一般来看，在Splunk的客户中，能够受益于Splunk安全分析功能的还属大型组织居多，究其原因，最终还是归结到资源上面：大型组织有能力组建大型安全团队，雇佣安全专家，购买昂贵工具，有时间也有预算可以聘请专业顾问为部署提供服务。小型组织则受困于资金的缺乏，不得不勉力而为之。

正是基于以上原因，我们向业界推出了 Splunk Security Analytics for AWS 这一解决方案。该方案专为那些运行于AWS之上并且在安全方面力量薄弱的组织所设计。对于小型安全团队来说，Splunk Security Analytics for AWS 无疑提供了一种切实可行的方式，让其有机会从Splunk的强大功能中获益。

针对那些运行于AWS之上尚不健全的团队，

我们对安全分析功能进行了简化处理

Splunk Security Analytics for AWS 以 Splunk 市场领先的安全技术为基础，融合了Splunk强大的威胁检测与调查功能，并以一种易于购买、易于使用的形式进行交付。Splunk Security Analytics for AWS 可帮助那些在时间与资源两方面都捉襟见肘的团队，快速上手并运行。其内置仪表盘专为AWS开发，可对AWS环境形成深度且集中的可视化，可加快威胁检测与调查进程。集中化仪表盘省去了在多个控制台间的切换，通过数据集中，检测以及可视化展示，Splunk Security Analytics for AWS 强化了 AWS 安全服务及其他安全数据资源的价值。

将安全数据快速导入Splunk

我们开发的快捷数据导入引导程序，最大程度地缩短了操作时间、节约了人力。这套引导程序覆盖广泛，从 AWS Marketplace 订阅一直到发现安全洞察无所不包。目前，Splunk Security Analytics for AWS已经与多个AWS数据源实现信息关联，包括：Amazon GuardDuty, AWS CloudTrail, AWS Security Hub, AWS Identity and Access Management (IAM) Access Analyzer, AWS IAM credential reports，Microsoft 365。

预置关联规则助力实现快速威胁检测

Splunk Security Analytics for AWS的威胁检测功能，由Splunk威胁研究团队针对AWS开发，其采用预编制方式，可帮助客户发现诸多威胁方式，如反常规EC2，S3修改、可疑登录行为以及用户配置、不安全网络配置等。除了检测功能，我们还提供端到端安全引导（我们称之为Analytic Stories），这一功能可向您提供活动上下文，检测功能运行方式，以及如何将这些检测功能映射到包括MITRE ATT&CK在内的行业架构上，等等。助力客户从一开始就能充分利用好Splunk 专为AWS所开发的检测方法。

预置仪表盘可直观显示AWS安全态势

在完成引导流程后，仪表盘可快速启动。该仪表盘专门针对AWS开发，客户无需再另行开发。仪表盘以AWS数据为基础，可显示诸多内容，包括：已检测出的威胁，组织范围内的警报趋势，IAM, ACL, 安全组及Microsoft 365 洞察等。您可以选择以星期或者以月为单位进行展示，也可以手动对传统解决方案进行配置，当然也可以以支付服务费的方式请人帮您操作。Splunk Security Analytics for AWS可在启动数小时后对AWS环境形成统一视图。

快速确定根因

Splunk Investigation Workbench（调查工作台）可快速执行结构化调查，原来非持续且碎片化的安全调查模式已成往事。作为专用工具，Investigation Workbench 在安全调查任务中发挥着核心作用：您可以在调查中添加相关信息，通过Investigation Workbench了解具体分析内容、生成事件时间线并可视化显示，等。Investigation Workbench通过全新的更加直观的方式，带您对那些来自AWS安全服务以及Microsoft 365的高价值数据进行检视，可缩短团队在调查和响应方面的时间。

文章来源Splunk大数据