记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Splunk应用威胁情报和进行基于异常的情境分析实例

2015-01-10 23:05

作为业界NGSIEM标杆的Splunk利用威胁情报和进行基于异常的情境分析,进而实现自动化检测响应的4个案例场景。

第一个场景是利用外部安全威胁情报发现内部被木马控制设备,并进行阻断;

第二个场景是基础的基于异常事件发现;

第三个场景是基于行为异常的事件发现;

第四个场景是基于可视化的事件关联。

感兴趣的可以下个splunk试用,自己来玩玩。

这里也补充说一下我对NGSIEM的认识,支持什么大数据相关的我就不说了。

1.必须支持快速的二次开发,报表制作和灵活的数据交互,NGSIEM也不是拿个OpenSOC改一下就成的,起码还需要个Tableua吧。大数据环境下,数据来源、攻击手段、发现规则都是快速变化的,所以商用的NGSIEM必须要给用户提供快速二次开发、定制报表功能。

2.NGSIEM一定不是一个刷事件的控制台。基于传统的签名、特征来检测现代的APT攻击是远远不够的,必须辅之以异常、情境、甚至利用可视化展现来发现攻击。

image002 image004 image006 image008 image010 image012 image014 image016 image018 image020 image022 image024 image026 image028 image030 image032 image034 image036 image038 image040 image042 image044 image046 image048 image050 image052 image054 image056 image058 image060 image062 image064 image066 image068 image070 image072 image074 image076 image078 image080 image082 image084 image086

image088 image090 image092 image094 image096 image098 image100 image102 image104 image106 image108 image110 image112 image114 image116 

 


知识来源: www.sec-un.org/splunk-application-threat-intelligence-and-situation-analysis-based-on-excepti
想收藏或者和大家分享这篇好文章→复制链接地址

“Splunk应用威胁情报和进行基于异常的情境分析实例”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云