端科技您的位置:首页 >科技 >

Splunk希望您监控员工的行为

Splunk宣布了一项新工具,用于识别内部威胁并升级其安全产品,以使安全分析师领先黑客一步。第一款产品是Splunk Enterprise Security 4.0,这是其签名安全软件的最新版本,曾经被称为Splunk App for Enterprise Security。

Splunk希望您监控员工的行为

该工具的新功能包括三个功能,旨在帮助安全分析师专注于响应攻击和发现威胁。Investigator Journal帮助安全分析师根据合规性原因自动跟踪他们的调查,而不是中断它以编制他们为HR做的事情的日志。

昨天在拉斯维加斯举行的Splunk的.conf2015活动上向IT专业人士发表讲话,首席安全传播者Monzy Merza说:“它向分析师显示他们的所有活动,所以他们去过的任何仪表板,他们填写的任何外国领域,他们对企业做的任何事情安全,就在那里。

“这真的是试图让分析师把重点放在调查而不是所有这些其他报告要求上,因为老实说大多数分析师都讨厌这部分工作。”

调查员时间线允许安全专业人员保持单独的时间线记录黑客或攻击的行为。

梅尔扎说,它结束了大多数分析师在调查过程中保留的凌乱笔记。

“纸上有纸币,Excel纸张复制粘贴,浏览器打开55个标签。这使得维持背景非常困难,[以]有组织的方式向前推进,“他说。

“时间表允许您快速添加您在调查中看到的任何事件,以便继续前进。”

它还允许不同的安全团队成员将事件,操作和注释放入时间线。

最后,企业安全框架允许开发人员,客户和供应商通过利用框架的警报管理,风险,威胁情报以及身份和资产功能的应用程序来扩展安全性。

Merza表示,“任何人都可以在企业安全的基础上构建其他内容,无论是客户,合作伙伴还是构建内容的人。”

“他们可以通过他们想要的任何机制将其推出,并且可以迅速融入企业安全。”

跟踪内部威胁

Splunk的另一项安全声明涉及其在7月收购行为分析公司Caspida,将其折叠为Splunk用户行为分析(UBA)的产品系列,旨在发现内部威胁。

Merza解释说:“你可以描述用户的行为活动。这是实时的以及长时间的实施 - 多天,多周,因为我们知道人们的活动并不总是粉碎和抢夺,有时它们会持续很长一段时间。“

它允许您做的另一件事是将任何用户与他或她的同伴进行比较,以寻找该工作角色的异常行为。

“因此,如果你和我是同一组织的工程师,我们的行为基本上会非常相似,但我们可以分析是否发生了不同的事情[并找到]你的证书可能会受到损害,”Merza说。

“登录尝试太多,从不同的地方登录,移动大文件,所有这些类型的东西。我们可以将其捆绑起来并将其视为一个问题,并得出结论可能正在进行一些数据泄露。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。