的可视化功能。

  Splunk安全与合规高级总监Mark Seward表示:“统计分析是防御那些绕过传统安全检测系统的威胁的新安全武器。这是为什么全球1500多家机构依赖Splunk安全防护的原因之一。企业现在了解到,用户生成的TB级机器数据中隐藏着异常活动模式,这表明存在恶意软件或恶意内部人员行为。新的Splunk App for Enterprise Security让HTTP流量的统计分析能够帮助安全专业人士确定正常基准,迅速检测到异常情况,并将这些事件作为安全分析和调查的起点。”

  Enterprise Management Associates公司安全与风险管理执行研究总监Scott Crawford表示:“未来保护企业安全要依赖于使用所有可用数据,而不只是预先确定的传统安全数据的一鳞半爪。统计分析延伸了数据的价值。它可帮助发现大量原始数据中往往被忽视的有意义的洞察。通过将统计技术运用于传统工具鞭长莫及的数据中,新的Splunk App for Enterprise Security在安全数据分析领域开辟了新天地。当今的攻击者比以往任何时候都更坚定,企业机构需要灵活、快速、可扩展的数据平台来进行响应。Splunk App for Enterprise Security中新的仪表盘可帮助安全专业人员让这些数据变得更加可操作。”

  Fieldglass是供应商管理系统(VMS)技术的市场领导厂商,其软件即服务平台帮助近200家公司更好地采购,并管理其全球非员工劳动力。两年前,这家公司用Splunk Enterprise 和Splunk App for Enterprise Security替换了传统安全信息及事件管理(SIEM)工具。Fieldglass利用Splunk软件进行数据取证与分析、安全报告和SIEM功能。

  Fieldglass公司负责安全的高级经理Jim Krev表示:“找到先进的威胁是很困难的。Splunk通过Enterprise Security 2.4版本所实现的功能就是:利用统计数据更轻松地找到并看到不寻常的数据特征。这将有助于检测留在主机上的恶意有效载荷,及其出站通信。这种可视化功能也让我更轻松地确保我们的防病毒软件有效运转,不再出现‘有效荷载’问题。”

  高级威胁恶意软件的共同目标就是:向外部传递其健康状况,便于命令和控制,以及为攻击者收集并发送宝贵的数据。从本质上讲,攻击者将员工转变为‘数据骡子’,使其执行高级威胁。通常情况下,攻击者随后将使用基于网络的协议来进行通信,以期在TB级网络日志中隐藏其流量。传统安全方式有助于找到已知威胁,统计分析用来将普通用户活动从未知威胁所造成的异常活动中分离出来。Splunk App for Enterprise Security包括用于先进威胁检测的搜索、仪表盘,以及可视化功能,这将帮助揭示哪些活动是异常的,并检测攻击模式。统计分析揭示了攻击和威胁,其中包括:

  • 嵌入在网址中的命令与控制(CNC)指令。Splunk App for Enterprise Security可将流程进行自动化,以便观察数据中的异常情况。

  • 与新的恶意网站进行通信的主机。与过去24-48小时内注册的域名进行对话的主机会显示有可能是CNC的站点。Splunk用户可关联域名注册与代理数据,以便实时、从历史角度监控状况。

  • 未知通信显著增加。通过Splunk App for Enterprise Security为特定用户监测代理数据,这将使企业机构能够观察到未知通信的峰值,将其作为总体趋势或特定用户的趋势。

  • 正在使用的不寻常的用户代理字符串。用户代理可将数据(如:电子邮件)收集进行自动化处理,但是在攻击期间,用户代理字符串也有助于自动化的受害者-攻击者通信。Splunk客户可实时监测并收到用户代理异常的警告。

  • 异常数量的源/目的地流量。跟踪平均流量是在源/目的地配对之间进行跟踪的,并在用户特定时间段内进行计算。统计异常值可在散点图中看到,并用来启动调查。

  购买Splunk App for Enterprise Security的Splunk客户可在Splunk 社区网站——Splunkbase 下载 2.4 版本的Splunk App for Enterprise Security。新用户可联系Splunk销售。

  责任编辑:yayo

本文地址:http://www.jifang360.com/news/201357/n442447636.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
更多
推荐图片