.conf24 年度用户大会：Splunk 推出全新安全创新，为未来 SOC 提供强大动力

北京和拉斯维加斯 - 2024 年 6 月 19 日 - 网络安全和可观测性领域的领导者 Splunk 今日宣布了一系列全新安全创新，旨在跨多个数据源加强威胁检测和安全运维。这些增强功能包括 Splunk Enterprise 8.0，它使安全团队能够主动且有效地管理和缓解风险，还包含一项新的 Federated Analytics 功能，该功能可以直接在数据存储位置分析数据，用于威胁搜寻和频繁威胁检测。 

随着组织面临的安全挑战日益复杂，统一的威胁检测、调查和响应 (TDIR) 解决方案对于推动安全运营中心 (SOC) 的未来发展至关重要。在最新推出的产品中，Splunk 强化了基础元素，提供全面的安全可见性、准确的威胁检测和简化的工作流程，能够实现快速响应，最终通过高成本效益的解决方案帮助组织节省时间，从而能很好满足上述需求。

Splunk Enterprise Security 8.0: 简化威胁检测和响应

Splunk Enterprise Security 8.0 现在原生集成了 Mission Control，通过一个现代化界面简化了安全分析师检测、调查和响应威胁的方式，进一步提升了运维效率和速度。通过 Splunk SOAR 的标准化术语和统一自动化，Splunk Enterprise Security 8.0 可以加快警报分类和调查速度，并借助高级分析来提升检测能力。因此，安全分析师可以受益于简化的工作流程、更快的响应速度和更高的工作效率。

借助 Splunk Enterprise Security 8.0 中的全新增强功能，安全团队可以：

• 充分享受无缝工作流体验的优势：Splunk Enterprise Security 8.0 提供统一的工作界面和响应计划，能够帮助客户轻松识别、评估和响应威胁。
• 推动更高效的调查：通过现代化的聚合和分类功能，只需一次点击即可根据预设标准自动聚合发现结果，为关键洞察提供全面视图。
• 专注于关键事件，省时省力：增强的检测功能提供开箱即用的能力，能够让用户轻松理解和实施基于风险的警报策略，并生成高置信度的聚合警报，以进行调查。
• 更有效地沟通和迅速采取行动：使用清晰、简洁的术语，与 Splunk Enterprise Security 8.0 中安全工作流程的各个阶段保持一致。 

Splunk 安全产品高级副总裁兼总经理 Mike Horn 表示：“Splunk Enterprise Security 8.0 的最新改进彻底革新了分析师的 TDIR 生命周期体验。我们最新发布的产品提供了一个无缝的调查和案例管理解决方案，其中包含与 Splunk SOAR 的集成自动化，使 SOC 团队能够高效应对日益复杂的网络安全挑战。Splunk Enterprise Security 8.0 为未来的 SOC 奠定了基础，有助于在不断变化的威胁环境中实现主动防御。”

Federated Analytics：从 Amazon Security Lake 开始，跨 Splunk 和外部数据源进行数据分析

Splunk 的 Federated Analytics 功能引入了一种全新的数据分析方法，此功能已在 Splunk Cloud Platform 和 Splunk Enterprise Security 的云部署中提供非公开试用。该解决方案使客户能够直接在数据存储位置进行分析，实际体验首先将从 Amazon Security Lake（该服务可将来自 Amazon Web Services (AWS) 环境、主流 SaaS 提供商、本地环境和云端来源的企业安全数据集中整合到专用数据湖内）开始，用于威胁搜寻，并可将特定数据导入 Splunk 以进行频繁威胁检测。通过与 Amazon Security Lake 的无缝集成，Federated Analytics 功能使组织能够在无需变换数据位置的情况下高效检测和调查安全事件。这一功能可确保实现快速、富含上下文的数据分析，能够提高运维敏捷性，并为未来扩展到其他数据平台奠定了基础。

通过 Federated Analytics 功能，安全团队可以：

• 在数据所在位置进行分析：确保及时访问和分析跨存储位置的数据，保持数据完整性并减少延迟。
• 跨数据统一安全可见性：通过无缝的分析师体验集成和分析来自 Splunk 和 Amazon Security Lake 的数据，提供安全数据的全面视图，并降低成本和物流复杂性。
• 提高效率和成本效益：通过智能数据管理策略（如数据分层和选择性数据摄入）来优化运维成本，显著降低与数据管理相关的费用。

Amazon Web Services (AWS) 风险管理总监 Mark Terenzoni 表示：“通过 Amazon Security Lake 和 Splunk 的 Federated Analytics，客户现在可以体验到数据安全和可访问性方面的显著进步，它们支持多种 SOC 应用场景，如监控和威胁搜寻等等。Federated Analytics 解决方案使得组织能够在维持强大安全措施的同时，充分利用 Amazon Security Lake 提供的全方位的功能。我们对与 Splunk 的合作充满期待，此次合作将让客户无需移动数据即可对大量数据源进行即时索引，从而满足调查应用场景的需求。Federated Analytics 和 Open Cybersecurity Schema Framework (OCSF) 的合作体现了我们在网络安全领域推动创新和提高效率的共同愿景。”

增强安全防御：Cisco Talos 与 Splunk Security 产品相集成

在 Cisco 收购 Splunk 之后，安全团队将能够利用 Cisco Talos 威胁情报的强大能力，通过 Splunk Attack Analyzer、Splunk Enterprise Security 和 Splunk SOAR 来加强对已知和新兴威胁的防御。Cisco Talos 作为全球深受信赖的威胁情报团队，由世界一流的研究人员、分析师、事件响应专家和工程师组成。

Splunk 的客户可以利用 Talos 广泛的情报网络，简化威胁检测和响应流程，减少警报疲劳，让安全分析师能够专注于关键威胁。这有助于通过全球实时威胁爆发、上下文洞察和高级关联分析来快速识别和优先处理真实威胁。

Talos 实时情报的技术集成正在 Splunk 产品组合中推进，包括 Splunk Enterprise Security、Splunk SOAR 和 Splunk Attack Analyzer。

产品上市日期

Splunk Enterprise Security 8.0 目前处于非公开试用阶段，将于 2024 年 9 月正式推出。Splunk 的 Federated Analytics 功能 将从 2024 年 7 月起提供非公开试用。 

Cisco Talos 威胁情报与 Splunk Enterprise Security、Splunk SOAR 和 Splunk Attack Analyzer 的集成将很快实现。

如需详细了解 Splunk 发布的所有 .conf24 年度用户大会公告的信息，请访问我们的新闻编辑室。具体上市日期及发售地区可能会有所调整。