Datanet » NOUTĂȚI ȘI EVENIMENTE » Știri și noutăți » Webinar Datanet: Utilizarea Splunk Enterprise Security pentru creșterea eficienței în Centrele Operaționale de Securitate
SOITRON GROUP
Menu
Datanet » NOUTĂȚI ȘI EVENIMENTE » Știri și noutăți » Webinar Datanet: Utilizarea Splunk Enterprise Security pentru creșterea eficienței în Centrele Operaționale de Securitate
Webinar Datanet: Utilizarea Splunk Enterprise Security pentru creșterea eficienței în Centrele Operaționale de Securitate

Abundența alertelor pe care trebuie să le proceseze și analizeze departamentele IT face dificilă depistarea amenințărilor reale de securitate și, mai important, remedierea acestora. Splunk Enterprise Security permite companiilor să depășească aceste provocări, facilitând identificarea riscurilor și lansarea rapidă a măsurilor de remediere necesare. Datanet Systems a organizat recent un webinar în cadrul căruia a prezentat cum poate fi utilizată platforma SIEM Splunk pentru creșterea eficienței în Centrele Operaționale de Securitate. 

Îmbunătățirea eficienței în Centrele Operaționale de Securitate (Security Operations Center – SOC) reprezintă o prioritate critică pentru numeroase companii, în condițiile în care doar 56% dintre evenimentele de securitate ajung să fie investigate și doar jumătate (28%) din alertele procesate semnalează amenințări reale (conform studiilor Cisco).

În cadrul webinarului „Eficientizarea activităţii în Security Operations Center cu Splunk Enterprise Security“, organizat recent de Datanet Systems – partener autorizat pentru produsele Splunk în România  –  au fost prezentate și detaliate modalitățile concrete prin care platforma SIEM răspunde acestor provocări.

Accesați mai jos înregistrarea completă a webinarului „Eficientizarea activităţii în Security Operation Center cu Splunk Enterprise Security”:

 

Splunk Enterprise este o platformă exhaustivă de analiză a datelor din infrastructura IT care elimina practic orice barieră dintre obținerea efectivă a informațiilor şi generarea unor acțiuni de răspuns pe baza acestora. Platforma centralizează date structurate din întreaga infrastructură IT, indiferent de sursă, le interoghează și analizează, însă valoarea nu este dată de posesia datelor ci de faptul că, pe baza rezultatelor obținute, pot fi generate rapid acțiuni. Gândiți-vă la Splunk Enterprise ca la un «Google pentru centre de date», cu ajutorul căruia puteți căuta rapid orice informații, aplicaţii și evenimente asociate. Prin simpla tastare a unor cuvinte-cheie, toate evenimentele asociate sunt listate și detaliate, fiindu-le asociate informații temporale, cu ajutorul cărora poate fi reconstruită cronologia evenimentelor. Orice căutare poate fi transformată într-un grafic, pentru a oferi o perspectivă mai intuitivă, iar ulterior, prin analize de tip Drill Down, se poate investiga fiecare element specific și orice subset de date pentru a identifica lanțul cauzal al unui incident de securitate, fie că vorbim de accesări neautorizate sau de atacuri informatice“, a explicat Selim Seynur, specialist în securitate IT, colaborator Soitron Group, din care face parte și compania Datanet Systems.

Specialistul în securitate a evidențiat ideea că valoarea platformei SIEM este dată de faptul că fiecărei căutări îi poate fi asociat un set de acțiuni corelate. Splunk Enterprise Security permite crearea de alerte definite în funcție de anumite condiții declanșatoare, iar pe baza acestor alerte în platformă se pot planifica și declanșa automat acțiuni specifice de remediere prin intermediul altor aplicații de securitate, ca Palo Alto, de exemplu. De altfel, unul dintre principalele avantaje competitive ale Splunk Enterprise Security este reprezentat de ecosistemul de aplicații – peste 2.000 în prezent – care pot fi integrate în platformă folosind conectorii disponibili pentru clienţii Splunk.

 

Răspunsuri concrete la probleme reale cu Splunk Enterprise Security

Pentru a exemplifica modul în care Splunk Enterprise Security (Splunk ES) ajută companiile să gestioneze riscurile de securitate, Selim Seynur a prezentat succint o serie de cazuri de utilizare frecventă:

  • Monitorizarea securității – SIEM-ul Splunk monitorizează continuu și automat infrastructurile și componentele critice ale acestora. Platforma livrează 24/7 informații în timp real despre potențialele riscuri depistate, respectarea cerințelor de conformitate și alerte. Astfel, Splunk Enterprise Security asigură vizibilitate extinsă asupra vulnerabilităților, facilitând înțelegerea contextului amenințărilor depistate și analiza oricărui tip de incident, prin investigații ad-hoc, metode de Threat Hunting etc.
  • Detecția amenințărilor avansate – Platforma SIEM detectează echipamentele și utilizatorii compromiși, evidențiază activitățile derulate în respectivele conturi, precum și riscurile asociate, furnizând o listă extinsă de indicatori și informații.
  • Investigarea incidentelor de securitate – Splunk facilitează identificarea cauzelor reale ale unui incident de securitate, oferind posibilitatea agregării de date contextuale relevante asociate respectivului eveniment. Platforma corelează investigațiile – atât pentru mediile Cloud, cât și pentru infrastructurile on-premises – în modulul dedicat „Investigation Workbench“, furnizând echipelor operaționale de securitate informațiile necesare înțelegerii unei situații și identificarea opțiunilor potrivite pentru remedierea unor incidente.
  • Răspunsul la incidente – Splunk Enterprise scurtează ciclul de investigare prin confirmarea și prioritizarea amenințărilor critice și lansarea rapidă a răspunsurilor în funcție de gradul de risc asociat fiecărei amenințări. Platforma se integrează cu numeroase alte aplicații și echipamente de securitate IT și permite inițierea rapidă de acțiuni corective efectuate de acestea direct din modulul de investigații din Splunk ES.
  • Automatizarea operațiunilor din centrul de securitate. Splunk ES este soluția optimă pentru Centrele Operaționale de Securitate care au nevoie de vizibilitate completă asupra unei infrastructuri complexe IT şi automatizarea operațiunilor curente. Platforma SIEM automatizează colectarea centralizată a datelor, partajarea informațiilor și lansarea acțiunilor de răspuns, scurtând durata proceselor de detecție, a investigațiilor și măsurilor de remediere.
  • Simplificarea proceselor de audit – Splunk Enterprise permite companiilor să deruleze procesele de audit de securitate cu efort minim, deoarece furnizează o perspectivă în timp real asupra nivelului de securitate și înregistrează și sintetizează datele necesare auditării, cu funcţionalităţi dedicate de control şi trasabilitate.

Webinar-ul organizat de Datanet Systems a inclus și o sesiune demonstrativă, în cadrul căreia a fost prezentat modul concret în care pot fi definite și integrate în platforma SIEM sursele de date, lansate căutări și investigații de securitate, setate alerte și configurate măsurile automate de răspuns.

Demo-ul poate fi vizionat accesând înregistrarea completă a webinarului „Eficientizarea activităţii în Security Operation Center cu Splunk Enterprise Security“. LINK: https://www.youtube.com/watch?v=MhvuDzFW1Eo .