A Federated Search for Amazon S3 keresése lehetővé teszi az Amazon S3-ban található adatok közvetlen keresését Splunk Cloud Platform-ból, természetesen a megfelelő beállítások és jogosultságok megadása után (részletek).
Mindez most ki is próbálható, további kültségek nélkül, de természetesen vannak előfeltételek:
- Splunk Cloud Platform 10.1.2507.x, vagy újabb verziójú Splunk instance
- Splunk managed, vagy customer managed Glue tables, melyek leírják az S3 dataset-eket (de a Splunk automatikusan létrehozza a Glue tables-eket a CloudTrail és a VPC flow logokhoz)
- Customer managed Amazon S3 bucket(-ek), támogatott file típusokkal (JSON, CSV, Parquet, ORC, Avro vagy XML)
A megfelelő beállításokban még egy demo videó is segíséget nyújt.
Mi is a Federated Search for Amazon S3 keresés?
Ez a módszer lehetővé teszi, hogy közvetlenül a Splunk Cloud Platform-ból keressünk az S3 bucket-ekben található adatok között, támogatva mind az ad-hoc alapú biztonsági vizsgálatokat, mind a reporting-ot és riasztásokat ütemezett keresések révén, anélkül, hogy az adatok beolvasásának költségei és bonyolultsága felmerülne (nincs szükség data ingest-re előzetesen).
Leggyakoribb felhasználási esetek
- Security Forensics
- Adatok kontextusba illesztése korrelációval
- Fenyegetésekhez kapcsolódó dashboard-ok, riasztások elkészítése
- Adatok feltárása és statisztikai elemzés
- Compliance vizsgálat és audit támogatása
Az alábbi linken elérhetőek a pontos részletek: