星巴克如何使用Splunk自动化平凡的安全任务

2022-03-04 11:46:15来源:

星巴克正在使用Splunk:幻影自动化其“平凡”的安全任务,以减少网络专业人员花费的时间。

在Starbucks,Mikebucks,Mike Hughes的信息安全总监佛罗里达州佛罗里达州的闪差发表讲话,共用了两种用例,以便在其安全运营中自动化流程。

休斯说,袭击者是“不是超级恶棍”,“我们听到的主要违规是因为世俗的”。

据休斯称,袭击事件背后的主要司机是国家国家,有组织犯罪戒指,黑客和不满的内部人士,他们正在寻求窃取客户数据。

“我们开始问,”谁是我的攻击者,他们会带到前门?“,而且,我将需要捍卫自己的东西是什么,”休斯说。

最有问题的攻击是“速度高,体积高的攻击”,如果留下未检测到,可能会导致大量问题。当与技术速度变化呈现的挑战配对时,这些攻击会产生需要大型人员来解决问题的问题。

“因为发生了什么发生的事情,你不能扔那个人的力量,”休斯说。

不仅是安全人才“令人难以置信的难以找到”,但品牌也经历了一天的数百个地点的一天,只有在组织中工作的人。

它还从200,000个端点收集数据,从传统计算机到物联网(物联网)连接的咖啡机。

“我们是一个大公司,我们有很多事情正在继续 - 我可以拥有1000名分析师,但我仍然可以错过东西,”休斯说。

因此,星巴克旨在自动化有大量任务的区域,包括漏洞管理,防病毒,身份管理和邮件卫生。

目标是确保安全人员不必做耗时的任务或相同任务的大量卷,并更容易测量投资回报(ROI)。

由于他们的技能广泛的需求,留住安全人员可能很困难,并且许多公司试图让安全工作更有趣,以达到才华横溢的员工。

“你必须让他们忙碌,你必须让他们订婚,”休斯说。“你希望他们感到赋予能力做有趣的事情。”

在尝试确定安全事件的优先级以及是否应该升级,这些事件会自动推入Splunk Phantom,它使用该平台的查询工具来评估已知的威胁并与防病毒连接,以查看它是否是一个存在的问题已经被标记并处理过。

根据事件类型,还将检查诸如URL分数的变量,并且棘突查询将评估围绕与威胁相关联的机器使用的数据,以便特别是该机器的正常情况。

幻影将根据事件的整体威胁评分而不会采取行动,无论是否采取行动,都会被打开票证来记录该过程。

Hughes说这个过程是安全运营中心分析师最大的“时间浪费”之一。通过自动化,所有分析师必须做的是一旦票据提出,并且确定是否已经采取了正确的回复。

“这需要一两分钟 - 他们进出票,他们已经完成了,”休斯说。“这在体积中非常重要。”

休斯表示,在过去10年中已经看到的大部分高调违规可能归因于“港卫生”,并且这种安全的元素是“在哪里遇到麻烦”。

星巴克阻止了9200万封电子邮件进入其业务,并在允许进入组织之前举行邮件并爆炸。

当工具尚未检测到问题时,需要采取在风险差价之前采取的操作,这是星巴克在星巴克中使用的闪烁幻影。

运行多个进程,包括用于威胁源自威胁的用户信息的棘突查询,该查询是对已经采取的任何先前操作的查询,并且如果需要打开故障单。

“在某些情况下,如果用户或问题实时处理,我们可以自动关闭票证,”休斯说。

虽然休斯承认了这些“不是最性感的用例”,但他认为他们是最重要的。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章