Optimización de datos

Normalización

La normalización de datos es una forma de ingerir y almacenar sus datos en el Splunk platform utilizando un formato común para garantizar la coherencia y la eficiencia. Al incorporar una nueva fuente de datos o al revisar los datos existentes, tenga en cuenta si siguen el mismo formato para los datos de tipos y categorías similares. Al realizar una búsqueda o programar búsquedas, esto ahorrará tiempo y aumentará el rendimiento.

Enriquecimiento

Enriquecimiento de sus datos en Splunk platform proporciona una forma de añadir contexto e información adicionales para acelerar el tiempo medio de respuesta (MTTR).

Al intentar obtener más información sobre los datos o los eventos, la búsqueda manual de información adicional sobre ese evento lleva tiempo. El Splunk platform permite enriquecer los eventos y añadir automáticamente información de otras fuentes, lo que hace que el proceso sea mucho más rápido.

Por ejemplo, puede usar fuentes de inteligencia sobre amenazas para enriquecer un evento notable en Splunk Enterprise Security . Enriquece tu Splunk Enterprise Security Con información procedente de la inteligencia de amenazas, puede añadir información valiosa al evento que le proporcionará información útil sin tener que buscarla manualmente. Esto mejora los flujos de trabajo de sus analistas y acelera el tiempo de respuesta.

Disponibilidad y retención de datos

La disponibilidad de los datos describe la frecuencia con la que los datos están disponibles para su uso. Durante un incidente de seguridad activo, no tener listos los datos correctos o el marco temporal de datos correcto en el Splunk platform puede tener consecuencias graves. Además, los problemas inesperados o las interrupciones en la administración de datos son inevitables, por lo que su sistema debería poder solucionar estos problemas y, al mismo tiempo, permitirle acceder a los datos que necesita.

Establecer y mantener una implementación segura y exitosa de Splunk comienza con tener los datos correctos. Tendrás que planificar e implementar estructuras estructurales comunes en torno al sistema y a los propios datos para disponer de los datos correctos. Debe definir sus requisitos y, a continuación, desarrollar políticas que se ajusten a esos requisitos, al tiempo que se adhiere a un marco basado en la estructura para las actividades de gestión de eventos. Estas actividades incluyen la generación, la transmisión, el almacenamiento, el análisis, la retención y la eliminación de eventos.

¿Cuáles son los beneficios de la normalización, el enriquecimiento y la disponibilidad y retención efectivas de los datos?

La ingesta correcta de datos produce muchos beneficios que facilitan la implementación de otras soluciones. Permite a su equipo centrarse en las tareas de análisis y priorización que son más importantes para su organización. Al enriquecer los datos incluidos en la revisión de los incidentes de seguridad, se obtiene información adicional valiosa sobre los eventos y se acelera el tiempo de resolución. Si bien algunas empresas necesitan más tiempo que otras, mantener la disponibilidad de los datos es esencial para el rendimiento y la continuidad empresarial de cualquier organización. Algunos beneficios adicionales son:

• Los datos se pueden formatear de forma fiable y coherente.
• Las alertas y las reglas de correlación pueden ser más fáciles de implementar.
• Las aplicaciones y los complementos pueden ser más fáciles de implementar.
• Mayor confianza e integridad de los datos.
• La información se puede agregar automáticamente a los eventos de seguridad y a las búsquedas de correlación.
• Las tareas manuales de los analistas se pueden automatizar.
• Los eventos importantes de seguridad se pueden agregar en un único panel.
• Los silos de datos se pueden desglosar.
• Se puede mejorar la eficiencia operativa.
• El ruido se puede filtrar de las fuentes de inteligencia para mejorar automáticamente la priorización de las alertas.
• Los datos de inteligencia sobre amenazas se pueden compartir entre equipos, herramientas y socios de intercambio.
• El enriquecimiento basado en inteligencia normalizada puede ayudarlo a impulsar la eficiencia.
• El ciclo de vida de los datos se puede controlar mejor con el almacenamiento y la administración adecuados.
• La continuidad del servicio se puede mejorar con despliegues de alta disponibilidad que permiten un acceso «siempre activo».
• El almacenamiento y el costo general de la administración y el mantenimiento de los datos se pueden mejorar en función de los patrones de uso o demanda.
• Los datos se pueden proteger mejor, evitando que se usen indebidamente y manteniéndolos seguros en reposo y en tránsito.

¿Cuáles son las mejores prácticas de optimización de datos?

Splunk recomienda las siguientes prácticas recomendadas:

• Usa el Modelo de información común (CIM).
• Datos integrados al Splunk platform utilizando Data Manager o reenviadores.
• Usa el El complemento OCSF-CIM para Splunk .
• Crea un estrategia de organización de datos por niveles para organizar los datos según su antigüedad, frecuencia de búsqueda y el caso de uso que admiten.
• Mejore la administración de la canalización de datos filtrando, enmascarando, transformando y enrutando los datos con Los creadores de canales de administración de datos de Splunk (procesador Edge y procesador de ingesta) .)
• Cree una política de almacenamiento y retención de datos para su Splunk Enterprise o Plataforma Splunk Cloud implementación.

Entre las áreas específicas de su entorno que es posible que desee supervisar para garantizar que los datos estén disponibles y se administren adecuadamente se incluyen las siguientes:

• Conexiones inactivas. Las conexiones inactivas consumen recursos, congestionan las redes y afectan al rendimiento del sistema. Las conexiones inactivas también pueden indicar problemas y mostrar brechas en la disponibilidad de datos.
• Consultas, comandos o trabajos de larga duración. Esto se aplica no solo a las consultas o trabajos de bases de datos, sino también a los comandos y las copias de seguridad. Este tipo de acciones digitales pueden ser un indicador de un mal estado del sistema, de una velocidad lenta de los discos, de una escasez de CPU u otros recursos o de problemas sistémicos más graves.
• Entrada/salida de disco. La E/S de disco normalmente se refiere a las operaciones de entrada/salida del sistema relacionadas con la actividad del disco. El seguimiento de la E/S de los discos puede ayudar a identificar los cuellos de botella, las configuraciones de hardware deficientes, los discos con un tamaño incorrecto o los diseños de disco mal ajustados para una carga de trabajo determinada.
• Memoria. La supervisión de la memoria le ayuda a detectar atascos o fugas de tráfico, identificar sistemas con un tamaño incorrecto, comprender las cargas y detectar los picos de actividad. Además, conocer los patrones de uso intensivo de memoria puede ayudarlo a anticipar las demandas de disponibilidad.
• Espacio en disco. La supervisión del espacio en disco está disponible de muchas formas, y utilizarla como métrica puede evitar problemas innecesarios y esfuerzos costosos para introducir más espacio.
• Errores y alertas. Los errores, las alertas y los mensajes de recuperación en los registros son otra buena métrica a tener en cuenta. Incorporar la supervisión de registros para detectar los mensajes FATALES, DE PÁNICO y de ERROR clave puede ayudarle a identificar los problemas de los que su solución de disponibilidad se recupera con frecuencia, como los bloqueos del sistema o de las aplicaciones, los volcados de núcleos o los errores que requieren tiempo de inactividad del sistema.

¿Qué prácticas de optimización de datos debo implementar?

Estos recursos adicionales le ayudarán a implementar esta guía:

• Sugerencia sobre el producto: Administración de modelos de datos en Enterprise Security
• Sugerencia de producto: Normalización de los datos de seguridad empresarial con complementos tecnológicos
• Sugerencia de producto: Incorporación de datos a Splunk Enterprise Security
• Consejo de producto: Uso del Splunk Enterprise Security marco de activos e identidades
• Sugerencia de producto: Proteger correctamente los índices de Splunk
• Guía de inicio: Introducir datos en ES
• Guía de inicio: Aplicación unificada: caso de uso: Splunk Intelligence Management (TruStar)
• Sesión .Conf: Incorporación de datos: ¿por dónde empiezo?
• Marco de éxito de Splunk: Administración del ciclo de vida de datos