Splunk平台中与威胁情报相关的App

     无论网络技术如何发展变化，云计算、SDN、移动互联等，网络越来越大，等待分析的数据只会是越来越多的，尤其是具有一定规模的企业，在网络完成粗粒度的平台建设（数据的采集、存储)后最后一定会走向精耕细做，回到数据分析上来。数据挖掘和大数据分析的需求势必会日益强劲。

    分析下splunk公司的近期业务可以发现，安全业务日益成为 Splunk 收入增长最快的领域之一。Splunk 自身也有一款安全产品，名字叫做 Splunk App For Enterprise Security。前段时间Splunk 1.9 亿美元收购安全初创企业 Caspida，也是为了收购 Caspida 的机器学习技术，机器学习、数据挖掘等技术与 Splunk 采集到的海量数据相结合，无疑可以提升这款产品的威胁识别能力。

    威胁情报（Threat Intelligence）最近很热，通过splunk网站搜搜了下威胁情报（Threat Intelligence）相关的app。简要的总结分析如下。

DNS Analytics

   通过DNS分析服务器server或终端的异常行为。可以确认已知或未知的恶意软件、APT攻击以及实时监测内部的威胁。DNS的流量比query log的信息有更多的挖掘要素，本APP需要有对外的API接口查询安全QB。可以和外部的安全情报进行适时查询匹配。

     

域名的风险排序是一个亮点。国外的安全产品在rank方面一般都做了很多功夫。

• 低风险的良性域名分数是0，1，和2
• 得分为3的域名可疑，但未确认为恶意
• 为4或5表示基于行为的恶意软件的域名访问（钓鱼、广告是包含在这个分类），应当进行调查和处置。

Symantec DeepSight Security Intelligence App for Splunk Enterprise

Symantec DeepSight主要提供IP Reputation、Domain/URL Reputation等安全信息，用以检测恶意的攻击行为。该splunk app支持对deepsight信息的分析和可视化展示，包括恶意ip、恶意url、恶意域名等。

按国家地理位置的分布的恶意IP分布图。

总体的统计信息，以及恶意的Ip可信度等级分布、恶意的URL可信度等级分布

Tango Honeypot Intelligence

蜜罐是积极防御很关键的一个技术手段，通过该splunk app 可以能够查看蜜罐日志，对蜜罐网络的信息进行可视化展示，查看恶意的攻击行为。蜜罐的作用其实现在逐渐凸显出来。

 

Vormetric Security Intelligence

    Vormetric公司主要业务是数据安全管理，该app通过对Vormetric的加密终端和管理平台的日志信息的再分析，提供了自身的安全情报报告和搜索操作。本app仅仅是提供自身系统的安全分析信息。

Webroot BrightCloud Threat Intelligence Add-on for Splunk

著名的威胁情报公司Webroot，通过其BrightCloud平台的信息统计。展示其威胁情报的相关信息。

 

 

总结：1、splunk的社区化模式确实对平台的发展有很大的推动力，不社区无发展，做生态成为DT时代的一个特点。fireeye、webroot等等很多大公司在splunk平台上都有对应的app。

         2、目前splunk平台的app，基本还是单一来源的数据分析，还没有做到多维度的关联分析。就像饭店原始菜都有了，如何通过厨师组合出适合用户胃口的菜还需要下功夫。不过目前的app已经能够减少运维人员的很多工作量了。

        3、“建平台+补内容”是国内目前的安全建设的基本路子。从未来看，内容的共享，会成为后面的一个趋势。尤其是在现有的共享经济模式下，通过内容的共享，可以大大降低整个安全工作的成本。社会发展的基本规律就是只要能提升生产力的手段一定会得到广泛的使用。  共享经济时代，大平台体系、内容共享生态一定会影响到各个行业。