LORS DE LA MISE EN OEUVRE DE CENTAINES DE DÉPLOIEMENTS DE SPLUNK ENTERPRISE SECURITY, LES SOURCES DE DONNÉES COURANTES SUIVANTES SONT LARGEMENT UTILISÉES POUR LA SÉCURITÉ, LA CONFORMITÉ ET LA DÉTECTION DES FRAUDES.

Réseau, serveur et stockage

  • SNMP
  • Données filaires
  • DHCP
  • Pare-feu
  • Journaux FTP et IDS
  • Contrôle d’accès au réseau
  • Contrôle d’accès aux fichiers
  • Commutateurs et routeurs réseau
  • Journaux de réseau sans fil
  • NetFlow
  • Proxies
  • Journaux de systèmes d’exploitation : NTsyslog, Snare, DHCPD, Linux Secure, AIX Secure, OSX Secure, Syslog, WinEvent, etc.
  • Journaux de correctifs
  • Journaux de serveurs VMware
  • Journaux AWS : CloudTrail, CloudWatch, Config, S3, etc.
  • Journaux de stockage

Application et utilisateur

  • Registres de protection contre les logiciels malveillants
  • Activité Endpoint
  • Journaux des erreurs d'application
  • Journaux d'authentification d’application
  • Balayage de vulnérabilités
  • Journaux de serveur de messagerie
  • Active Directory, LDAP, VPN
  • Journaux de test de sécurité SDLC
  • Appareils mobiles
  • Journaux de lecteur de carte physique

 

Autres sources

  • Listes de menaces
  • Listes noires OS et IP
  • Ports et protocoles restreints
  • Liste de vulnérabilités
  • Fils de médias sociaux
  • Journaux de formation