Skip to main content
Lanterna Home

Splunk Lantern

Começar com Splunk Security Essentials

  1. Last updated
  2. Save as PDF

Principais características

Splunk Security Essentials (SSE) fornece casos de utilização de segurança predefinidos e conteúdos de segurança acionáveis para começar a abordar ameaças e avaliar lacunas de forma rápida e eficiente. Você pode aproveitar a ampla biblioteca de casos de uso para eliminar lacunas na postura defensiva, implementar detecções e medir e justificar novas fontes de dados com base na cobertura de ameaças e riscos para o negócio. Além disso, a profunda integração com o MITRE ATT&CK e a cadeia Cyber Kill ajuda-o a configurar Splunk Enterprise Security ao enviar atribuições para o Painel de Análise de Incidentes, avaliar o nível de cobertura das táticas e técnicas da ATT&CK e integrar eventos baseados em risco e alertas.

  • Biblioteca de conteúdos de segurança
    • Navegue, marque e implemente mais de 900 detecções de segurança com apenas alguns cliques.
    • Encontre o conteúdo de segurança certo filtrando por meio de casos de uso, ameaça, fonte de dados ou estrutura de segurança cibernética.
    • Fique à frente das ameaças com conteúdo que extrai as detecções mais recentes da Equipa de Pesquisa de Ameaças do Splunk.
  • Frameworks de cibersegurança
    • Mapeie automaticamente os seus dados para estruturas de cibersegurança como MITRE ATT&CK e Cyber Kill Chain.
    • Meça a sua postura empresarial face aos frameworks e identifique facilmente lacunas para reforçar as suas defesas.
    • Aprofunde-se nas táticas, técnicas e grupos de ameaças do MITRE para entender quais detecções estão ligadas às diferentes fases da Kill Chain.
  • Introspecção de dados e conteúdos
    • Inspecione e analise os dados e os conteúdos de segurança já existentes no seu ambiente.
    • Obtenha uma melhor compreensão do seu ambiente Splunk, bem como de que forma os seus dados são ou podem ser compatíveis com o Common Information Model (CIM).
    • Enriqueça o seu conteúdo de segurança existente com tags e metadados, tais como categorias de ameaças e fontes de dados, notas MITRE ATT&CK e muito mais.
  • Jornada de Dados de Segurança
    • Desenvolver um roteiro de maturidade com recomendações de segurança e dados.
    • Acompanhe e meça o seu progresso através da Jornada de Dados de Segurança.
    • Implemente as melhores práticas e detecções com os dados que já está a recolher.
    • Priorizar a ingestão de novas fontes de dados para aumentar a cobertura e reduzir riscos.

Além disso, pode fazer a curadoria da sua própria biblioteca de conteúdos utilizando a funcionalidade de marcadores no SSE. Pode construir um repositório de conteúdo de segurança para planeamento, saber se faltam dados para tornar o conteúdo eficaz, acompanhar o estado da implementação e exportar o conteúdo numa variedade de métodos para integrar facilmente noutro ambiente Splunk.

Benefícios da implementação de SSE e da utilização de casos de utilização de conteúdos de segurança

Splunk Security Essentials é uma extensa biblioteca de conteúdo de segurança que fornece orientações detalhadas sobre o porquê e como expandir o conteúdo do seu caso de uso de segurança no Splunk platform , Splunk Enterprise Security , Splunk User Behavior Analytics , e Splunk SOAR ambientes. A SSE usa o SPL de pesquisa padrão combinado com pré-requisitos de dados para ajudá-lo a determinar se um caso de uso possui os dados certos para obter o máximo valor do conteúdo em que está interessado. A implementação de um caso de uso de SSE requer três etapas:

  1. Valide se tem os dados corretos integrados e se os campos que pretende monitorizar estão devidamente extraídos.
  2. Verifique se o formato dos dados (ou uma pesquisa, se apropriado) está correto para que você esteja apenas olhando para os itens de foco.
  3. Salve ou agende a pesquisa.

Os componentes que tornam o SSE tão valioso para a expansão de casos de uso são:

  • Caso de uso e categorização . Seleccione a partir de casos de utilização de segurança predefinidos e granular através da categorização de ameaças específicas.
  • Disponibilidade de dados . Compreender os dados que possui e a sua qualidade ou os dados de que necessita para acrescentar valor às suas operações de segurança.
  • Atribuição do Cyber Framework . Melhore os seus dados com táticas e técnicas MITRE e fases Cyber Kill Chain.
  • Resultados da pesquisa e SPL . Perceba o que está a ocorrer sob o capô com a documentação SPL linha a linha.
  • Visualizações . Os analistas utilizam dashboards e heatmaps para avaliar a postura e identificar lacunas na cobertura de ameaças.
  • Introspecção. Examine suas pesquisas salvas atuais, determine o alinhamento da detecção ao conteúdo SSE ou crie detecções personalizadas.

Splunk Security Essentials as detecções de conteúdo e nativas podem ser provenientes da coleção de pesquisas prontas para uso ou pode criar as suas próprias pesquisas personalizadas guardadas para construir a sua própria biblioteca para utilizar o SSE como um catálogo de conteúdo.

Como implementar Splunk Security Essentials e utilizar casos de utilização de Conteúdos de Segurança

Localizar e analisar casos de utilização a partir da página Conteúdo de Segurança

A página Conteúdo de Segurança é a principal página de destino para Splunk Security Essentials . A partir desta página pode facilmente obter uma lista completa de conteúdos ou mergulhar mais fundo em qualquer item individual usando uma variedade de filtros. Vamos explorar alguns dos itens na Fase 1 da jornada de segurança.

  1. A partir do menu principal em Splunk Security Essentials , navegue até ao Conteúdo de Segurança página.
  2. Navegar até Monitorização e Detecção como ponto de partida. A SSE tem cerca de 120 pesquisas de detecção na Fase 1.
  3. Clique numa pesquisa de detecção para saber como ela pode ajudá-lo. Por exemplo, clicar na pesquisa de detecção Detecção Básica de Força Bruta aprofunda o contexto para que possa compreender o impacto da pesquisa, aprender como funciona, adaptá-la ao seu ambiente e lidar com os alertas que serão gerados por este evento. Nos detalhes do conteúdo, pode ver as seguintes informações:
    • Links de fontes de dados. Clique nestes links para ver várias tecnologias populares, não apenas uma lista de tecnologias que fornecem essas fontes de dados. Pode também encontrar a documentação de instalação aqui.
    • Capacidades relacionadas do Splunk, falsos positivos conhecidos, como responder. Cada um destes elementos ajuda-o a aprender a implementar e responder a estas pesquisas.
    • Activar o modo SPL. Ao activar o modo SPL, pode ver as verificações de pré-requisitos que garantem a integração dos dados correctos, aceder aos botões Abrir na Pesquisa e agendar a pesquisa guardada diretamente a partir da aplicação. Caso o seu ambiente não seja totalmente compatível com isso, a SSE fornece orientações sobre como lidar com isso.

  4. Clicar Documentação SPL linha a linha link para abrir uma secção comentada. Isto ajuda-o a compreender o que a SPL faz e o que está a acontecer na execução do seu caso de utilização.
  5. Clique no Ver SPL link para aceder aos botões Ver, que mostra uma lista das pesquisas disponíveis para cada pesquisa de conteúdo de segurança.

  6. Também pode abrir o Como Responder secção, que o ajuda a compreender porque é que este caso de utilização está a ser detectado e o que pode fazer para ajudar a garantir a identificação e o tratamento corretos.

Entenda os dados que possui e deixe Splunk Security Essentials guiá-lo para conteúdos valiosos

Pode utilizar o SSE para tirar partido do trabalho que já realizou no seu ambiente e configurar os produtos que são implementados com o Painel de Inventário de Dados.

O painel Inventário de Dados é utilizado para configurar os produtos que tem no seu ambiente. Os produtos têm uma variedade de metadados, como tipos de origem, volume de eventos e conformidade com o Modelo de Informação Comum (CIM), e estão ligados a categorias de fontes de dados. O painel Inventário de Dados pode mostrar qual conteúdo pode ser ativado usando seus dados atuais.

Para usar o painel Inventário de Dados, siga estas etapas:

  1. Navegar até Dados > Inventário de Dados .
  2. Na janela pop-up, seleccione uma das seguintes formas de introduzir os seus dados neste painel.
    • Lançar a Introspecção Automatizada. Se Splunk Security Essentials está instalado no cabeçote de pesquisa de produção, clique em Lançar a introspecção automatizada para importar dados automaticamente. A introspecção permite Splunk Security Essentials para ver quais dados tem disponíveis para usar em toda a aplicação.
      Se escolher a Introspecção Automatizada, clique em Introspecção Automatizada ver as cinco etapas de introspecção automatizadas que extraem uma variedade de dados.
    • Configurar manualmente. Clicar Configurar manualmente para introduzir manualmente os seus dados.
  3. Se alguma das suas fontes ou tipos de origem não aparecer corretamente, clique em Actualizar na coluna Ações para fazer alterações.
  4. Depois de os seus dados aparecerem no menu, se houver um X ou um ponto de interrogação (?) ao lado de uma fonte de dados no menu, revise manualmente a fonte de dados para ver se tem esse tipo de dados no seu ambiente.

Rever táticas e técnicas do MITRE ATT&CK e encontrar detecções

Ao analisar ataques e ameaças comuns à cibersegurança, poderá notar que a maioria dos relatórios fornece alinhamentos de estrutura comuns, como as técnicas MITRE ATT&CK utilizadas no ataque.

Siga estes passos para pesquisar estas técnicas MITRE ATT&CK no SSE para ver rapidamente se o seu ambiente tem detecções para ajudar a proteger contra elas:

  1. A partir do menu principal em Splunk Security Essentials , navegue até ao Conteúdo de Segurança página.
  2. Copie e cole ou insira uma ou mais técnicas MITRE ATT&CK do relatório de ataque na barra de pesquisa. Em alternativa, pode adicionar e utilizar o filtro ATT&CK Technique para selecionar os IDs de técnica MITRE ATT&CK para os quais pretende encontrar conteúdo.
  3. Revise as detecções que aparecem para determinar se o seu ambiente está protegido contra o possível ataque.
  4. (Opcional) Clique Editar e habilitar o Conteúdo Ativado filtro e Disponibilidade de Dados filtro. Utilize o Conteúdo Ativado filtrar para filtrar as detecções com base nas detecções que já estão a ser executadas no seu ambiente. Se uma detecção estiver activada, já tem alguma protecção contra as técnicas listadas. Utilize o Disponibilidade de Dados filtrar para filtrar as detecções com base no facto de ter os dados disponíveis para elas.

A jornada de segurança da SSE

Não importa onde esteja na construção das suas operações e processos de segurança, Splunk Security Essentials tem uma maneira de o ajudar a avaliar, implementar e medir o seu progresso. Usando o SSE Security Data Journey, pode desenvolver um roteiro de maturidade com recomendações de segurança e dados para proteger a sua empresa. Pode acompanhar o progresso do seu programa de segurança e compreender os marcos e possíveis desafios em cada etapa da viagem. Também pode implementar as melhores práticas e detecções de segurança com os dados que já está a recolher para melhorar a sua postura de segurança. Por fim, pode utilizar os guias de integração de dados para recolher e analisar atividades adicionais do anfitrião, da rede e da conta.