Skip to main content
Enterprise Computing Solutions
Enterprise Computing Solutions
Arrow Electronics, Inc.
  1. Kezdőlap
  2. Resources: Hírek
  3. Cikk keresés
  4. Cisco Talos Threat Intelligence integráció Splunk környezetben
Top view of the Fountain of Wealth in Singapore
Cikk

Cisco Talos Threat Intelligence integráció Splunk környezetben

január 21, 2025

Cisco Talos Threat Intelligence integráció Splunk környezetben

A .conf24 konferencián megosztottuk, hogy folyamatban van a Cisco Talos Threat Intelligence szolgáltatás integrálása a Splunk Enterprise Security, a Splunk SOAR és a Splunk Attack Analyzer rendszerekbe.

Tudjuk, hogy a Splunk közösség mennyire várta, hogy ezek az integrációk megvalósuljanak, ezért örömmel osztjuk meg, hogy immáron az összes integráció élesben működik a Splunk Security cloud ügyfelei számára.

Mostantól a Splunk ügyfelei közvetlenül hasznosíthatják a Cisco Talos felbecsülhetetlen értékű fenyegetés elemzési információit a Cisco Talos Intelligence for Enterprise Security app-al, a Cisco Talos Intelligence connector-al a Splunk SOAR modulhoz, valamint a Splunk Attack Analyzer globálisan engedélyezett funkciója révén - további költségek nélkül.

Ezekkel az integrációkkal az ügyfelek a jövő SOC-ját még hatékonyabb fenyegetés felismerési, vizsgálati és reagálási folyamatokkal láthatják el a kockázatok gyors azonosítása és mérséklése érdekében.

A kontextus hiánya akadályozza a hatékony fenyegetés-felderítést, -vizsgálatot és -reakciót

Újra és újra elhangzik: A SecOps csapatoknak jelentős kihívásokkal kell szembenézniük a mai fenyegetésekkel szemben. Hatalmas mennyiségű adathalmazzal vannak elárasztva, amelynek tágabb kontextust kell adniuk ahhoz, hogy egyáltalán elkezdhessék a fenyegetések felderítését, majd pedig képesnek kell lenniük arra, hogy a legkockázatosabb fenyegetések kivizsgálását rangsorolják.

A kontextus átható hiánya még nehezebbé teszi a fenyegetések észlelését, kivizsgálását és elhárítását (TDIR). Valójában a SANS Institute 2023-as SOC felmérése szerint a biztonsági eseményekkel kapcsolatos kontextus hiánya a SOC sikerének legnagyobb akadálya. Ez aligha meglepő: az óriási számú riasztás mellett, amelyekkel kapcsolatban az elemzőknek lépéseket kell tenniük, kihívást jelenthet a magas prioritású fenyegetések megkülönböztetése (a szükséges kontextus nélkül).

Hogyan juthatnak hozzá a SOC-ok ehhez a kontextushoz? Úgy, hogy a fenyegetésekkel kapcsolatos információkat közvetlenül a TDIR munkafolyamatokba integrálják. A biztonsági megoldások vezető gyártójaként a Splunk már számos olyan funkciót és képességet kínál, amelyek segítségével a biztonsági csapatok a TDIR egységes megközelítésének részeként integrálhatják a fenyegetésekkel kapcsolatos információkat, mint például:

- Threat Intelligence Management, amely az elemzők számára releváns és normalizált intelligenciát biztosít a Splunk Enterprise Security-ben, hogy jobban megértsék a fenyegetések kontextusát és felgyorsítsák az alert triage-ig eltelt időt.
- Valós idejű vizualizációk a Splunk Attack Analyzer-ben, amelyek bemutatják a fenyegetés által végrehajtott műveleteket a kapcsolódó információkkal és kontextussal együtt, például a releváns weboldalak és fájlok képernyőképeit.
- Splunk Intelligence Management for SOAR, amely lehetővé teszi a felhasználók számára, hogy belső és külső forrásokból előkészített és normalizált információkat vegyenek fel a gyorsabb alert triage és a racionalizáltabb playbookok érdekében.
- Out-of-the-box security content, amely beépített threat research  tudásbázist és a Splunk Threat Research Team javaslatait tartalmazza.

Most a Splunk a Cisco Talos-al még továbbviszi az integrált threat intelligence szolgáltatást. A Cisco Talos képességét kihasználva a Splunk ügyfelei fokozhatják védelmüket az ismert és ismeretlen fenyegetésekkel szemben, hogy hatékonyan vehessék fel a harcot a folyamatosan változó fenyegetésekkel szemben.

Cisco Talos Threat Intelligence integrációk a Splunk Security számára

A Cisco Talos az egyik legmegbízhatóbb fenyegetéselemző kutatócsoport, amely átfogó, bizonyított és tesztelt fenyegetéselemzéssel látja el a Cisco platformját. E csapat képessége a fenyegetések terén, többek között a következőket foglalja magában:

- napi 800 milliárd megfigyelt biztonsági esemény
- 2000 új minta elemzése percenként
- 200 sebezhetőség felfedezése évente

Az alábbi fejezetek mutatják be, hogyan használhatja ki ezt a funkciókészletet a Splunk Enterprise Security, a Splunk SOAR és a Splunk Attack Analyzer programokban.

Integráció a Splunk Enterprise Security-vel

A Cisco Talos fenyegetésekkel kapcsolatos intelligencia mostantól elérhető a Splunk Enterprise Security ügyfelei számára az új Cisco Talos Intelligence for Enterprise Security app-on keresztül.

Az alkalmazás a Splunk Enterprise Security találatait gazdagítja a Talos intelligenciájával, hogy további kontextust nyújtson a potenciális fenyegetésekről. Az elemzők egyszerűen lefuttatnak egy, az alkalmazás által biztosított Adaptive Response Action-t, és az alkalmazás visszaadja a Talos kapcsolódó információit, például a fenyegetés szintjét, kategóriáját, leírását és még sok mást.

Az Adaptive Response Action konfigurálható automatikus vagy ad-hoc futtatásra, de mindkét esetben az intelligencia közvetlenül beépül a találatokba. Ez megkönnyíti az elemzők számára a potenciális fenyegetések gyors és hatékony megértését, hogy ennek megfelelően rangsorolhassák és reagálhassanak rájuk.

Integráció a Splunk SOAR-ral

A Talos fenyegetésekkel kapcsolatos intelligencia mostantól elérhető a Splunk SOAR ügyfelei számára a Cisco Talos Intelligence új connector-a révén a Splunk SOAR-hoz.

A Splunk connector-ok támogatják a komplex munkafolyamatok koordinálását a csapatok és eszközök között azáltal, hogy lehetővé teszik a Splunk SOAR számára, hogy csatlakozzon egy másik eszköz API-jához, és utasítsa ezeket az eszközöket a műveletek végrehajtására. Konkrétan a Cisco Talos Intelligence connector egy investigation action-t kezdeményez, amely visszaadja a Talos kapcsolódó információit, például az URL reputation, domain reputation és az IP reputation részleteit.

Ez lehetővé teszi az elemzők számára, hogy a Talos fenyegetésekkel kapcsolatos információkat automatikusan, közvetlenül az incident response munkafolyamatokba építsék be, támogatva a gyorsabb válaszidőt. Továbbá, mivel a connector előre telepítve van a Splunk SOAR ügyfelek számára, az elemzők gyorsan, egyszerűen és hatékonyan elkezdhetik használni és hasznosítani ezt az out-of-the-box megoldást.

Integráció a Splunk Attack Analyzer-rel

Végül, de nem utolsósorban a Splunk Attack Analyzer-rel való integrációnk. Augusztusban jelentettük be, hogy elérhetővé vált ez az integráció is.

Az integráció lehetővé teszi a Splunk Attack Analyzer számára, hogy az attack chain-ben felfedezett URL-eket a Talos reputation eredményeivel gazdagítsa. A Splunk Attack Analyzer által elemzett minden egyes URL-hez a Talos egy veszélyességi szintet és veszélyességi kategóriát rendel.

Ez az intelligencia segít az ügyfeleknek javítani a fenyegetések észlelésének hatékonyságát, mivel a Splunk Attack Analyzer képes új fenyegetések észlelésére - különösen az ephemeral fenyegetések esetében, amelyeket már lazelőtt megállíthatunk, mielőtt elemzésre eljutnának a Splunk Attack Analyzer-be.

Hatékony TDIR folyamatok a Cisco Talos + Splunk Security segítségével

Ezekkel az integrációkkal a Splunk ügyfelei a világ egyik legmegbízhatóbb fenyegetéselemző csapatának felbecsülhetetlen értékű kontextusát kapják meg - további költségek nélkül -, hogy még hatékonyabbá tegyék a TDIR folyamatokat (Threat Detection, Investigation and Response).

 

A teljes cikk elérhető az alábbi linken:

https://www.splunk.com/en_us/blog/security/cisco-talos-threat-intelligence-splunk-security.html