Podstawowym źródłem tej wiedzy są logi generowane przez systemy, urządzenia i aplikacje. Ich zbieranie i analiza stają się również coraz częściej wymogiem licznych standardów i regulacji związanych z bezpieczeństwem takich jak PCI DSS lub SOX.
By sprostać tym wymogom powstały produkty klasy SIEM. Systemy takie umożliwiają między innymi:
Poprawnie wdrożony SIEM pozwoli administratorom m.in.:
Splunk Enterprise Security pozwala zespołom odpowiedzialnym za zarządzanie bezpieczeństwem szybko wykrywać i odpowiadać na zewnętrzne i wewnętrzne zagrożenia dla bezpieczeństwa firmy.
Splunk Enterprise Security jest systemem SIEM, który pozwala na analizowanie dowolnych danych pochodzących z systemów takich jak urządzenia sieciowe, stacje robocze, systemu uwierzytelniania, ochrony antywirusowej, zarządzania tożsamości czy dowolnego innego źródła danych komputerowych.
Może zostać wykorzystany dla ciągłego, w czasie rzeczywistym monitorowania infrastruktury IT i bezpieczeństwa, szybkiego reagowania na incydenty, raportowania istotnych metryka ryzyka biznesowego dla kierownictwa czy w celu zbudowania Security Operation Center (SOC). Elastyczność Splunk Enterprise Security w budowaniu korelacji, alarmów, raportów i dashboardów pozwala dostosować rozwiązanie do specyficznych wymagań
Splunk przygotował gotową aplikację Splunk App for Enterprise Security wykorzystująca możliwości analityczne Splunk będącą pełnoprawnym rozwiązaniem klasy SIEM rozpoznawanym na rynku i od kilku lat w kwadrancie liderów w raporcie Gartnera.
Splunk Enterprise to uniwersalna platforma służąca do zarządzania tzw. danymi maszynowymi. Dane maszynowe to jedno z najszybciej rozwijających się zastosowań systemów z obszaru BigData. Informacje przez nie niesione mogą dotyczyć zapisów transakcji użytkownika, czynności klienta, odczytów czujnika, zachowania maszyn, zagrożeń bezpieczeństwa, oszustw i innych.
Splunk Enterprise gromadzi wszystkie dane maszynowe, bez względu na to, gdzie są generowane, w tym ze środowisk fizycznych, wirtualnych i z chmury. Dzięki temu możliwe jest wyszukiwanie, monitorowanie i analizowanie danych z jednego miejsca w czasie rzeczywistym. Można rozwiązywać problemy i badać zdarzenia naruszające bezpieczeństwo i uzyskać wynik w kilka minut, a nie godzin czy dni.
Splunk Enterprise znajduje zastosowanie w wielu firmach jako podstawowe narzędzie służące do zarządzania danymi maszynowymi w zakresie bezpieczeństwa informacji i audytu.
Aplikacja wykorzystuje w szerokim zakresie możliwości platformy Splunk Enterprise do analizy zdarzeń i danych pod kątem bezpieczeństwa, zapewniając przy tym następujące funkcjonalności:
Rozwiązanie Splunk Enterprise posiada wiele unikalnych funkcji, które predysponują go do wykorzystania jako SIEM. Poniżej przedstawiono kilka z nich: