Skip to main content
Lanterna Home

Splunk Lantern

Visão geral - Splunk Intel Management (TruStar)

  1. Last updated
  2. Save as PDF

O Splunk Intel Management (Legacy) chegou ao fim da venda. Se é um Splunk Enterprise Security cliente interessado em funcionalidades semelhantes através do Splunk Threat Intelligence Management, consulte a seguinte página: Utilizar a Gestão de Inteligência contra Ameaças . Também pode saber mais sobre a nova funcionalidade Splunk Threat Intelligence Management aqui: Avaliar ameaças usando dados de inteligência no Splunk Mission Control .

Neste pequeno vídeo, irá aprender sobre o Splunk Intel Management (Legacy), o que é e como pode ajudar a sua equipa de segurança.

O que é o Threat Intelligence?

Threat Intelligence é a recolha e contextualização de dados que incluem indicadores, táticas e técnicas para realizar a detecção, mitigação, análise e resposta informadas de ameaças baseadas no risco. Criar e usar inteligência de ameaças é um processo com a ação como objetivo final. O objetivo é produzir inteligência que possa ser reciclada de volta ao processo para que a postura de cibersegurança de uma organização esteja a melhorar continuamente.

A criação de inteligência contra ameaças começa com blocos de construção de dados que são recolhidos, processados e analisados antes que possam ser úteis. Para obter informações sobre ameaças, alguém ou alguma coisa precisa de extrair uma quantidade imensa de informação para resolver o que é relevante.

Os dados de ameaças são geralmente indefinidos e, por si só, não indicam se é uma ocorrência normal ou uma ameaça potencial. Os analistas de segurança humana não conseguem analisar o volume de dados gerados num determinado dia e devem contar com ferramentas que ajudem a organizar e apresentar esses dados de forma significativa. O processo de inteligência começa por colocar observáveis concretos nos dados no contexto do que já sabemos ou suspeitamos ser malicioso. Contexto e observáveis interessantes podem certamente vir da análise interna, mas mais frequentemente são aprendidos através de relatórios de inteligência. Feeds de ameaças que são preenchidos por entidades ou comunidades privadas ou públicas que dedicam recursos à análise de dados e disseminação de informações sobre ameaças. Grupos de partilha que se concentram em setores ou verticais específicos, bem como fornecedores como o VirúsTotal ou o Crowdstrike, geram informação sobre potenciais ameaças numa base constante. Correlacionar os observáveis conhecidos com o contexto fornecido por fontes de inteligência internas e externas pode produzir indicadores de ameaças potenciais que devem ser borbulhadas e investigadas.

As ameaças conhecidas que foram confirmadas podem ser detectadas e actuadas pelas suas ferramentas de segurança sem intervenção humana dispendiosa. A multiplicidade de feeds de ameaças pode ser curada em relatórios com uma solução de gestão de inteligência de ameaças.

A inteligência sobre ameaças é o produto da análise humana da informação sobre ameaças. Nenhum produto automatizado pode produzir inteligência sobre ameaças. São necessários analistas humanos altamente qualificados com formação em segurança para rever as informações sobre ameaças que estão a ser produzidas, tomar decisões sobre as mesmas com base na experiência ou no conhecimento e produzir inteligência verdadeira que possa ser utilizada de forma fiável para melhorar o programa de cibersegurança de uma organização.

Benefícios do Threat Intelligence

  • Conhecimento partilhado multiplica o sucesso
  • Identificar alvos vulneráveis rapidamente
  • Confirme e refine as Informações sobre Ameaças para o seu ambiente específico
  • Automatize processos repetíveis em torno de ameaças conhecidas
  • Caça a novas ameaças, não as já conhecidas

Como o Splunk Intelligence Management se encaixa no Splunk Security Suite

Splunk Enterprise Security pode ingerir este tipo de informação juntamente com dados internos e produzir eventos notáveis e eventos de risco para análise. Splunk SOAR podem mesmo tomar medidas contra indicadores concretos que foram descobertos e colocados em playbooks.

Pense em analistas que avaliam eventos notáveis da Enterprise Security. Se encontrarem uma ameaça verdadeira, poderão informar a equipa de resposta a incidentes para tomar medidas, adicionar regras ou controlos apropriados a ferramentas ou processos para mitigar a ameaça no futuro e, em seguida, usar essa inteligência de ameaças para refinar as regras e pesquisas que produzem o notável para que seja ainda mais preciso ou automatizado para a sua organização.

Ter um programa de inteligência contra ameaças adiciona essa camada humana crítica que pode interagir com ferramentas como Splunk Enterprise Security e Splunk Intelligence Management para aumentar continuamente a eficácia e, assim, melhorar a postura de segurança. Esse é o objetivo da inteligência contra ameaças, poder alimentar essa inteligência de volta às suas ferramentas e processos, e de volta à comunidade para que você e os outros possam automatizar e proteger contra as ameaças conhecidas. E os seus analistas estão livres para caçar as próximas ameaças que chegam.

É membro da Community Edition?

Veja o nosso vídeo de boas-vindas aqui e saiba mais sobre os benefícios da sua associação ou siga o caminho de Introdução abaixo.

Introdução ao Splunk Intel Management (TruStar)
Páginas: 9

Próximo passo