Smart Monitor & Splunk Cases

Расследование инцидента в Splunk Enterprise Security (SIEM)

Автоматизация аналитической работы над выявленным с помощью SIEM инцидентом информационной безопасности.

 Задача

Проведение расследования инцидентов ИБ по собранным цифровым доказательствам с непосредственным доступам к исходным данным. Организация оперативной совместной работы с источниками данных. Построение интерактивной хронологии расследования.

 Информационные источники

Enterprise Security, SIEM

 Решение

В качестве варианта рассмотрим Enterprise Security (ES) – приложение на Splunk класса SIEM.

Помимо стандартных для SIEM механизмов выявления и работы с инцидентами, Splunk ES предлагает практически неограниченные возможности по их расследованию.

Для этого применяется инструмент Investigations. Каждое расследование представляет собой базу знаний с интерактивным доступом рабочей группы по анализу инцидента.

В ходе расследования формируется временная шкала, куда можно добавлять события и заметки. В качестве события, добавляемого в расследование, может быть добавлено любое совершаемое в Splunk ES действие: просмотр дашборда, запуск поиска, назначение ответственного, изменение статуса инцидента, выполнение скрипта и другие активности.

В результате ведущие расследования получают эффективную рабочую область с хронологией действий и быстрым доступом к цифровым отпечаткам, отчетам и заметкам.

 Визуальные представления

Пульс ИБ

Пульс ИБ

Главный экран Splunk ES позволяет проанализировать текущую картину в области информационной безопасности. Все показатели настраиваются индивидуально.
Обзор инцидентов

Обзор инцидентов

После фильтрации, нужные инциденты редактируются непосредственно с этой панели и могут быть добавлены в расследование.
Добавление данных

Добавление данных

Добавление новой записи в инцидент. В этом случае выбираем из истории совершенных действий.
Настройка реакции

Настройка реакции

Устанавливаем реакцию на инцидент. Выявлена аномальная сетевая активность, решаем внести подозрительный хост в карантин.
Шкала расследования

Шкала расследования

Так выглядит временная шкала расследования. Можно изменять временное окно, быстро перемещаться между событиями, переходить по ссылкам на заготовленные отчеты и результаты поиска, оставлять комментарии.

 Дополнительная информация

4.8/5 rating (5 votes)