Splunk App for Enterprise Security (ES) and PCI Compliance (PCI) 是 Splunk 兩個資安上的重量級應用,也是 Splunk 少數的收費 Apps ,裡面大量使用了 Splunk 的 關連搜尋(Correlation Searches) 與 深入搜尋(Drill-down searches) 兩項技術。
關連搜尋技術如同傳統 SIEM 的技術一般,能夠把不同類型的事件串連,這裡就不多說。而 Drill-down 充分發揮了 Splunk 的搜尋能力,讓 Splunk 的搜尋結果變成可以操作的互動式介面,讓使用者可以直覺的深入搜尋數字背後的相關事件。就是眾多像這樣的 Splunk 技術與能力,讓 Splunk + ES 可以在今年的 Gartner MQ SIEM 項目進入領導者象限。
以下是 Drill-down 的幾個簡單應用:
1. 看到柱狀圖中特定時間內的事件量出現峰值,就可以點進去看到底是哪些 Event。
2. 登入失敗次數前十大的使用者,點 User ID 就可以看到這個 User 的登入失敗紀錄。
3. 發現 proxy log 中連往特定網站的紀錄異常大量,點一下 URL 就可以看到哪些內部 IP ,點 IP 就可以看到同時段所有相同來源 IP 的 Events,再去點防毒的紀錄尋找最近有無中毒紀錄....
而且 Drill-down 還可以串連,因此 A->B->C->D 並不是不可能的,另外還可以連到外部資源,例如從 Web Access Log 中點 ProductID 可以實際連到網頁上的商品頁面,帥吧!
http://www.function1.com/2013/07/splunk-app-for-enterprise-security-and-pci-compliance-correlation-search-drill-downs/
沒有留言:
張貼留言