Splunk Enterprise Security vs Security Essentials.

En la semana me consultaban, "Ya he instalado el Security Essentials" ahora como veo las detecciones, dashboards, correlaciones, etc. Lo que nos lleva aque creían que estaban instalando la versión Splunk Enterprise Security (SIEM  de Splunk) el cual tiene un costo tazado en GB con unas 180 correlaciones embebidas listas para usarlas.

¿Qué es Splunk?

Splunk es la mejor plataforma de análisis de datos líder en su clase. Muchas personas usan Splunk para el caso de uso de Seguridad, pero el poder de la plataforma viene en los diferentes casos de uso que puede desarrollar. Splunk puede hacer todo, desde monitorear las operaciones de TI, usarlo para detectar fraudes, usar para seguridad cibernética e incluso monitorear sistemas de calefacción, ventilación y aire acondicionado (hay demos que lo confirman), por nombrar algunos. Los casos de uso son infinitos y siempre que obtenga datos en formato legible (para sistemas tipo tandem se tiene que considerar el producto que pone los logs en formato legible), solo estará limitado a la imaginación.

Servicios Profesionales Necesarios

Las compañías realizan inversiones para la implementación de Splunk, para ayudarlos a tener una buena experiencia y aplicar los casos de uso orientados a Seguridad, Splunk Security requiere de la normalización de CIM (Common Information Model), parametrizar los Identities, así como, los assets; Realizar una juiciosa habilitación de las correlaciones (Correlation Seaches) de acuerdo a las fuentes de datos que se están indexando, para no impactar al perfomance del equipo, Una pregunta que nos hacen comunmente es, ¿cuál es la diferencia entre la aplicación Splunk Security Securitys y Splunk Enterprise Security?.

Splunk Security Essentials

Splunk Security Essentials es una aplicación gratuita en Splunkbase. Es una aplicación de referencia que contiene ejemplos de comandos del Language de Splunk (conocidos como SPL) para buscar eventos de seguridad específicos. En otras palabras, puede pensar en "SPL" y Security Essentials muy similares a una búsquedas Google (se le conoce como el Google de los logs) de sus datos para eventos de seguridad específicos. La aplicación Security Essentials esta muy organizada y categorizada con búsquedas orientadas a la seguridad.

Splunk Enterprise Security

Splunk Enterprise Security ayuda a tener visibilidad de las amenazas relevantes para la seguridad que se encuentran en la infraestructura. Splunk Enterprise Security se basa en la plataforma de inteligencia operativa Splunk y utiliza las capacidades de búsqueda y correlación, lo que permite a los usuarios capturar, monitorear e informar sobre datos de dispositivos, sistemas y aplicaciones de seguridad. A medida que se identifican los problemas, los analistas de seguridad pueden investigar y resolver rápidamente las amenazas de seguridad que se orientan en 4 dominios de acceso, punto final, identities y protección de red. Enterprise Security es la plataforma de gestión de incidentes y eventos (SIEM) de Splunk Security. En términos simples, contiene todo en Security Essentials, pero agrega la capacidad de administrar eventos por riesgo, agrega la capacidad de hacer correlaciones de datos orientados a la seguridad y agrega otras características útiles como la automatización para el SOC. (por ejemplo, si se identifican ataques tipo DDOS en un puerto abierto, puede automatizar la acción para cerrar el puerto en el firewall) he visto este caso con los Fortinet.

Diferencia entre Splunk Security Essentials y Splunk Enterprise Security

Estas dos soluciones son muy diferentes en el objetivo y la intención. Desafortunadamente, muchas personas confunden estas dos soluciones. Splunk Security Essentials es una aplicación de referencia de seguridad que esta disponible en Splunkbase que contiene casos de uso de seguridad fundamentales. La gran parte de Security Essentials es que todos los casos de uso están organizados en faces.

La complejidad de las búsquedas puede variar en las etapas anteriores. A medida que aumente en etapas, verá la evolución desde la simple recopilación y agregación de datos hasta la integración completa del feed de amenazas. Se puede hacer mucho de esto dentro del Core de Splunk, pero si tiene Enterprise Security, puede hacerlo fácilmente asignando un nivel de riesgo que puede ajustarse en función del activo involucrado. Splunk Enterprise Security es la plataforma SIEM (Security Incident and Event Management) de Splunk. En los términos más simples, Splunk Enterprise Security detecta patrones de los datos y revisa automáticamente los eventos de una manera relevante para la seguridad mediante búsquedas que correlacionan muchos flujos de datos. Además, Splunk compara el evento identificado con los activos y el valor de los activos en su entorno para preparar una visión integral del riesgo de seguridad. Splunk Enterprise Security también contiene otras características valiosas, como la revisión de incidentes, herramientas de gestión de investigaciones, mesas de ayuda, etc. Enviar comentarios Historial Guardadas Comunidad