Как получить единое отображение событий WAF с помощью Imperva AppSecurity View App для Splunk Enterprise

//Как получить единое отображение событий WAF с помощью Imperva AppSecurity View App для Splunk Enterprise

Как получить единое отображение событий WAF с помощью Imperva AppSecurity View App для Splunk Enterprise

Крупные предприятия используют гибридные инфраструктуры, чтобы воспользоваться преимуществами быстрого развертывания облачных сервисов и получения более высоких вычислительных мощностей. Сборник прогнозов аналитиков SecureWorks показывает, что облачные технологии продолжает набирать обороты, и организации извлекают выгоду из новых способов ведения бизнеса.

Кроме того, организационная тактика переключается на более активный, а не на реактивный подход к смягчению атаки. По мнению Гартнера, к 2020 году больше, чем 70% общедоступных веб-приложений будут использовать облачный брандмауэр веб-приложений (WAF) или виртуальное устройство, размещенное в Интернете. Это изменение в ИТ-парадигме создает необходимость для групп CISO и их групп безопасности создавать решения, которые защищают приложения, где бы они ни находились, при перемещении между корпоративной сетью и облаком. Безопасность, защищающая эти приложения, должна быть гибридной.

Именно здесь вступает в игру  Imperva AppSecurity View.

В то время как традиционные SIEM (Security Information and Event Management) системы решают задачи сбора данных, следующее поколение проактивных систем управления безопасностью будут иметь возможность с высокой степенью достоверности анализировать события безопасности приложений вне зависимости от их расположения в корпоративной сети или в облачном окружении. В отчёте Гартнер за ноябрь 2016 года, озаглавленном «Предсказания 2017: облачная безопасность» (Predicts 2017: Cloud Security) объясняются преимущества такого подхода и заявляется, что «к 2018 году у 60% предприятий, которые реализуют соответствующие инструменты и средства управления облачной областью, будет на треть меньше ложных срабатываний системы безопасности».

Приложение Imperva AppSecurity View App объединяет данные, полученные от локального межсетевого экрана Imperva SecureSphere Web Application Firewall (WAF), облачной инфраструктуры Imperva Incapsula WAF и связанных с ним облачных сервисов Imperva ThreatRadar, и отображает их в Splunk® Enterprise, предоставляя пользователям Splunk Enterprise единое представление о событиях безопасности, связанных со всеми их защищенными Imperva WAF приложениями, вне зависимости от их расположения. Этот уникальный подход упрощает видимость во всех событиях безопасности приложений, поскольку предприятия переходят на облако, что позволяет им иметь хорошие возможности для разработки гибридной стратегии WAF.

Как это работает

Imperva AppSecurity View использует панели инструментов для представления пользователям всего спектра возможностей по развертыванию ка локального, так и облачного варианта Imperva WAF. Данные организованы для отображения нескольких категорий событий: bot classification, ThreatRadar effectiveness и топ-10 угроз OWASP. Удобная графика и высокоуровневая отчетность с расширенными возможностями ускоряют расследование, обеспечивая удобную для анализа информацию, которая дает клиентам Imperva уникальный, единый взгляд на угрозы, связанные с их приложениями, где бы они ни находились.

С чего начать развёртывание

Imperva AppSecurity View можно загрузить из Splunkbase.

Для инсталляции приложения следуйте инструкциям, представленным ниже:

  1. Авторизуйтесь в Splunk Enterprise.
  2. В меню Apps выберите Manage Apps.
  3. Выберите пункт меню  Install app from file.
  4. В окне Upload an App нажмите кнопку Choose File.
  5. Найдите предварительно загруженный .tar.gz файл и кликните Open или Choose.
  6. Нажмите Upload.
  7. Кликните Restart Splunk и подтвердите свой выбор для перезагрузки.

Для инсталляции приложений и дополнений непосредственно в Splunk Enterprise (https://splunkbase.splunk.com/app/3691/):

  1. Загрузите предварительно скачанный файл в директорию  $SPLUNK_HOME/etc/apps
  2. Разархивируйте загруженный файл.
  3. Перезапустите Splunk

Внутри приложения

При открытии приложение отображает сводный обзор панели всех событий SecureSphere, Incapsula и ThreatRadar. Пользователи могут изменять временной диапазон и фильтровать по продукту, чтобы настроить представление.

Figure 1: Summary view of SecureSphere, Incapsula and ThreatRadar events

Figure 2: Top 10 Security Event Types

Figure 3: Drill-down Views

Унифицированное решение для гибридного облака

Начните сейчас. Получите единое представление о

Пордробнее

Что нового в Splunk Enterprise 7.0.

2017-10-25T13:53:13+00:00 Окт. 25, 2017|Imperva|

Оставить комментарий