Splunk Attack Analyzer integriert jetzt Bedrohungsinformationen von Cisco Talos

Es ist nie leicht, aus einer Fülle an guten Optionen das zu nennen, was am besten gefällt. Aber wenn ich auf der .conf24 (meiner Lieblingskonferenz) unsere Kundschaft gefragt hätte, welche Produktankündigung sie am meisten interessiert hat, würde vermutlich eines ganz oben auf der Liste stehen: die Integration von Cisco Talos Threat Intelligence in die Sicherheitsprodukte von Splunk.

Heute ist es so weit! Wir freuen uns, dass wir die allgemeine Verfügbarkeit von Cisco Talos Threat Intelligence für alle Splunk-Attack-Analyzer-Kunden weltweit bekannt geben dürfen.

Splunk Attack Analyzer im Überblick

Splunk Attack Analyzer automatisiert die Bedrohungsanalyse von mutmaßlichen Malware- oder Credential-Phishing-Angriffen, also z. B. Mails mit eingebetteten QR-Codes, Bedrohungen die hinter Captchas lauern, Köderdokumente, die vorgeben, von vertrauten Marken zu stammen, und mehr. Die einzigartigen Funktionen von Splunk Attack Analyzer geben Sicherheitsanalysten u. a. diese Fähigkeiten:

• Komplexe Angriffsketten verfolgen und analysieren: Ihr könnt die Attack Chain einfach visualisieren, ohne dass erst Sicherheitsanalysten Hand anlegen müssten.
• Detaillierte Forensikdaten anzeigen: Ihr habt sofort Zugriff auf die technischen Einzelheiten des Angriffs, einschließlich eines Point-in-Time-Archivs der Bedrohungsartefakte zum Zeitpunkt des Reportings, inklusive Screenshots.
• Direkte Integration mit Splunk SOAR: Damit könnt ihr komplett automatisierte End-to-end-Workflows zur Bedrohungsanalyse bauen.
• Interaktion mit Schadinhalten: In Splunk Attack Analyzer könnt ihr ohne Umstände dedizierte, nicht attribuierbare Umgebungen einrichten und dort kontrolliert und sicher auf Schadinhalte, URLs und Dateien zugreifen, ohne die Sicherheit der Analysten oder des Unternehmens aufs Spiel zu setzen.
• Optimierte Threat-Hunting-Funktionen: Mutmaßliche Bedrohungen könnt ihr mit einsatzfertigen Out-of-the-box-Erkennungen für Phishing und Malware übergangslos aus Splunk Attack Analyzer heraus untersuchen.

Im Ergebnis können Sicherheitsanalysten mit Splunk Attack Analyzer aktive Bedrohungen besser verstehen, die Anzahl der Warnmeldungen reduzieren, effizientere Erkennungen schaffen sowie Untersuchung und Entscheidungsfindung beschleunigen – und damit Incidents schneller klären. Zum Beispiel hat die Southern Farm Bureau Life Insurance Company mit Splunk Attack Analyzer dieses erreicht:

• Den Zeitaufwand für Datei-Scans um 70 % gesenkt.
• Innerhalb von sechs Monaten den Anteil der falsch positiven Warnmeldungen radikal reduziert: von 26 % auf fast null.
• Die Analysedauer von durchschnittlich rund 20 Minuten auf ca. 5 Minuten eingekürzt – für Analyse, Orchestrierung und Reaktion zusammen!

Splunk Attack Analyzer und Cisco Talos Integration

Cisco Talos ist ein bewährtes, kampferprobtes Threat-Research-Team aus erstklassigen Forschungskräften, Analysten und Engineering-Fachleuten, die eine Übersicht über die Bedrohungslandschaft haben, wie sonst kaum ein anderes Team: über 800 Milliarden beobachtete Security-Events pro Tag, rund 2.000 neu analysierte Samples pro Minute und 2.000 blockierte Domains pro Sekunde.

Mit den Bedrohungsinformationen von Cisco Talos kann Splunk Attack Analyzer vor allem neue Bedrohungen noch besser erkennen, insbesondere solche, die flüchtiger Natur sind und wieder verschwinden, ehe sie in die Analyse von Splunk Attack Analyzer laufen. Durch die Integration mit Cisco Talos kann Splunk Attack Analyzer die umfangreichen Bedrohungsinformationen von Cisco nutzen und die URLs aus der Attack Chain mit Reputationsergebnissen anreichern. Jede von Splunk Attack Analyzer analysierte URL, bekommt dann von Cisco Talos eine Bedrohungsstufe und eine Bedrohungskategorie zugewiesen.

Diese Funktionen müssen nicht erst konfiguriert werden, sondern sind global für alle Kundschaften von Splunk Attack Analyzer aktiviert, sodass sie die Effizienz der Bedrohungserkennung weiter verbessern.

^{Integration der Bedrohungsinformationen von Cisco Talos in Splunk Attack Analyzer.}

Nach der Ankündigung auf der .conf24 gab es etliche Kundschaften, die diese Integration kaum erwarten konnten. Uns selbst ging es nicht anders. „Wir sind schon darauf gespannt, dass wir durch die Integration von Talos Threat Intelligence in Splunk Attack Analyzer zusätzliche Analysetiefe gewinnen. Dies wird dazu beitragen, dass unsere automatisierten Aktionen noch verlässlicher werden, wenn wir auch in Zukunft das Beste von Splunk und Cisco zusammenbringen“, sagt Tony Iacobelli, Senior Manager of Advanced Threat Response bei Splunk.

Mehr Infos zu Splunk Attack Analyzer

Seid ihr bereit, eure Bedrohungsanalysen zu automatisieren? Wir haben für euch schon vorgebaut. Mehr Infos dazu bekommt ihr auf der Webseite von Splunk Attack Analyzer. Oder ihr wendet euch direkt an euren Account Manager.

_{*Dieser Beitrag wurde aus dem Englischen übersetzt und editiert. Der Originalblogpost wurde hier am 6. August 2024 veröffentlicht.}