# Splunk > Vendor de segurança · Plataforma de dados e inteligência de ameaças ## Visão Geral **Splunk** é uma plataforma de dados corporativos fundada em 2003 em San Francisco, Califórnia, amplamente reconhecida como líder de mercado em SIEM (Security Information and Event Management) para grandes ambientes enterprise. Em 2024, a Splunk foi adquirida pela [[_cisco|Cisco]], consolidando sua posição no portfólio de segurança da Cisco ao lado de soluções como [[cisco/secure-firewall|Cisco Secure Firewall]] e [[cisco/umbrella|Cisco Umbrella]]. A proposta central da Splunk é a filosofia **data-to-everything**: ingestão, indexação e análise de qualquer fonte de log ou telemetria em escala. Para equipes de segurança, isso se traduz em capacidades SIEM e SOAR de classe empresarial que hoje compõem o núcleo de operações de SOC em todo o mundo. **Diferenciais estratégicos:** - **SPL (Splunk Processing Language)** - linguagem proprietária de consulta analítica, extremamente poderosa para detecção de ameaças e threat hunting - **Splunk Security Content** - biblioteca gratuita e aberta de regras de detecção SPL públicada no GitHub em [splunk/security_content](https://github.com/splunk/security_content), com cobertura de dezenas de técnicas do [[MITRE ATT&CK]] - **ESCU (Enterprise Security Content Updates)** - content pack instalável diretamente no [[enterprise-security|Splunk Enterprise Security]] com atualizações periódicas de detecções novas - **CIM (Common Information Model)** - modelo de dados padronizado que normaliza campos de diferentes sourcetypes, permitindo regras de detecção portáveis O Splunk ES é considerado o SIEM **de fato** padrão em grandes SOCs corporativos, especialmente em setores regulados como financeiro, governo e saúde. O [[soar|Splunk SOAR]] (anteriormente Phantom) complementa o ecossistema com automação de resposta a incidentes. ## Produtos <!-- Static table for Obsidian Publish (updated by pipeline) --> | Produto | Categoria | Notas | |---------|-----------|-------| | [[enterprise-security\|Splunk Enterprise Security]] | SIEM | Risk-Based Alerting, ESCU, SPL | | [[soar\|Splunk SOAR]] | SOAR | Playbooks visuais, 350+ conectores, ex-Phantom | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", product-category AS "Categoria", version-current AS "Versão", first-cve-date AS "Primeiro CVE" FROM "vendors/splunk" WHERE type = "product" SORT title ASC ``` %% ## Splunk Security Content O **Splunk Security Content** é uma iniciativa open-source que disponibiliza centenas de regras de detecção SPL, playbooks e análises de ameaças cobrindo as principais técnicas do MITRE ATT&CK. O conteúdo é organizado em **Analytic Stories** temáticas - por exemplo, "Log4Shell CVE-2021-44228", "Ransomware", "Cobalt Strike" - cada uma agrupando múltiplas detecções correlacionadas. Exemplos de detecções relevantes para CVEs catalogados no vault: - **[[cve-2021-44228|CVE-2021-44228]] (Log4Shell)** - Analytic Story completa com 12+ detecções SPL para exploração via JNDI lookup, comportamento pós-exploração e movimento lateral - **[[cve-2023-34362|CVE-2023-34362]] (MOVEit Transfer)** - Detecções de exploitation via SQLi e upload de webshell, cobrindo [[t1505-003-web-shell|T1505.003 - Server-Side Script]] - **[[cve-2024-21887|CVE-2024-21887]] (Ivanti Connect Secure)** - Detection ID `d51c13dd` para command injection pós-autenticação, com cobertura de [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] e [[t1082-system-information-discovery|T1082 - System Information Discovery]] O ESCU instala e atualiza automaticamente esse conteúdo no [[enterprise-security|Splunk ES]], com mapeamento explícito para táticas e técnicas MITRE ATT&CK. ## Presença LATAM/Brasil A Splunk possui presença consolidada no Brasil, especialmente no setor financeiro. Grandes bancos filiados à **FEBRABAN** utilizam o Splunk como plataforma central de monitoramento e conformidade, dado que o SPL facilita a construção de dashboards de compliance para regulações como **LGPD**, **Resolução CMN 4.658/2018** e **BACEN Circular 3.909**. Outros setores com adoção expressiva no Brasil: - **Governo federal** - Monitoramento de infraestrutura crítica e SOCs governamentais - **Telecomúnicações** - Detecção de fraudes, monitoramento de rede e conformidade com Anatel - **Healthcare** - Conformidade com LGPD e monitoramento de acesso a dados sensíveis Parceiros certificados locais (Splunk Partners) realizam implantação, customização e suporte no Brasil, com treinamentos em português disponíveis. ## Inteligência de Ameaças O **Splunk Threat Research Team (STRT)** pública regularmente pesquisas detalhadas sobre TTPs de atores avançados, com regras de detecção SPL correspondentes. Pesquisas notáveis incluem análises de: - **[[g0016-apt29|APT29 / Cozy Bear]]** - Campanhas de espionagem via supply chain e comprometimento de identidade; detecções públicadas para ESCU - **[[g0032-lazarus-group|Lazarus Group]]** - Ataques financeiros e de espionagem com foco em evasão de EDR; cobertura de técnicas de [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - **[[Cl0p / TA505]]** - Exploração massiva de CVEs em file transfer (MOVEit, GoAnywhere); Analytic Stories específicas - **[[lockbit|LockBit Operators]]** - Ransomware-as-a-Service com técnicas de exfiltração e criptografia em massa - **[[g0007-apt28|APT28 / Fancy Bear]]** - Espionagem geopolítica com foco em credential harvesting e living-off-the-land ## Notas Relacionadas **Produtos:** [[enterprise-security|Splunk Enterprise Security]] · [[soar|Splunk SOAR]] **Vendor adquirente:** [[_cisco|Cisco]] **Malware detectado:** [[s0154-cobalt-strike]] · [[lockbit]] · [[s0559-sunburst]] · [[s0368-notpetya]] **Atores pesquisados:** [[g0016-apt29|APT29 / Cozy Bear]] · [[g0032-lazarus-group|Lazarus Group]] · [[Cl0p / TA505]] · [[g0007-apt28|APT28 / Fancy Bear]] · [[lockbit|LockBit Operators]] **CVEs com detecções ESCU:** [[cve-2021-44228|CVE-2021-44228]] · [[cve-2023-34362|CVE-2023-34362]] · [[cve-2024-21887|CVE-2024-21887]] **Técnicas cobertas:** [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] · [[t1082-system-information-discovery|T1082 - System Information Discovery]] · [[t1505-003-web-shell|T1505.003 - Server-Side Script]] **Setores:** [[financial]] · [[government]] · [[healthcare|saúde]] · [[telecommunications|telecomúnicações]]