Podstawowym źródłem tej wiedzy są logi generowane przez systemy, urządzenia i aplikacje. Ich zbieranie i analiza stają się również coraz częściej wymogiem licznych standardów i regulacji związanych z bezpieczeństwem takich jak PCI DSS lub SOX.

Splunk Enterprise Security pozwala zespołom odpowiedzialnym za zarządzanie bezpieczeństwem szybko wykrywać i odpowiadać na zewnętrzne i wewnętrzne zagrożenia dla bezpieczeństwa firmy.

Splunk Enterprise Security jest systemem SIEM, który pozwala na analizowanie dowolnych danych pochodzących z systemów takich jak urządzenia sieciowe, stacje robocze, systemu uwierzytelniania, ochrony antywirusowej, zarządzania tożsamości czy dowolnego innego źródła danych komputerowych.

Może zostać wykorzystany dla ciągłego, w czasie rzeczywistym monitorowania infrastruktury IT i bezpieczeństwa, szybkiego reagowania na incydenty, raportowania istotnych metryka ryzyka biznesowego dla kierownictwa czy w celu zbudowania Security Operation Center (SOC). Elastyczność Splunk Enterprise Security w budowaniu korelacji, alarmów, raportów i dashboardów pozwala dostosować rozwiązanie do specyficznych wymagań

Splunk przygotował gotową aplikację Splunk App for Enterprise Security wykorzystująca możliwości analityczne Splunk będącą pełnoprawnym rozwiązaniem klasy SIEM rozpoznawanym na rynku i od kilku lat w kwadrancie liderów w raporcie Gartnera.

Splunk Enterprise to uniwersalna platforma służąca do zarządzania tzw. danymi maszynowymi. Dane maszynowe to jedno z najszybciej rozwijających się zastosowań systemów z obszaru BigData. Informacje przez nie niesione mogą dotyczyć zapisów transakcji użytkownika, czynności klienta, odczytów czujnika, zachowania maszyn, zagrożeń bezpieczeństwa, oszustw i innych.

Splunk Enterprise gromadzi wszystkie dane maszynowe, bez względu na to, gdzie są generowane, w tym ze środowisk fizycznych, wirtualnych i z chmury. Dzięki temu możliwe jest wyszukiwanie, monitorowanie i analizowanie danych z jednego miejsca w czasie rzeczywistym. Można rozwiązywać problemy i badać zdarzenia naruszające bezpieczeństwo i uzyskać wynik w kilka minut, a nie godzin czy dni.

Aplikacja wykorzystuje w szerokim zakresie możliwości platformy Splunk Enterprise do analizy zdarzeń i danych pod kątem bezpieczeństwa, zapewniając przy tym następujące funkcjonalności:

• Wspólny model danych dla logów i innych informacji zbieranych z systemów źródłowych – wszystkie logi są normalizowane do spójnego modelu, w którym zdarzenia o takim samym znaczeniu (np. uwierzytelnienie) mają takie same atrybuty.
• Spójne zarządzanie zasobami i tożsamościami – Splunk ES utrzymuje bazę tożsamości zawierającą wszystkie możliwe konta i atrybuty użytkownika. Dzięki temu możliwe jest korelowanie logów pochodzących z heterogenicznych systemów i aplikacji. Podobna baza zasobów zawiera szczegółowe informacje o serwerach, stacjach roboczych, sieciach i innych zasobach informatycznych. Bazy mogą być synchronizowane z zewnętrznymi systemami CMDB lub IDM.
• Zarządzanie incydentami – mechanizmy zarządzania incydentami obejmują możliwość tworzenia reguł korelacyjnych wykrywających symptomy zagrożeń, konsolę zarządzania incydentami oraz mechanizmy tworzenia tzw. śledztw, które zawierają odwiedzane przez użytkownika ekrany w trakcie prowadzenia inwestygacji. Możliwe jest współdzielenie śledztw między użytkownikami.
• Analiza zagrożeń w oparciu o ryzyko – każde zdarzenie zachodzące w infrastrukturze może mieć wpływ na ryzyko związane z poszczególnymi obiektami np. hostami, użytkownikami, poszczególnymi usługami itp. Analiza tego ryzyka przez mechanizmy Splunk ES pozwala na szybką identyfikację obiektów stanowiących potencjalne zagrożenie lub będących ofiarami incydentów.
• Threat Intelligence – Splunk App for Enterprise Security pozwala na wykorzystanie dowolnych dostępnych na rynku subskrypcji tzw. IOC (ang. Indicators of compromise) w tym w formatach OpenIOS i STIX. Wyszukiwane mogą być dowolne obiekty takie jak adresy IP, nazwy domen, pliki, procesu, certyfikaty i inne wskazujące na potencjalną infekcję.
• Extreme search – dodatek w postaci szeregu komend języka SPL wspierających szybką i rozbudowaną analizę anomalii, przewidywanie wartości i alarmowanie w przypadku wykrycia nietypowych zjawisk.

Rozwiązanie Splunk Enterprise posiada wiele unikalnych funkcji, które predysponują go do wykorzystania jako SIEM. Poniżej przedstawiono kilka z nich:

• Rozwiązanie dostarczane w formie kompletnego pakietu oprogramowania – Splunk Enterprise dostarczany jest jak kompletny pakiet oprogramowania do zainstalowania na platformie ogólnego przeznaczenia. Nie wymaga ono żadnego dodatkowego oprogramowania narzędziowego np. baz danych czy systemów BIGData. Wydajność jest ograniczona wyłącznie mocą serwera, na którym został zainstalowany.
• Skalowalność – Splunk jest z powodzeniem stosowany w instalacjach, gdzie wymagana jest analiza pojedynczych GB danych, jak również w środowiskach, w których przetwarzane są setki TB nowych danych dziennie. Co ważne licencja Splunk w żaden sposób nie ogranicza liczby źródeł czy serwerów, na których jest zainstalowany.
• Normalizacja w locie – dane w Splunk przechowywane są w formie surowej, a ich normalizacja odbywa się w momencie ich odczytu, a nie w momencie zapisu. Pozwala to na dowolne zmiany struktury logów bez konieczności przebudowywania bazy lub ponownego importu danych. Również wzbogacanie danych nie wymaga tworzenie powiązań w momencie indeksowania danych, gdyż odbywa się w momencie ich wyszukiwania.
• Łatwość pobierania różnych typów danych – Splunk pozwala na pobieranie logów dowolnego typu i formatu. Możliwa jest obsługa logów wielolinijkowych. Dzięki tzw. Modular Input API możliwe jest łatwe tworzenie obsługi źródeł, które nie wspierają standardowych protokołów czy API. Korzystając ze strony SplunkBase (https://apps.splunk.com) można pozyskać kilkadziesiąt różnych addons wspierających niestandardowe protokoły pozyskiwania danych.
• Potencjalne inne przypadki użycia – Splunk oprócz zastosowań w obszarze bezpieczeństwa i IT, z powodzeniem stosowany jest w innych obszarach takich jak zarządzanie aplikacjami, Internet Of Things, przemysł, medycyna i innych. Pozwala to na uzyskanie znacznie większego zwrotu z inwestycji w jedna, spójną technologię zarządzania danymi.