Splunk Enterprise - мощная платформа для операционной аналитики, собирает и индексирует любые машинные данные практически из любого источника в реальном времени. Система позволяет отслеживать, анализировать и визуализировать данные для получения полезных сведений об ИТ-системах организации. Также она помогает расследовать инциденты и устранять неполадки. Есть функция создания специализированных отчетов, для выявления тенденций и соблюдения требований нормативных органов. С помощью Splunk Enterprise можно создавать интерактивные панели мониторинга для отслеживания инцидентов безопасности, уровней обслуживания и других ключевых показателей производительности. Индексация любых данных Индексируйте любые машинные данные, независимо от формата или расположения: журналы, данные о работе пользователей, конфигурации, показания датчиков, данные проводных сетевых каналов, ловушки и предупреждения, события отклонений, вывод диагностических команд, данные из API и очередей сообщений и даже многострочные журналы из специализированных приложений. Вы можете индексировать данные практически из любого источника в любом формате без предопределенной схемы. Достаточно указать в Splunk Enterprise расположение нужных данных, и интуитивно понятный интерфейс поможет вам осуществить предварительный просмотр, импортирование и подготовку данных для поиска и анализа. После этого они будут доступны для устранения неполадок, расследования инцидентов безопасности, мониторинга сети, создания отчетов о соответствии требованиям, бизнес-аналитики и т. д. Поиск и расследование Выполняйте поиск в данных за предыдущие периоды и данных в реальном времени в одном интерфейсе. Знакомые поисковые команды помогут вам определить, ограничить или расширить поиск, сопоставить события из нескольких источников данных и получить новые сведения. На этом возможности поиска не заканчиваются. Используйте команды статистической отчетности, обновляйте счетчики транзакций, вычисляйте различные показатели, ищите определенные условия в перемещаемом временном окне и ведите автоматический поиск шаблонов в массивных объемах данных. Помощник по поиску по мере ввода предоставляет рекомендации и контекстную справку, поэтому вы сможете максимально эффективно использовать язык Search Processing Language (SPL™). Превращение данных в ценную информацию  Собирайте и индексируйте любые машинные данные практически из любого источника в реальном времени. Ищите, отслеживайте, анализируйте и визуализируйте данные для получения полезных сведений. Индексируйте все доступные данные, чтобы получить полное представление о своих системах, расследовать инциденты и устранять неполадки. Вы и ваши коллеги сможете расширять область знаний, связанную с вашей организацией, и повысить эффективность своей работы. Создавайте специализированные отчеты, чтобы выявлять тенденции и выполнять требования нормативных органов. Создавайте интерактивные панели мониторинга для отслеживания инцидентов безопасности, уровней обслуживания и других ключевых показателей производительности. Анализируйте транзакции пользователей, поведение клиентов, поведение устройств, устройства безопасности и мошеннические операции в реальном времени. Индексация любых данных Индексируйте любые машинные данные, независимо от формата или расположения: журналы, данные о работе пользователей, конфигурации, показания датчиков, данные проводных сетевых каналов, ловушки и предупреждения, события отклонений, вывод диагностических команд, данные из API и очередей сообщений и даже многострочные журналы из специализированных приложений. Вы можете индексировать данные практически из любого источника в любом формате без предопределенной схемы. Достаточно указать в Splunk Enterprise расположение нужных данных, и интуитивно понятный интерфейс поможет вам осуществить предварительный просмотр, импортирование и подготовку данных для поиска и анализа. После этого они будут доступны для устранения неполадок, расследования инцидентов безопасности, мониторинга сети, создания отчетов о соответствии требованиям, бизнес-аналитики и т. д. Поиск и расследование Выполняйте поиск в данных за предыдущие периоды и данных в реальном времени в одном интерфейсе. Знакомые поисковые команды помогут вам определить, ограничить или расширить поиск, сопоставить события из нескольких источников данных и получить новые сведения. На этом возможности поиска не заканчиваются. Используйте команды статистической отчетности, обновляйте счетчики транзакций, вычисляйте различные показатели, ищите определенные условия в перемещаемом временном окне и ведите автоматический поиск шаблонов в массивных объемах данных. Помощник по поиску по мере ввода предоставляет рекомендации и контекстную справку, поэтому вы сможете максимально эффективно использовать язык Search Processing Language (SPL™). Взаимодействие с результатами поиска Взаимодействует с результатами поиска в реальном времени. Увеличивайте или уменьшайте масштаб временной шкалы, чтобы быстро обнаруживать тенденции, пики и аномалии. Щелкните интересующие вас данные, чтобы детализировать результаты, устранить «шум» и найти иголку в стоге сена. Вы можете анализировать обращение в службу поддержки, расследовать инцидент безопасности или просто изучать данные -- в любом случае вы получите ответ через несколько минут, а не часов или дней, не привлекая сторонних специалистов для получения нужных данных. Сделайте данные более понятными Splunk Enterprise автоматически извлекает знания из машинных данных. Вы можете добавить знания и значения, определяя, именуя и отмечая поля и точки данных. Поля можно извлечь, просто выделив и щелкнув по ним мышью; также можно применять фильтры, просматривать разнообразные и редкие события и указывать текст, подлежащий извлечению. Вы даже можете добавлять информацию из внешних баз данных управления активами, систем управления конфигурацией и каталогов пользователей. Интерфейс Pivot позволяет любому пользователю автоматически обнаруживать взаимодействия в данных и создавать объемные отчеты, не владея языком поисковых запросов. Корреляция сложных событий Splunk Enterprise упрощает создание и поиск связей между, казалось бы, несвязанными событиями или действиями. С помощью Splunk Enterprise вы можете сопоставлять машинные данные по критериям времени, внешних данных, расположения, подзапросов или присоединений к нескольким источникам данных и массивным наборам данных. Определяйте связанные события в качестве транзакции или сеанса. Визуализируйте тенденции и характеристики с помощью отчетов и панелей мониторинга. Мониторинг и оповещения Превращайте поиск в оповещения в реальном времени и автоматически создавайте уведомления по электронной почте или RSS, выполняйте корректирующие действия, отправляйте SNMP-ловушки в консоль управления или создавайте обращения в службу поддержки. Предупреждения могут активизироваться на основе различных пороговых значений, связанных с тенденциями условий и других сложных результатов поиска. Получайте дополнительную информацию вместе с предупреждениями, чтобы было проще анализировать основные причины неполадок и разрешать проблемы. Отчетность и анализ Каждый пользователь в вашей организации может быстро анализировать машинные данные и превращать их в функциональные сведения. Создавайте отчеты, сложные графики и диаграммы, чтобы выявить важные тенденции, создать дополнительные визуализации, создать сводку по базовым значениям и просмотреть частоту возникновения тех или иных условий. Прогнозируйте максимальные и минимальные значения, планируйте использование системных ресурсов и предсказывайте рабочие нагрузки с помощью новых прогнозирующих визуализаций. Интерфейс Pivot позволяет пользователям обрабатывать машинные данные и взаимодействовать с ними, чтобы создавать надежные и информативные отчеты с нуля без необходимости изучать язык поисковых запросов. Сохраняйте отчеты, встраивайте их в панели мониторинга или предоставляйте к ним доступ руководителям и другим коллегам с помощью PDF. Встраивайте важные диаграммы и отчеты в бизнес-приложения других разработчиков, чтобы знания, полученные на основе данных, были доступными, когда это потребуется. Благодаря встроенным технологиям оптимизации производительности вы сможете получать критически важные сведения в кратчайшие сроки, просто установив нужный флажок. Настраиваемые панели мониторинга и представления Создавайте настраиваемые панели несколькими щелчками мыши с помощью редактора панелей либо используйте общие панели в качестве составных элементов требуемой панели. Панели мониторинга объединяют различные диаграммы и представления данных в реальном времени в соответствии с потребностями различных пользователей -- как технических, так и других специалистов. Дополнительно анализируйте данные с помощью элементов управления перекрытием диаграмм, панорамирования и зумирования. Можно настраивать панели под любого пользователя и предоставлять пользователям доступ к ним с настольных компьютеров или мобильных устройств.

Обнаружение кибератак и внутренних угроз Современное предприятие сталкивается с двумя типам угроз: кибератаки и внутренние угрозы. Если злоумышленник получил доверенный доступ в среду, отличить его действия от действий безвредного пользователя чрезвычайно сложно. У внутренних нарушителей есть преимущество, так как они имеют доверенный доступ ко всей среде, и традиционным решениям для безопасности такие случаи не под силу.    Splunk User Behavior Analytics (Splunk UBA) - это готовое решение, помогающее организациям находить известные, неизвестные и скрытые угрозы с помощью науки о данных, машинного обучения, базисных характеристик поведения, аналитики одноранговых групп и сложной корреляции. Результаты представляются с оценками рисков и подтверждающими данными, чтобы аналитик и специалист по обнаружению угроз могли быстро отреагировать и принять меры.  

• Обнаруживает угрозы повышенной сложности (APT), заражения вредоносными программами и внутренние угрозы без подписей, правил, политик или анализа человеческих факторов
• Улучшает обнаружение угроз и целевой ответ с помощью различных индикаторов угроз и подтверждающих данных в контексте проведения атаки для целевого исправления
• Кардинально повышает эффективность операционных центров защиты (SOC) с помощью ранжированнных списков, которые показывают события в цепи проведения атаки со ссылками в сводной информации на динамическую подтверждающую информацию
• Автоматически интегрирует информацию об угрозах с ПО Splunk Enterprise и Splunk App for Enterprise Security для определения объема, блокирования, ограничения зоны действия атаки и восстановления после нее

Панель безопасности Визуализация угроз и отклонений от нормы, обнаруженных в организации, в сводке высокого уровня  с базисными характеристиками для пользователей, устройств, приложений и активных сеансов  и сведениями, содержащими отклонения. Анализ угроз Экран анализа угроз помогает исследовать угрозу и сообщает о продолжительности атаки, включая сведения об обнаруженных отклонениях, а также о пользователях, устройствах и приложениях, которые считаются частью атаки. Анализ отклонений (по пользователям) Эта панель мониторинга формирует и дает возможность увидеть общую картину поведения пользователей с указанием организации, как-либо связанных с отклонениями пользователей, угроз и сеансов, не соответствующих норме. Кроме того, в этом представлении указывается классификация угроз и отклонений, а также изменение с течением времени состояния тех пользователей, которые как либо связаны с отклонениями.  Основные возможности Splunk User Behavior Analytics

• Обнаружение угроз по поведению. Формирование профилей поведения и аналитика одноранговых групп по пользователям, устройствам, учетным записям служб и приложениям для обнаружения отклонений и привязки угроз к цепи проведения атаки. 
• Оптимизированный процесс обработки угроз. Получайте визуальную информацию о скрытых угрозах для анализа, ориентированного на рабочие потоки аналитиков по безопасности и специалистов, ответственных за обнаружение угроз.
• Обнаружение атаки и определение вектора атаки. Автоматическая идентификация угроз повышенной сложности (APT)/нарушений и горизонтального движения, классификация отклонений в реальном времени, подозрения на атаку - атаки с передачей хэша (pass-the-hash) и т. д.
• Анализ и исследование атак. Интерактивное исследование угроз, включая доступность подтверждающих данных для быстрого расследования и ответа.
• Самообучение и настройка. Алгоритмы самообучения и адаптации (машинное обучение и статистика) позволяют определить аномальный/подозрительный путь и частоту, включая идентификацию критической угрозы.

Аналитика поведения пользователей Сценарии использования

• Охватывая весь жизненный цикл атаки (кибератаки или внутренней) и предоставляя платформу для обнаружения атаки, ответа на нее и автоматизации, Splunk по-прежнему предлагает наилучшее решение для аналитики безопасности в отрасли.
• Кража интеллектуальной собственности и проникновение данных
• Быстро определяйте проникновение («эксфильтрацию») данных из ресурсов или от пользователей внутри организации
• Кража учетных записей и злоупотребление привилегированными учетными записями
• Быстро определяйте скомпрометированные учетные записи и обеспечьте полную прозрачность данных об угрозах, связанных с привилегированными учетными записями
• Компрометация виртуальных контейнеров и облачных ресурсов
• Определение базисных характеристик поведения, обнаружение отклонений и угроз для виртуальных контейнеров и облачных приложений
• Обнаружение мошенничества
• Поведенческое моделирование транзакций и автоматическое моделирование угроз для обнаружения мошеннических действий
• Подозрительное поведение: пользователь, устройство и приложение
• Выявляйте угрозы и отклонения, связанные с пользователями и подразделениями внутри организации. Анализ поведения пользователей и подразделений (User and Entity Behavior Analytics, UEBA)
• Обнаружение вредоносных программ и горизонтальное распространение
• Распознавайте кибератаки и получайте данные о горизонтальном перемещении злоумышленника (в направлении «восток-запад») внутри организации

Доступные рабочие потоки в Splunk UBA Splunk® UBA анализирует и логически связывает информацию об угрозах и отклонениях, которые могут перерасти в атаку, чтобы предоставить ее менеджеру по информационной безопасности, аналитику операционного центра защиты, аналитику по ответам на инциденты и специалисту по обнаружению угроз. Аналитика безопасности Полностью автоматическая платформа обнаружения отклонений, включая анализ одноранговых групп, позволяющий специалисту по обнаружению угроз исследовать угрозы, выявлять основные нарушения и подозрительные шаблоны поведения. Обнаружение угроз Единое, комплексное решение для борьбы с кибератаками и внутренними угрозами, такими как угрозы повышенной сложности, заражение вредоносными программами, злоупотребление привилегированными учетными записями, проникновение данных, мошенничество и несанкционированное использование учетных данных другого пользователя в сети. Почему Splunk for User Behavior Analytics? Splunk UBA обнаруживает кибератаки и внутренние угрозы с помощью науки о данных, машинного обучения, базисных характеристик поведения, аналитики одноранговых групп и сложной корреляции. Наше передовое решение для аналитики безопасности поможет организациям любого масштаба и с любым набором специальных навыков обнаруживать известные, неизвестные и скрытые угрозы. Охватывая весь жизненный цикл атаки (кибератаки или внутренней) и предоставляя платформу для обнаружения атаки, ответа на нее и автоматизации, Splunk по-прежнему предлагает наилучшее решение для аналитики безопасности в отрасли.