Skip links

Splunk Enterprise Security

Platformă de tip SIEM pentru eficientizarea operațiunilor de securitate

Splunk Enterprise Security (ES) este o soluție modernă de tipul Security information and event management (SIEM), centrată pe date, parte din Splunk Security Operations Suite. Splunk Enterprise Security este construită pe o platformă de date deschisă și scalabilă, proiectată pentru a capta și analiza toate datele organizației, reușind astfel să ofere detecție precisă, investigații rapide și timp scurt de remediere.

Prezentare generală a soluției

Splunk Enterprise Security ajută echipele de securitate de toate dimensiunile și nivelurile de expertiză să își eficientizeze operațiunile de securitate. Splunk SIEM vă permite:

  • Integrarea și monitorizarea a zeci de terabiți de date pe zi din orice sursă, structurată sau nestructurată, pentru o vizibilitate completă,
  • Atribuirea de niveluri de risc utilizatorilor și sistemelor, corelarea alertelor cu cadrele de securitate cibernetică și declanșarea acestora alerte atunci când riscul depășește anumite praguri, pentru a combate fenomenul de „alert fatigue”,
  • Detectarea amenințărilor avansate cu ajutorul Machine Learning și a peste 700 de metode de detectare out-of-the-box pentru cadre (frameworks) precum MITRE ATT&CK, NIST, CIS 20 și Kill Chain,
  • Investigarea completă a evenimentelor de securitate sau activitățile suspecte prin accesarea informațiilor relevante și reducerea timpului de triaj cu Threat Intelligence Management,
  • Actualizarea automată a conținutului de securitate livrat direct de la echipa Splunk Threat Research Team pentru a ajuta beneficiarii să fie la curent cu amenințările noi și emergente.

Funcționalități principale

Splunk ES asigură următoarele funcționalități:

Threat Topology

Este o funcție ce permite analiștilor să evalueze amploarea unui incident prin cartografierea tuturor elementelor de risc/amenințare asociate. Analiștii pot descoperi imediat amploarea unui incident de securitate și pot alterna rapid în cadrul investigației între resursele și utilizatorii afectați, economisind timp și crescând productivitatea.

Matricea MITRE ATT&CK Framework

Este un modul ce permite analiștilor de securitate să construiască rapid o perspectivă situațională în jurul unui incident și să se orienteze direct către documentația MITRE asociată.

Risk Based Alerting (RBA)

Funcționalitate care se bazează pe detecțiile din Splunk ES, reducând considerabil ratele alertelor fals-pozitive și crescând productivitatea.

Threat Intelligence și Security Orchestration, Automation, and Response (SOAR)

Splunk SOAR comunică cu Splunk ES, ajutând la accelerarea investigării incidentelor și a răspunsului prin îmbogățirea alertelor.

Behavior Analytics: Splunk User Behavior Analytics (UBA)

UBA utilizează Machine Learning (ML) pentru a profila comportamentele utilizatorilor și entităților, pentru a filtra amenințările reale și pentru a partaja aceste amenințări cu Splunk ES.

ES Content Updates și Use Case Library

Echipa Splunk Threat Research produce conținut de securitate sub formă de proceduri, scenarii de detecție și răspunsuri out-of-the-box pentru a ajuta echipele de securitate să rămână la curent cu cele mai recente amenințări.

Tablouri de bord Access Anomalies

Permit vizualizarea anomaliilor din comportamentul utilizatorilor, afișând încercările de autentificare simultană de la diferite IP-uri și anomaliile de tipul „Impossible Travel”.

Implementare și licențiere

Splunk Enterprise Security poate fi implementat în orice variantă: cloud, on-premise sau hibrid, prin 3 modele tarifare:

Workload Pricing

Taxare pe baza numărului de mașini virtuale care procesează sarcini de lucru în Splunk,

Ingest Pricing

Taxare pe baza volumului de date procesat,

Entity Pricing

Taxare pe baza numărului de dispozitive protejate care sunt monitorizate/gestionate.

Ce beneficii aduce Splunk Enterprise Security

Splunk Enterprise Security oferă următoarele beneficii:

Reduce cu 80% volumul alertelor, garantând analiștilor claritate și prioritizare pentru a rezolva incidentele în câteva minute în loc de săptămâni,

Asigură acces la threat hunting și analiză de profunzime a amenințărilor prin cercetări/căutări flexibile, Machine Learning și threat intelligence,

Asigură acces la mai mult de 1170 de reguli și operațiuni out-of-the-box de detecție, care se aliniază la structurile și standardele din industrie (MITRE ATT&CK, NIST, CIS 20 și Kill Chain),

Oferă posibilitatea de detectare în timp real a comportamentelor suspecte și malițioase cu ajutorul unor instrumente de cloud analytics,

Oferă acces la peste 2700 conectori de securitate și IT dezvoltați de Splunk, parteneri și membri ai comunității pentru a facilita integrarea instrumentelor de securitate și a surselor de date în Splunk,

Permite operaționalizarea cadrului MITRE ATT&CK (MITRE Adversarial Tactics, Techniques and Common Knowledge) printr-o matrice de vizualizare care evidențiază tacticile și tehnicile observate în evenimentele de risc, pentru a economisi timp la investigarea evenimentelor.

Servicii oferite de Safetech Innovations

Serviciile noastre de integrare de sisteme de securitate IT cuprind:

Analiza cerințelor și proiectarea sistemului

Analiza cerințelor și proiectarea sistemului

Analiza obiectivelor, cerințelor și constrângerilor proiectului, identificarea riscurilor, proiectarea arhitecturii integrate, dezvoltarea unui plan de proiect detaliat pentru integrarea diferitelor componente și subsisteme

Implementare

Implementare

Livrarea și instalarea produselor, configurarea, testarea, implementarea și optimizarea sistemului integrat, verificarea că toate componentele funcționează împreună conform planurilor, instruirea administratorilor de sistem cu privire la modul de utilizare a soluției

Asistență tehnică și service

Asistență tehnică și service

Furnizarea de servicii de asistență tehnică și service pentru asigurarea funcționării continue a sistemului în mod optim, îndeplinind nevoile organizației

Colaborarea cu Safetech Innovations vă aduce următoarele beneficii specifice:

  – Experiența solidă a unor profesioniști în domeniul securității cibernetice – Avem 12 ani de activitate și peste 600 de proiecte finalizate în acest domeniu pentru clienți din multiple sectoare economice. În prezent, în Safetech Innovations lucrează peste 60 de angajați, dintre care 40 sunt membri ai echipei tehnice.
  – Expertiza noastră în domeniul securității cibernetice – Avem know how certificat în ceea ce privește tehnicile de atac și de apărare în domeniul cibernetic și expertiză în:

  • Analiza amenințărilor și a vulnerabilităților existente/potențiale,
  • Evaluarea riscurilor și a impactului de business,
  • Consultanță în vederea asigurării confidențialității, integrității și disponibilității informațiilor,
  • Implementarea soluțiilor necesare în vederea realizării unui nivel optim de securitate, care să mențină un business sănătos pe termen lung,
  • Monitorizarea continuă a evenimentelor și răspunsul la incidentele de securitate cibernetică.

Alegerea serviciilor de integrator de proiect ale Safetech vă asigură reducerea riscurilor de implementare, customizare, scalabilitate și flexibilitate, suport post-implementare.

Contactează-ne