Splunk Enterprise Security (ES - 보안 특화)
보안 관제 센터(SOC)를 위한 업계 표준 SIEM(보안 정보 및 이벤트 관리) 솔루션입니다.
- 주요 이벤트 탐지 (Notable Events):
- 수집된 보안 로그 중 실제 위협으로 의심되는 이벤트를 자동으로 분류하여 관제 요원에게 알립니다.
- 자산 및 ID 조사 (Asset & Identity Investigator):
- 특정 IP나 계정이 누구의 것인지, 과거에 어떤 행동을 했는지 문맥 정보를 매핑하여 신속한 조사를 돕습니다.
- 위협 인텔리전스 통합 (Threat Intelligence):
- 외부의 악성 IP, 도메인, 해시값 정보를 자동으로 업데이트하여 내부 로그와 비교 분석합니다.
- 리스크 기반 경보 (Risk-Based Alerting, RBA):
- 단일 이벤트가 아니라, 특정 사용자나 시스템의 위험 점수(Risk Score)가 누적되었을 때 경보를 울려 오탐(False Positive)을 줄입니다.
댓글
댓글 0개
이 문서에는 댓글을 달 수 없습니다.