全球研究:安全领导者对云完整性的优先考虑、人才缺口和最紧迫的攻击媒介
解决最棘手的事件
如果您从事事件响应工作,那么保障判断的正确性将十分重要。这是每个组织中每个网络安全职能部门的期望。对于 Splunk 的高级威胁响应团队来说尤其如此,该团队负责处理公司遇到的规模最大、最严重的事件。这个由十人组成的团队与 SOC 和其他内部利益相关者合作,以确保 Splunk 的安全。当出现问题时,该团队的工作是将对公司运营、财务和声誉的任何影响降至最低,并让公司的所有 Splunk 员工保持最佳工作状态。
该团队最近采用了 Splunk 攻击分析器来支持更深入的事件调查和进行更多的分析。此后,它成为该团队分析可疑文件或域的首选工具。使用 Splunk 攻击分析器后,他们能够更快地检测事件并降低组织的风险。Splunk 高级响应团队的高级经理 Tony Iacobelli 表示“这对于处理最棘手的事件很有帮助。”
拥有像 Splunk 攻击分析器这样强大的自动化威胁分析工具意味着团队可以扩大检测范围。过去,当出现任何恶意软件时,高级威胁响应团队仅能依靠其 EDR 解决方案来自动阻止其进一步执行。借助攻击分析器,分析师可以跟踪攻击模式,并获得有关攻击源的更多详细信息(例如危害指标和基于主机的构件),从而找到 EDR 可能遗漏的其他可疑活动实例。该工具中的交互式引爆模式还允许团队调查恶意软件,而不会有感染其机器的风险。
工具库中的这个附加功能来得正是时候。“我们正在扩大我们可以看到的用例和领域的数量,”Tony 说。“遗憾的是,随着我们对系统的了解越来越多,我们就越明白,不能简单地扩展我们的人力资源。因此,我们需要通过提高整体效率来扩大团队的生产力。攻击分析器帮助我们做到了这一点。"攻击分析器大大提高了 Splunk 事件响应团队的效率,以至于他们实现了将检测关键用例的平均时间控制在 7 分钟以内的目标。
