Splunk Enterprise Security

検出エンジニアリングに精通したSplunk脅威調査チームが、MITREなどの業界フレームワークに準拠した1,700以上のすぐに使える検出手法を提供しており、それらを使用して脅威の迅速な検出と修復が可能です。ネイティブの自動バージョン管理を使用すれば、検出手法の新しいバージョンを簡単かつ効率的に保存できます。検出手法のバックアップも可能で、ワンクリックで以前のバージョンの検出手法にロールバックできます。

Splunkのネットワークに所属する2,200社以上のパートナーと連携したり、パートナーやコミュニティが開発した2,800以上のアプリをSplunkbaseから入手して自社の既存ツールとシームレスに統合することができます。

セキュリティに関する一般的なグループ化手法や計算結果(類似エンティティ、累積リスクスコア、MITRE ATT&CKのしきい値など)を基準に、事前に定義したルールに基づいて結果を自動的に集約できます。集約されたビューでは、関連する忠実度の高い調査結果をすべてワンクリックで包括的に表示できます。

検出、調査、対応のワークフローがMission Controlで統合されます。Splunkの業界をリードするSOARソリューションとのネイティブな統合により、自動化プレイブックに脅威インテリジェンスのデータソースのスコアリングが一括で正規化される機能も組み込まれます。また、対応計画をSplunk Enterprise Securityに直接取り込むことで、一般的なセキュリティユースケースにおけるインシデント対応ワークフローの実施とコラボレーションが簡単になります。

リスクベースのアラート検出戦略を理解し実施することがすぐに使える機能として利用できます。この機能により信頼性の高い集約アラートを生成して調査に役立てることができます。検出機能が強化されたことで、アナリストはリスクベースのアラート戦略を理解して導入できるようになり、信頼性の高い集約アラートを生成して徹底的に調査できます。 

リスクベースアラート(RBA)は、Splunk Enterprise Securityの相関サーチフレームワークを使って、同じリスクを示す複数のイベントを1つのリスクインデックスにまとめます。まとめられたイベントは、特定の条件を満たすと単一のリスクNotableイベントになります。これによって従来のSIEMソリューションでは見落とされていた可能性のある差し迫った脅威に集中的に対応できます。