网络安全
传统方式:对入侵攻击的响应迟钝且无效率
现今多数的网络安全性团队都使用IDS控制台或安全性信息管理工具来识别及排定警示的优先级。然而,响应可疑的入侵攻击仍是一种高度手动的程序。它需要更多的数据来辨识攻击者是否真的对服务器或应用程序造成危害,以及找出定时炸弹攻击、后门、信息窃取、恶意软件与其他可能不只是对可疑入侵提出警示就可解决的影响。网络安全性分析师通常必须花费数小时登入不同的服务器,以取得日志文件及组态,并寻找执行中的程序。对于可能导致HR、民事或刑事诉讼的调查,设定中央数据储存位置及记录证据连贯性也是一项额外的负担。此外,即使是有关入侵警示与报告的核心工作,安全性管理工具也经常缺乏弹性,且难以维护。
创新思维:立即的评估分析及围堵政策
Splunk能实时为所有安全系统、网络设备、服务器甚至应用程序所产生的数据制作索引。组态变更、实际组态、日志文件、网络事件日志文件、Windows事件日志文件皆可实时撷取,并转送至具有数据签署及稽核记录的索引标记,以支持证据的连贯性。网络安全性分析师可以使用直觉式的Web接口及自由形式直观的搜索语言,跨越所有这些数据进行搜索。而搜索可加以储存并转成警示通报,以随时改善安全性监控的涵盖范围。警示通报亦能直接透过电子邮件或简讯发送,或是建立RSS Feed或启动shell script,以便与现有的安全事件控制台整合