Optimização de dados

Normalização

A normalização de dados é uma forma de ingerir e armazenar os seus dados no Splunk platform utilizando um formato comum de consistência e eficiência. Ao ingerir uma nova fonte de dados ou ao rever dados existentes, considere se ela segue o mesmo formato para dados de tipos e categorias semelhantes. Ao realizar uma pesquisa ou agendamento de pesquisas, isso economizará tempo e aumentará o desempenho.

Enriquecimento

Enriquecimento dos seus dados no Splunk platform fornece uma maneira de adicionar contexto e informações adicionais para acelerar o seu tempo médio de resposta (MTTR).

Ao tentar entender mais sobre dados ou eventos, pesquisar manualmente informações adicionais sobre esse evento leva tempo. O Splunk platform permite enriquecer os eventos e adicionar automaticamente informações de outras fontes, tornando esse processo muito mais rápido.

Por exemplo, pode usar feeds de inteligência de ameaças para enriquecer um evento notável em Splunk Enterprise Security . Enriquecendo a sua Splunk Enterprise Security evento notável com informações de inteligência de ameaças, pode adicionar informações valiosas ao evento que lhe fornecerão insights acionáveis sem ter que procurá-los manualmente. Isto melhora os fluxos de trabalho dos seus analistas e acelera o seu tempo de resposta.

Disponibilidade e retenção de dados

A disponibilidade de dados descreve a frequência com que os seus dados estão disponíveis para serem utilizados. Durante um incidente de segurança ativo, não ter os dados corretos ou o prazo correto de dados prontos no Splunk platform podem ter consequências graves. Além disso, problemas inesperados ou interrupções na gestão de dados são inevitáveis, pelo que o seu sistema deve ser capaz de contornar esses problemas e, ao mesmo tempo, permitir que aceda aos dados de que necessita.

Estabelecer e manter uma implementação segura e bem-sucedida do Splunk começa com os dados certos. Terá de planear e implementar estruturas de estrutura comuns em torno do sistema e dos próprios dados para que os dados certos estejam no lugar. Deverá definir os seus requisitos e, em seguida, desenvolver políticas que adiram a esses requisitos, aderindo a uma estrutura baseada em estrutura para atividades de gestão de eventos. Estas atividades incluem a geração de eventos, transmissão, armazenamento, análise, retenção e eliminação.

Quais são os benefícios da normalização, enriquecimento e efetiva disponibilidade e retenção de dados?

A ingestão correta de dados produz muitos benefícios que facilitam a implementação de outras soluções. Permite que a sua equipa se concentre nas tarefas de análise e priorização que são mais importantes para a sua organização. O enriquecimento dos dados na sua análise de incidentes de segurança fornece informações adicionais valiosas sobre os eventos e acelera o tempo de resolução. Enquanto algumas empresas são mais sensíveis ao tempo do que outras, manter a disponibilidade dos dados é essencial para o desempenho e a continuidade dos negócios de qualquer organização. Alguns benefícios adicionais são:

• Os dados podem ser formatados de forma fiável e consistente.
• Alertas e regras de correlação podem ser mais fáceis de implementar.
• As aplicações e complementos podem ser mais fáceis de implementar.
• Aumento da confiança e integridade dos dados.
• As informações podem ser adicionadas automaticamente a eventos de segurança e pesquisas de correlação.
• As tarefas manuais do analista podem ser automatizadas.
• Os eventos notáveis de segurança podem ser agregados num único painel.
• Os silos de dados podem ser quebrados.
• A eficiência operacional pode ser melhorada.
• O ruído pode ser filtrado a partir de fontes de inteligência para melhorar automaticamente a priorização de alertas.
• Os dados de inteligência sobre ameaças podem ser partilhados entre equipas, ferramentas e parceiros de partilha.
• O enriquecimento baseado em inteligência normalizada pode ajudá-lo a impulsionar a eficiência.
• O ciclo de vida dos dados pode ser melhor controlado com armazenamento e gestão adequados.
• A continuidade do serviço pode ser melhorada, com implementações altamente disponíveis que permitem um acesso “sempre ligado”.
• O armazenamento e o custo global de gestão e manutenção de dados podem ser melhorados, com base nos padrões de utilização ou procura.
• Os dados podem ser mais bem protegidos, evitando que os dados sejam mal utilizados e mantendo-os seguros em repouso e em trânsito.

Quais são as melhores práticas de otimização de dados?

A Splunk recomenda as seguintes melhores práticas:

• Utilizar o Modelo de Informação Comum (CIM).
• Dados a bordo para o Splunk platform utilizando o Gestor de Dados ou encaminhadores.
• Utilizar o Complemento OCSF-CIM para Splunk .
• Criar um estratégia de escalonamento de dados organizar os dados de acordo com a sua idade, frequência de pesquisa e o caso de uso que suporta.
• Melhore o gerenciamento do pipeline de dados filtrando, mascarando, transformando e encaminhando os dados com o Construtores de pipeline de gestão de dados Splunk (Edge Processor e Ingest Processor .)
• Crie uma política de armazenamento e retenção de dados para o seu Empresa Splunk ou Plataforma Cloud Splunk implantação.

As áreas específicas do seu ambiente que poderá querer monitorizar para ajudar a garantir que os seus dados estão devidamente disponíveis e a ser geridos de forma adequada incluem:

• Ligações em marcha lenta. As ligações ociosas utilizam recursos, congestionam redes e impactam o desempenho do sistema. As ligações inactivas também podem indicar problemas e mostrar lacunas na disponibilidade de dados.
• Consultas, comandos ou trabalhos de longa duração. Isto aplica-se não apenas a consultas de bases de dados ou trabalhos, mas também a comandos e cópias de segurança. Estes tipos de ações digitais podem ser um indicador de mau funcionamento do sistema, velocidades lentas do disco, contenção de CPU ou outros recursos, ou problemas sistémicos mais profundos.
• Entrada/saída de disco. A E/S de disco refere-se normalmente às operações de entrada/saída do sistema relacionadas com a actividade do disco. O acompanhamento da E/S do disco pode ajudar a identificar estrangulamentos, configurações de hardware inadequadas, discos com tamanhos inadequados ou layouts de disco mal ajustados para uma determinada carga de trabalho.
• Memória. Monitorizar a memória ajuda-o a analisar engarrafamentos ou fugas de tráfego, identificar sistemas com dimensões inadequadas, compreender cargas e ver picos de atividade. Além disso, conhecer padrões de memória intensiva pode ajudá-lo a antecipar as exigências de disponibilidade.
• Espaço em disco. A monitorização do espaço em disco está disponível de várias formas, e utilizá-la como uma métrica pode evitar problemas desnecessários e esforços dispendiosos para introduzir mais espaço.
• Erros e alertas. Erros, alertas e mensagens de recuperação nos registos são outra boa métrica a considerar. A adição de monitorização de registos para mensagens FATAL, PANIC e de erro chave pode ajudá-lo a identificar problemas dos quais a solução de disponibilidade está a recuperar frequentemente, tais como falhas do sistema ou da aplicação, despejos principais ou erros que exigem tempo de inatividade do sistema.

Que práticas de otimização de dados devo implementar?

Estes recursos adicionais irão ajudá-lo a implementar esta orientação:

• Tipo de produto: Gestão de modelos de dados no Enterprise Security
• Tipo de produto: Normalização de dados de Segurança Empresarial com complementos tecnológicos
• Tipo de produto: Integração de dados para Splunk Enterprise Security
• Tipo de produto: Utilizando o Splunk Enterprise Security enquadramento de ativos e identidades
• Tipo de produto: Protegendo corretamente os índices Splunk
• Guia de introdução: Como introduzir dados no ES
• Guia de introdução: Aplicação Unificada: Caso de Utilização - Splunk Intelligence Management (TruStar)
• Sessão.Conf: Integração de dados: Por onde começo?
• Estrutura de Sucesso do Splunk: Gestão do ciclo de vida dos dados