Configurar e optimizar a Segurança Empresarial
A informação contida neste artigo aplica-se a Splunk Enterprise Security (ES) versões 7.x. Se tem atualizado para Splunk Enterprise Security versão 8.x , algumas terminologias e etapas podem não se aplicar. Para assistência com o ES 8.x, Splunk Professional Services pode ajudar.
Adição de dados de activos e de identidade
A adição de dados de activos e de identidade é uma das melhores práticas e é necessária para uma utilização eficaz dos Splunk Enterprise Security . Pode registar dados de activos e de identidade de algumas formas diferentes:
- Registrar manualmente os dados de activos e identidades no Gestor de Activos e Identidades
- Utilizar o LDAP para registar dados no Active and Identity Manager
- Utilize os dados do seu fornecedor de serviços de cloud para registar dados no Gestor de Ativos e Identidade
Para obter informações detalhadas sobre estes processos, consulte Documentos do Splunk .
Se os Professional Services trataram da sua instalação e configuração, o processo de adição de dados de activos e identidade terá sido iniciado para si.
Configurar utilizadores e funções
Splunk Enterprise Security adiciona três funções às funções padrão fornecidas pelo Splunk platform . As novas funções permitem que um administrador do Splunk atribua acesso a funções específicas no Splunk Enterprise Security com base nos requisitos de acesso de um utilizador. O administrador pode atribuir grupos de utilizadores às funções que melhor se ajustam às tarefas que os utilizadores irão executar e gerir Splunk Enterprise Security . Para saber mais sobre cada função e como adicionar capacidades a elas, consulte Documentos do Splunk .
Enriquecer dados
O enriquecimento de dados envolve o uso de ativos, identidades e inteligência de ameaças.
A Threat Intelligence (TI) é um ativo importante para o enriquecimento de dados que acelera a resposta a incidentes. TI é informação que foi recolhida, analisada e avaliada quanto à fiabilidade por pessoas com profundo conhecimento em segurança. Contém informações que ajudam os consumidores da TI a conduzir investigações e respostas de incidentes mais rápidas. A TI é embalada para fácil integração com ferramentas de análise de segurança, tais como Splunk Enterprise Security , e com ferramentas de orquestração como Splunk SOAR .
A Splunk dispõe ainda de uma Plataforma de Inteligência de Ameaças (TIP) que ajuda na aquisição de TI junto de Centros de Partilha e Análise de Informação (ISACs) ou Organizações de Partilha e Análise de Informação (ISAOs). O TIP permite ainda que a criação e partilha de TI site-specific sejam partilhadas e participem no ciclo de inteligência. O Splunk TIP pode ser integrado ao ES utilizando o Aplicação Unificada TruStar para Splunk Enterprise e Enterprise Security .
Explore conteúdos adicionais que o ajudam a compreender melhor os dados enriquecedores no Splunk Enterprise Security :
- Documentos: Adicionar inteligência contra ameaças a Splunk Enterprise Security
- Sessão.conf: Transforme a sua inteligência para uma automação informada e acionável
- Sessão.conf: Integração de uma plataforma de inteligência contra ameaças
- Blogue: Ativo e identidade para Splunk Enterprise Security - Parte 1: Contextualização de sistemas
- Blogue: Ativo e identidade para Splunk Enterprise Security - Parte 2: Adição de atributos adicionais aos ativos
- Blogue: Ativo e identidade para Splunk Enterprise Security - Parte 3: Capacitar os analistas com mais atributos em notáveis
- Blog: Inspecções sobre ameaças e Splunk Enterprise Security Parte 1 - Qual é o sentido da tecnologia de ameaças no ES?
- Blog: Integração de indicadores de ameaça no Splunk Enterprise Security : SolarWinds continua
Configurar pesquisas de correlação
Uma pesquisa de correlação é um tipo de pesquisa agendada que analisa várias fontes de dados, que podem então ser utilizadas para detectar eventos e padrões suspeitos nos seus dados. Pode configurar uma pesquisa de correlação para gerar uma resposta adaptativa, como a criação de um evento notável quando os resultados da pesquisa satisfazem condições específicas. Em seguida, é possível investigar eventos notáveis usando o painel de revisão de incidentes no Splunk Enterprise Security . Este painel apresenta as condições descobertas pela pesquisa. A urgência do evento e outras informações contextuais também são mostradas para que possa determinar os próximos passos o mais rápido possível.
As pesquisas de correlação são frequentemente sinónimo de casos de uso. Os casos de uso focados na segurança geralmente envolvem a busca de um indicador de comprometimento e, quando encontrados, elevá-lo como um evento para investigação ou correção. Muitas tarefas repetitivas envolvidas na investigação e remediação devem ser automatizadas com um produto SOAR como Splunk SOAR .
Para configurar uma pesquisa de correlação:
- Aceder ao Configurar menu suspenso da aplicação.
- Selecionar Gestão de Conteúdos , e defina o tipo para Pesquisa de Correlação .
- Em seguida, pode activar e desactivar as pesquisas, actualizar as definições que determinam a forma como são executadas, alterar a lógica de pesquisa e limitar as respetivas acções de resposta adaptativa. Esta página de configuração é onde ocorrerá muita afinação e desenvolvimento.
Determinar o que pesquisar, filtrar ou ajustar pode ser complexo. Se precisar de ajuda direta, use Serviços a Pedido cedo e frequentemente para aceder aos peritos disponíveis a pedido. Também pode aceder a catálogo de alguns dos serviços disponíveis para si.
É melhor permitir uma pesquisa de correlação de cada vez, entender como essa pesquisa funciona e validá-la fornece informações valiosas, não apenas ruído. Ativar muitas pesquisas de uma só vez corre o risco de o seu SOC ser inundado com alertas que podem ser difíceis de corrigir. É melhor começar pequeno, pois a velocidade de habilitação, validação e afinação vai ficar mais rápida com a prática. Nenhum SIEM é um empreendimento definido e esquecido. Exige uma prática de melhoria contínua porque a natureza da segurança é em si dinâmica.
A beleza do Splunk Enterprise Security é que é tão expressivo na sua capacidade de ser melhorado e orientado em diferentes direções à medida que uma investigação ou caça se desenrola. Esta flexibilidade torna a sua curva de aprendizagem mais acentuada, mas vale a pena o esforço porque depois de ter um conhecimento prático de como a utilizar, a sua capacidade de detetar, responder e agir sobre incidentes de segurança será robusta e rápida.
Configurar pesquisas é um tópico importante. Se quiser ir mais fundo, aqui estão alguns conteúdos mais úteis para ler:
- Documentos: Visão geral da pesquisa de correlação para o Splunk ES
- Documentos: Configurar pesquisas de correlação no Splunk ES
- Blog: Melhorando o jogo de auditoria para pesquisas de correlação dentro do Enterprise Security — Parte 1: Noções básicas
- Blog: Histórias analíticas para Splunk Enterprise Security , Parte 1: Organizar os meus casos de utilização de segurança
- Tipo de produto: Utilizando o Splunk Enterprise Security enquadramento de ativos e identidades
RBA
Pode utilizar o Risk-based Alerting (RBA) no Splunk Enterprise Security para o ajudar a implementar casos de utilização de forma mais eficiente. Para começar a usar o RBA, consulte os seguintes recursos:
- Lanterna Splunk: Alertas com base no risco
- Dificuldade para resultados: Iniciando a sua Jornada RBA
- Webinar: O futuro e a base da segurança de última geração
- Guia de soluções: Embarque na sua jornada de alerta baseada em risco com a Splunk
- .conf Palestra: Detecção de comportamento suspeito do GitHub com alertas baseados em risco e Segurança Empresarial
Análise comportamental para clientes do Splunk Cloud Platform ES
Para aproveitar as detecções de ameaças para que possa monitorizar as ameaças cibernéticas e melhorar as suas operações de segurança, pode ativar o serviço de análise comportamental em Splunk Enterprise Security . A análise comportamental permite ingerir dados brutos de vários tipos de origem suportados e provisionar locatários automaticamente. Também pode encaminhar notáveis, eventos de risco, ativos e dados de identidade de Splunk Enterprise Security ao serviço de análise comportamental.
Para saber mais sobre como habilitar a análise comportamental, consulte Documentos do Splunk .
Controlo de Missão Splunk
O Splunk Mission Control é uma aplicação em Splunk Enterprise Security que fornece uma experiência de operações de segurança unificada, simplificada e moderna para o seu SOC. Com o Splunk Mission Control, pode unificar capacidades e dados de detecção, investigação e resposta para agir com base em insights prioritários, simplificar as operações ao codificar os seus processos em modelos de resposta e modernizar o seu SOC com automação de segurança (SOAR). Utilizadores elegíveis do ES Cloud implementados nas regiões da AWS mostrados nesta página pode aceder ao Splunk Mission Control diretamente a partir de Splunk Enterprise Security via Selector de aplicações > Mission Control > Activar .