Splunk
Visibilidad sobre seguridad TI y gestión de eventos (SIEM)
Splunk es capaz de interpretar en segundos el lenguaje de grandes volúmenes de información, con independencia del fabricante del producto que genera cada uno de los eventos, y desarrollar soluciones innovadoras que permiten simplificar la labor de los administradores de red y los gestores de la seguridad de la información de cualquier organización.
Splunk absorve e indexa instantáneamente todos los eventos de nuestras hetereogéneas plataformas TI, dotándonos de una completa herramienta de búsqueda, reporte, monitorización y análisis en tiempo real sobre todo el volúmen de datos actuales e históricos.
La funcionalidades de Splunk:
- Recolección e interpretación de datos de cualquier fuente.
- Monitorización, alerta y correlación de eventos multidispositivo.
- Búsqueda inmediata en cuestión de segundos.
- Cumplimiento de normativas.
- Entrega programada de reportes en PDF.
Ventajas competitivas de Splunk:
- Solución basada en software, con soporte para los principales sistemas operativos
(Windows, Linux, Solaris, OSX, FreeBSD, AIX, HP-UX).
- Recolección de las distintas fuentes de eventos, independientemente de su naturaleza
y sin necesidad de complejos desarrollos de mapeos específicos: syslog, WMI polling,
logfiles, registro Windows, scripts programados para captura de la respuesta de
comandos de sistema, event APIs, query databases, subscripciones a colas de mensajes.
- Interfaz ágil y avanzado, disponible desde el navegador estándar, basado en AJAX sin
necesidad de plugins, pero con interfaz CLI opcional.
- Capacidad de búsqueda inmediata de cualquier tipo de información en el volumen de datos
capturados, muy por encima de sus competidores y con disponibilidad de las tecnologías
de búsqueda habituales en Internet: agilidad, autocompletado, sugerencia de términos
contextuales e históricos en la línea de búsqueda, comodines y conectores lógicos.
- Discovery Engine capaz de descubrir el formato de los logs on-the-fly y aplicarles el
significado oportuno, clasificándolos automáticamente en su categoría de dispositivo
- Almacén de datos, tanto en crudo (sin variación alguna), como en formato enriquecido
y eficiente, comprimidos, basado en filesystem, con opción de firmado para su
integridad.
- Arquitectura centralizada o distribuida, con posibilidad de forwarders.
- Soporte de implantaciones en HA mediante data cloning, para proveer redundancia
de datos, así como métodos de failover y recuperación.
- Potente motor de correlación.
- Permite la delegación de permisos de manera completamente flexible, con una sencilla integración con servicios de directorio externos y solución de Single-Sign-On integrada.
- Dashboards y vistas personalizables.
- Independencia del concepto EPS (Eventos por Segundo), tan poco amigable e intuitivo,
y que es la habitual licencia en otros fabricantes SIEM.
- Escalabilidad masiva: Splunk tiene capacidad de crecimiento ilimitada gracias a su modelo distribuido de búsqueda y reporting a través de múltiples indexadores.
|
