星巴克如何使用Splunk自动化平凡的安全任务

星巴克正在使用Splunk：幻影自动化其“平凡”的安全任务，以减少网络专业人员花费的时间。

在Starbucks，Mikebucks，Mike Hughes的信息安全总监佛罗里达州佛罗里达州的闪差发表讲话，共用了两种用例，以便在其安全运营中自动化流程。

休斯说，袭击者是“不是超级恶棍”，“我们听到的主要违规是因为世俗的”。

据休斯称，袭击事件背后的主要司机是国家国家，有组织犯罪戒指，黑客和不满的内部人士，他们正在寻求窃取客户数据。

“我们开始问，”谁是我的攻击者，他们会带到前门？“，而且，我将需要捍卫自己的东西是什么，”休斯说。

最有问题的攻击是“速度高，体积高的攻击”，如果留下未检测到，可能会导致大量问题。当与技术速度变化呈现的挑战配对时，这些攻击会产生需要大型人员来解决问题的问题。

“因为发生了什么发生的事情，你不能扔那个人的力量，”休斯说。

不仅是安全人才“令人难以置信的难以找到”，但品牌也经历了一天的数百个地点的一天，只有在组织中工作的人。

它还从200,000个端点收集数据，从传统计算机到物联网（物联网）连接的咖啡机。

“我们是一个大公司，我们有很多事情正在继续 - 我可以拥有1000名分析师，但我仍然可以错过东西，”休斯说。

因此，星巴克旨在自动化有大量任务的区域，包括漏洞管理，防病毒，身份管理和邮件卫生。

目标是确保安全人员不必做耗时的任务或相同任务的大量卷，并更容易测量投资回报（ROI）。

由于他们的技能广泛的需求，留住安全人员可能很困难，并且许多公司试图让安全工作更有趣，以达到才华横溢的员工。

“你必须让他们忙碌，你必须让他们订婚，”休斯说。“你希望他们感到赋予能力做有趣的事情。”

在尝试确定安全事件的优先级以及是否应该升级，这些事件会自动推入Splunk Phantom，它使用该平台的查询工具来评估已知的威胁并与防病毒连接，以查看它是否是一个存在的问题已经被标记并处理过。

根据事件类型，还将检查诸如URL分数的变量，并且棘突查询将评估围绕与威胁相关联的机器使用的数据，以便特别是该机器的正常情况。

幻影将根据事件的整体威胁评分而不会采取行动，无论是否采取行动，都会被打开票证来记录该过程。

Hughes说这个过程是安全运营中心分析师最大的“时间浪费”之一。通过自动化，所有分析师必须做的是一旦票据提出，并且确定是否已经采取了正确的回复。

“这需要一两分钟 - 他们进出票，他们已经完成了，”休斯说。“这在体积中非常重要。”

休斯表示，在过去10年中已经看到的大部分高调违规可能归因于“港卫生”，并且这种安全的元素是“在哪里遇到麻烦”。

星巴克阻止了9200万封电子邮件进入其业务，并在允许进入组织之前举行邮件并爆炸。

当工具尚未检测到问题时，需要采取在风险差价之前采取的操作，这是星巴克在星巴克中使用的闪烁幻影。

运行多个进程，包括用于威胁源自威胁的用户信息的棘突查询，该查询是对已经采取的任何先前操作的查询，并且如果需要打开故障单。

“在某些情况下，如果用户或问题实时处理，我们可以自动关闭票证，”休斯说。

虽然休斯承认了这些“不是最性感的用例”，但他认为他们是最重要的。