Symantec Advanced Threat Protection (ATP)用户若将Splunk作为安全信息和事件管理(SIEM)工具使用,则现在便可免费在Splunk应用程序商店中获取免费的Symantec ATP。他们还可将ATP发现的威胁事件输出至Splunk®。ATP Splunk 可使用默认的用户安全信息板,对所有威胁事件进行观察。与此同时,用户还可利用Symantec ATP的众多威胁数据,轻松地在Splunk创建并定制安全信息板。他们能够通过Splunk进一步查看有关特定事件的所有文件哈希值, 并执行即席查询。
如果用户有多个Symantec ATP 模块,便还可使用不同搜索字段(如端点、网络、电邮或漫游事件)在Splunk控制台上过滤ATP事件。此外,Symantec ATP 应用程序可利用Splunk企业安全应用程序中的适应反应框架,使事件响应者能够从Splunk管理控制台直接修复和隔离受入侵端点,从而对相关威胁进行相应。这种集成使用户能够观察多个控制点,还可自动执行IR响应任务。
该应用程序可在以下网址下载:https://splunkbase.splunk.com/app/3453/
事件创建规则增强- 用户现在可以基于以下方法轻松识别相关事件:1) 检测在端点处没有修复的恶意文件。2) 对任何恶意文件进行沙箱检测。3) 与已知恶意站点或命令和控制站点进行通讯。
ATP性能改进:电邮- 立即查看电邮详细信息和相关性。事件创建没有任何延迟。
可疑文件检测功能改进- 赛门铁克持续精细调整机器学习算法,以改善对可疑文件的识别。
通过Cynic沙箱提交和检测RTF文件中恶意软件的能力- 由于RTF文件术语普通文档文件类型,用户现可提交RTF文件进行沙箱检测。
获取更多信息,请访问:http://atp.symantec.com
资源:
下载ATP数据表:Splunk和ServiceNow集成
下载ATP:平台数据表
Symantec Advanced Threat Protection 2.3 发布通知