從源頭入手！極速追蹤網絡攻擊

網絡攻擊除可依賴不同的硬件式方案之外，通過軟件其實亦可協助化解危機；在針對網絡威脅方面，速度肯定是一個選購方案時的考慮因素，接著的便是準確性。事關偵測威脅之速度與準確性，往往會直接影響攻擊事件的發展，包括令攻擊事件規模變得更大。

現時市面上便有些軟件式的方案能做到準確、快捷地追蹤攻擊活動；而某些方案更採用了最新影像化技術，配合上威脅偵測功能，從而大幅縮短檢測、分析與應變攻擊事件的時間。其中近日 Splunk 推出的 Splunk App for Enterprise Security 3.0 便是其中之一。

提到 Splunk App for Enterprise Security 3.0，原來現時新版本已能同時與 Splunk Enterprise 6 共同組成保安情報平台，這樣便可輕易的支援各式各樣、不同來源、最大規模資訊科技環境內的精密資安分析工作。

新方案亦能協助保安人員串連點線面，藉此監控所有資料及潛在惡意活動模式，掌握對手的每一步以追捕網絡攻擊者。新版本之中亦特意採用了全新的影像化系統，藉以協助用戶採取必要的精密行動，揭發及通報資料異常跡象。

另一方面，方案亦同樣地包含了威脅情報架構，以單一介面匯整所有威脅資訊，並自動排除重複內容，最終能或多或少地提升保安團隊的效率，並協助隊伍在短時間內發現與應變攻擊事件的首要使命。

新版本主要新增以下內容：

新影像化工具

保安人員可透過影像化串連資料，辨別異常行為，做為保安調查起點。一旦辨別出個人、應用程式或系統出現不尋常的資料模式，分析人員最多只需三個步驟，即可利用原始資料建立事件清單，以利啟動調查與分析流程。

威脅情報架構

與傳統的 SIEM 方案的最大分別在於，Splunk 讓企業只需訂閱威脅情報資訊，即可加以統整與過濾資料、交叉比對，更方便保安團隊使用。

資料模型與樞紐分析介面

用戶亦不需熟悉 Splunk 功能，也不必具備 Splunk 搜尋處理語言知識(SPL)，任何人皆可建立、儲存與匯出客製化與影像化報告。Splunk Enterprise 6 與 Splunk App for Enterprise Security 3.0 本身已包含多種影像化工具，而且亦支援開發人員自行選用程式語言，創建自己定義的影像工具。

支援新資料類型與威脅內容動態時報

所有資料皆與資安有關，Splunk App for Enterprise Security 3.0 可支援各式各樣傳統日誌資料、流量資料、封包捕捉資料、工業控制系統資料、外部威脅情報內容及其他資料庫儲存的企業資料，有助企業進行決策。

注意！！

Splunk App for Enterprise Security 3.0 版必須搭配 Splunk Enterprise 6 使用。