Splunk-Overview-2017-SIEM

Copyright©2017SplunkInc.Splunk产品概览数据在高速增长Volume|Velocity|Variety|VariabilityGPS,RFID,Hypervisor,WebServers,Email,Messaging,Clickstreams,Mobile,Telephony,IVR,Databases,Sensors,Telematics,Storage,Servers,SecurityDevices,Desktops机器数据是大数据领域中增长最快、内容最复杂、也最具有价值的一类数据机器数据是什么样的?3SourcesTwitterCareIVRMiddlewareErrorOrderProcessing机器数据包含有关键的信息4CustomerIDOrderIDCustomer’sTweetTimeWaitingOnHoldTwitterIDProductIDCompany’sTwitterIDSourcesTwitterCareIVRMiddlewareErrorOrderProcessingCustomerIDOrderIDCustomerID机器数据包含有关键的信息5OrderIDCustomer’sTweetTimeWaitingOnHoldProductIDCompany’sTwitterIDSourcesTwitterCareIVRMiddlewareErrorOrderProcessingOrderIDCustomerIDTwitterIDCustomerIDCustomerID66让机器数据对每个人都是可用的、有用的并且是有价值的MissionSplunk公司7公司•2004年成立•（NASDAQ:SPLK）•全球总部:-旧金山-伦敦-香港-2,700+员工-年营业收入:$950.5M(YoY+42%)产品•Splunk主要产品:-SplunkEnterprise-SplunkCloud-PremiumSolutions-EnterpriseSecurity-ITServiceIntelligence-UserBehaviorAnalytics客户•13,000+客户•120多个国家•80+财富100强企业•最大许可:-每天2+PB81994.1Infoseek1994.4Netscape1994.4–1995.3Yahoo!InfoWorldCTO25AwardHonors,2009•连续两年排名第一•数据来源、数据量和客户用例持续增长，推动扩大用户群体•IDC预计，Splunk将继续扩大数据来源和客户用例Splunk全球ITOA市场份额第一*IDC,WorldwideITOperationsAnalyticsSoftwareRevenuebyVendor,2013–2015($M)GartnerSIEM魔力象限领导者Splunk2011起进入GartnerSIEM领域，并迅速发展，2013年进入SIEM领导者象限，并连续四年不断取得进步，2016年技术前瞻性维度排名第一。2016领导者，技术前瞻性第一位2015领导者，唯一在技术前瞻性维度取得进步的SIEM厂商2014领导者，执行能力第三位2013领导者2012挑战者2011特定领域者(NichePlayer)201620620152016201220132014科技行业电信行业旅游与休闲教育行业卫生保健能源和公用事业制造业金融和保险业媒体与娱乐在110多个国家拥有13000多家客户超过80家财富100强企业，最大许可每天超过2PB数据零售业云和在线服务行业政府机构Splunk中国客户超过300家3业内领先的机器数据分析平台任何机器数据运维智能HAIndexesandStorage搜索与调查主动监控运维可视化实时业务洞察CommodityServersOnlineServicesWebServicesServersSecurityGPSLocationStorageDesktopsNetworksPackagedApplicationsCustomApplicationsMessagingTelecomsOnlineShoppingCartWebClickstreamsDatabasesEnergyMetersCallDetailRecordsSmartphonesandDevicesRFID1414索引任何的机器数据实时从日志文件获取事件运行脚本获取系统参数,连接到API和数据库(ODBC/JDBC)监听syslog或获取Windows事件(WMI)通用方式索引任何内容格式的数据,不需要连接器Windows•Registry•Eventlogs•Filesystem•sysinternalsLinux/Unix•Configurations•Syslog•Filesystem•Ps,iostat,topVirtualization•Hypervisor•GuestOS•GuestAppsApplications•Weblogs•Log4J,JMS,JMX•.NETevents•CodeandscriptsDatabases•Configurations•Audit/querylogs•Tables•SchemasNetwork•Configurations•syslog•SNMP•netflow更多其他用例...安全&合规应用程序管理基础架构&运维管理一个Splunk多种应用场景StructuredRDBMSSQLSearchSchemaatWriteSchemaatRead传统方式SplunkSplunk对机器数据对处理方法ETLUniversalIndexingVolumeVelocityVarietyUnstructured16Splunk平台收集索引搜索处理语言（SPL）核心功能数据导入,应用,其他内容SDK运维智能平台内容核心引擎用户界面&开发接口WebFrameworkRESTAPI丰富的Splunk应用在Splunkapp网站有超过1000个appsRESTAPIXenAppXenDesktopServer,Storage,NetworkServerVirtualizationOperatingSystemsInfrastructureApplicationsMobileApplicationsCloudServicesOtherMonitoringTicketing/HelpDeskCustomBizApplicationsSDKsWebFramework可扩展的支持每天数以TB的新增数据Enterprise-ClassScale,ResilienceandInteroperabilitySenddatafromthousandsofserversusinganycombinationofSplunkForwardersAutoload-balancedforwardingtoSplunkIndexersOffloadsearchloadtoSplunkSearchHeads分布式架构灵活支持多地域部署DistributedsearchunifiestheviewacrosslocationsRole-basedaccesscontrolshowfaragivenuser'ssearchwillspanNewYorkTokyoLondonCloud21ShareSearches细颗粒度、灵活的用户权限管理LDAP,AD用户和组Splunk角色、用户管理ManageUsersManageIndexes细颗粒度权限控制，访问权限可精细控制到字段NOTtag=PCIApp=ERP…可与LDAP，AD域集成将LDAP&AD组对应到灵活的Splunk角色。定义任何的搜索条件为过滤器。SaveSearchesSplunk的独特优势通用的机器数据平台实时数据处理架构SchemaontheFly灵活的报表与分析能力从单机到企业级部署的扩展快速价值体现拥有激情和活跃的用户社区群体SplunkforSecuritySplunkforSecurity基于事件监控、异常发现、深入分析、跟踪响应的分析管理平台查看发现1234确认处置流程事件优先级分类Decideofwhatismostimportanttofollowuporinvestigate挑战快速响应Doeachstepasfastaspossible,withaslittlepeopleaspossible有效分析Eachbitofdataneedscontextandrelationshiptoallothers关键指标监控响应、处理异常事件发现功能事件深入调查25所有数据都是与安全相关的=BigDataServersServiceDeskStorageDesktopsEmailWebCallRecordsNetworkFlowsDHCP/DNSHypervisorCustomAppsIndustrialControlBadgesDatabasesMobileIntrusionDetectionFirewallDataLossPreventionAnti-MalwareVulnerabilityScans传统的SIEMAuthentication连结「数据点」以一窥全貌Persist,Repeat威胁情报认证–用户角色主机活动/安全网络活动/安全攻击者、知晓中继/C2网站、受感染网站、攻击指示器IOC、攻击/行动意图与属性去了哪里、谁跟谁有过通讯、已传送的攻击、异常流量、恶意软件执行何种程序(恶意、异常等等)、进程所有者、注册表修改、攻击/恶意软件人为物件、补丁等级、易受攻击程度访问等级、特权用户、感染的可能性、在杀伤链中的可能位置26传送、安裝取得可信任的访问途径数据泄露数据收集升级(上升)橫向移动持续並重复•第三方威胁情报•开源黑名单•內部威胁情报•防火墙•IDS/IPS•漏洞扫描器•网页代理•NetFlow•网络•终端(AV/IPS/FW)•监控恶意软件•PCLM•DHCP•OSlogs•补丁•ActiveDirector•LDAP•CMDB•操作系统•数据库•VPN,AAA,SSOCopyright©2015SplunkInc.Splunk的安全情报平台27近500个安全应用SPLUNKFORENTERPRISESECURITYSPLUNKENTERPRISE(核心)Copyright©2014SplunkInc.SPLUNK所打造的应用安全厂商开源社群Wire(NFT)数据SIEM数据RDBMS(所有)数据Windows(host/inf)数据Unix与Linux数据Exchange(email,inf)数据还有更多…全面覆盖安全生态体系帮助「快速落地」28AccomplishMissionCommand&ControlExploitation&InstallationDelivery威胁情报认证–用户角色主机活动/安全网络活动/安全SplunkforEnterpriseSecurity事件调查与管理仪表盘与报表统计异常值&风险评分资产与身分感知能力预定义搜索、告警、报表、仪表盘、威胁情报引入及工作流程29thankyou