Splunk를 SIEM 툴로 사용하는 Symantec Advanced Threat Protection(ATP) 고객은 이제 Splunk 앱스토어에서 무료 Symantec ATP 애플리케이션을 사용할 수 있습니다. 이 애플리케이션을 통해 ATP 센서 전반의 보안 위협 이벤트를 Splunk®로 내보낼 수 있습니다. ATP Splunk 사용자가 모든 보안 위협 이벤트를 한 눈에 파악할 수 있는 기본 보안 대시보드가 제공됩니다. 또한 고객은 Symantec ATP가 제공하는 각종 보안 위협 데이터를 활용하여 Splunk에서 손쉽게 보안 대시보드를 생성하고 맞춤 구성할 수도 있습니다. 드릴다운 기능으로 특정 침해 사고와 관련된 파일 해시를 확인하고 Splunk를 통해 임시 쿼리를 수행하는 것이 가능합니다.
고객에게 여러 Symantec ATP 모듈이 있을 경우 Splunk 콘솔에서 여러 검색 필드, 즉 엔드포인트, 네트워크, 이메일, 로밍 이벤트 등을 기준으로 ATP 이벤트를 필터링할 수도 있습니다. 뿐만 아니라 Symantec ATP 애플리케이션은 Enterprise Security 애플리케이션의 Splunk Adaptive Response 프레임워크를 활용하므로 침해 사고 대응 팀이 Splunk 관리 콘솔에서 직접 감염된 엔드포인트를 처리하고 격리하는 방법으로 보안 위협에 대처할 수 있습니다. 이번 통합으로 여러 제어 지점에 대한 가시성이 확보되고 IR 대응 조치가 자동화됩니다.
이 애플리케이션은 https://splunkbase.splunk.com/app/3453/에서 다운로드할 수 있습니다.
자세한 내용은 http://atp.symantec.com에서 확인하십시오.
리소스:
ATP 데이터시트 다운로드: Splunk 및 ServiceNow의 통합
ATP 다운로드: 플랫폼 데이터시트
Symantec Advanced Threat Protection 2.3 릴리스 노트