作为业界NGSIEM标杆的Splunk利用威胁情报和进行基于异常的情境分析,进而实现自动化检测响应的4个案例场景。
第一个场景是利用外部安全威胁情报发现内部被木马控制设备,并进行阻断;
第二个场景是基础的基于异常事件发现;
第三个场景是基于行为异常的事件发现;
第四个场景是基于可视化的事件关联。
感兴趣的可以下个splunk试用,自己来玩玩。
这里也补充说一下我对NGSIEM的认识,支持什么大数据相关的我就不说了。
1.必须支持快速的二次开发,报表制作和灵活的数据交互,NGSIEM也不是拿个OpenSOC改一下就成的,起码还需要个Tableua吧。大数据环境下,数据来源、攻击手段、发现规则都是快速变化的,所以商用的NGSIEM必须要给用户提供快速二次开发、定制报表功能。
2.NGSIEM一定不是一个刷事件的控制台。基于传统的签名、特征来检测现代的APT攻击是远远不够的,必须辅之以异常、情境、甚至利用可视化展现来发现攻击。
