因為工作經驗在資安領域, 所以對SPLUNK 跟BIG DATA. 行為收集分析. 以及防範員工內賊 駭客攻擊相關資安, 有參與過一段時間.基本上各位可以當作新聞上看到大陸駭客如何攻擊目標, 這個公司產品就是蒐集各平台帳號行為分析. 預警 以及及時防範.
在台灣有名資安案例 就是一銀 被攻擊ATM 事件, 某個鏡頭大廠內賊偷走專利資訊 手機廠RD 頭偷公司設計資料, 或是台積電之前駭客攻擊事件, 通常要預防這樣情況下我們需要監控很多平台 後台storage, 所有高權限.特殊帳號 (網路. AD, EMAIL.....)所以在商業上最容易理解方法就是 如果你是IC設計公司XX科這樣規模公司如果有AD 網路帳號異常行為(LOG)紀錄. 如果不及時存下來約10分鐘不到證據就不見了. 從商業CEO角度上就是保護皇冠上最重要珠寶(專利研發資料. 合約. 商業機密). 如果你是XX科資安長 你會遇到CEO 問你一句 我想知道過去8個小時 公司所有運作資料中 有哪些是裡面有我們某一個專案相關資料. 有哪些帳號是不相關人去做這些檔案, 在來就是做了甚麼(email 出去, 印出來.copy?) 通常如果你是資安長. CEO 不會等你一天半天. 可能你得30分鐘內做好報告給它. 不幸是台灣沒幾個公司做地到. 基這是非常高端資安防護(從商業角度看) 但至少2-3年前我所看到所有台灣大公司除了T 公司有極少部分人有點概念外, 其他都沒有. 對於像台積這樣公司全球算5-8萬人 資料分散幾個大點. 你是資訊資安長 如何去監控預防每個公司發生行為是在你控制風險下. 特別是T公司法務長數年前說過他們一天有約4000次網攻. 這種等級資安公司很難快速達到賺錢, 或是很諷刺是很多資安公司告訴產品可以防綁架嘞索軟體. 卻不能簽保證不出事. 出了事資料被鎖 它們也不管. 所以就我看到美國一個銀行案例 它們中了綁架軟體時 後台檔案每分鐘幾千個檔案被鎖. 你該怎麼辦? 沒有自動系統幫你紀錄哪幾個檔案在甚麼時候被哪個帳號綁. 你要還原那些檔案地那個時間點. 台灣客戶不會重視這個. 就是整個還原. 殊不知這樣損失很大
所以當巴爺買資安公司SNOW IPO時. 我也嚇一跳. 只有想他看到了 "下個石油就是資料" 這是美國這幾年資安業常提到字眼. 提供各位參考. 就像TSLA.我想 把它當資料公司. 可能會發現它比做汽車更賺錢.
SPLK 是好東西 需要好顧問團隊跟公司整合設定 可以發揮不錯 但是台灣同時懂storage, 網路, outlook, office 資安架構人少地可憐
一點心得寫很亂 供大家參考
https://www.netadmin.com.tw/netadmin/zh-tw/technology/6E5DAC59F3C7416591F84E7C9A8A01B5這段結論可以幫大家了解
在世界各國,已有許多行業開始重視Big Data的分析運用,除了本文範例中以某電信業者運用Splunk做行動上網行為分析外,還有網路業者運用Splunk來進行網站使用行為分析,以及醫院做系統、設備全面監控與營運分析等。