中文版《实现联合全域指挥与控制的JADC2基本指南》11页slides，Splunk公司产品助力JADC2实施

Splunk公司 Splunk是一家位于美国旧金山的科技公司，其公司产品主要关注机器生成大数据的搜索、监控和分析。旗下同名产品可以为指定数据源的数据创建索引并创建关联，然后生成图表、报告、警告，并以图形网页的形式予以展示。

1 JADC2是什么？

JADC2，或联合全域联合指挥与控制，是美国防部高级官员用来描述将正确的数据连接到所有作战人员以获得最佳决策和结果的新兴术语。

我们可以想象这样一个场景：部署在舰艇、飞机和坦克上的高度先进的传感器不断地将关键的实时信息反馈给总部。然后，使用最先进的人工智能和机器学习（ML）工具，指挥官分析传来的大量情报，并做出更好的决定，更快。

这项技术已经使诸如救灾人员援助 (HAIDR) 等领域受益，这通常涉及从不同来源提取数据以实时做出最佳决策。而且，随着云、连接和传感器技术的进步，将数据用作关键资产已经超越了试验场。现在可以在全球范围内优化作战方式。一个完全可操作的 JADC2 环境将利用 AI 和 ML 来加速决策，以在空中、海上、水下、陆地、太空和网络空间中提高机器速度——以任务要求的速度自动化流程并授权行动。

"我们看到JADC2绝对是我们保卫国家的核心方式。" - 特伦斯-奥萧纳西（Terrance O’Shaughnessy）将军

愿景：联合作战的未来

2 实现JADC2面临的挑战

JADC2为武装部队提供了一个必要的演化发展，因为它使所有的战场数据都可以操作，同时使作战人员能够更自信和快速地做出决策。但它并非没有挑战。压缩OODA（观察、定向、决策、行动的缩写）环路需要一个更全面的方法来解决新出现的一系列挑战。

仅仅在某个时间点对所有的系统进行快照，然后在这个静态快照的基础上创建一个数据模型已经不够了。决策者在OODA环的每个阶段所面临的挑战的例子包括：

观察（Observe）	定向（Orient）	决策（Decide）	行动（Act）
有限元标记	有限的人工智能和机器学习	无MDO可视化	孤岛
非结构化数据	有限的自动化	手工COA/DEV	接口不具有互操作性
多种安全策略	人工密集型融合	串行数据共享	专有控制

压缩OODA环路的挑战

3 压缩OODA环路？

压缩OODA环路的最好方法是优化数据流。使用传统的方法，作战指挥部可能需要从不同的、互不相干的系统中手动提取数据点，以Excel等格式手动创建数据，或从传统的数据库中提取。只要你有足够的时间来等待所有的相关信息，这种解决方案就能发挥作用。但在战场上，没有时间可以浪费。

如果没有一个集中的平台来整合数据，作战指挥部必须在没有最好的可用战术信息的情况下做出生死攸关的决定。在今天的世界里，传统的方法并不适合。

这就是Splunk的用武之地，它为每一个决策带来数据，有效地压缩OODA循环。

压缩OODA环路的挑战

4 一个成功JADC2的五大支柱

一个JADC2环境应该像任何消费者应用程序一样容易使用。而这一点可以通过Splunk来实现，因为它可以获取大量不同的信息（其中大部分已经可用），并将其压为可操作的情报。例如，作战人员的物联网传感器在直接输入Splunk时可以提供战场的整体视图。

但是，融合已经掌握的数据源仅仅是个开始。当你打破炉灶和孤岛时，以前互不相干的系统将能够交流最新的信息。决策者可以回答诸如以下问题：

谁是可用的？
有什么效果（动能、非动能、或网络）？
需要多长时间才能到达那里？
成功的可能性有多大？
有哪些附带影响？

数据以一种易于使用的格式显示--类似于骑行或送货的应用程序。战斗指挥部将以现有的最佳数据执行他们的行动，他们将能够随着对手的适应和新挑战的出现而适应和改变战略--使用单一的交互来整理结构化和非结构化的数据。JADC2环境通过利用技术和实时数据改善了美国军方各部门之间的协调并提高了互操作性。

公共和私营部门都有很强的例子说明Splunk的AI/ML能力如何通过异常检测、预测分析和聚类来帮助完成上述任务。无论任务是路由供应、医疗援助，还是部署部队以确保任务成功，快速的信息流和决策支持都是至关重要的。

运营优势

"我们无法威慑我们无法打败的东西，我们也无法打败我们无法发现的东西。" - 特伦斯-奥萧纳西（Terrance O’Shaughnessy）将军

5 在实践中看它

HAIDR任务通常涉及从不同的来源提取数据，以实时做出最佳决策。用于做出这些决定的数据可能来自天气警报和预报、社交媒体信息、电子邮件或国家部门报告。这只是一个例子，说明客户已经在使用Splunk来获得运营优势。学区、消防员、城市规划者和能源部的国家点火设施（NIF）是越来越多依靠Splunk来简化操作的客户之一。

使用案例

5.1 洛杉矶市在40多个机构中实现实时安全情报：

为了保护其数字基础设施，洛杉矶市需要威胁情报和对其安全状况的了解。以前，该市40多个机构有不同的安全措施，使数据分析变得复杂。洛杉矶求助于Splunk来评估全市范围内的风险，获得可疑活动的可见性，并积极主动地减轻威胁。

业务影响：
- 创建了一个综合的全市性安全运营中心（SOC）
- 加强对数字资产、基础设施和公共服务的保护
- 实现了整个城市的威胁情报和实时、24/7的网络监控

该市现在使用Splunk从其40多个部门摄取原始日志和其他数据。然后，Splunk将这些信息整合到一个集成的SOC中，团队可以在易于使用的仪表盘中分析和可视化数据。有了这个统一的视图，高管和分析师可以监控恶意软件，识别顶级攻击者和他们的目标，并随时了解安全事件的情况，使城市成为对市民更安全的地方。

5.2 用Splunk和皇家飞行医生服务拯救生命

澳大利亚皇家飞行医生服务（RFDS）是世界上最大和最全面的航空医疗组织之一。这个非营利性组织为生活在澳大利亚农村和偏远地区的人们提供紧急和初级保健服务--由于内陆地区路途遥远，他们无法进入医院或普通诊所。

业务影响：
- 集中数据分析和监测，每年为29万名患者提供关键护理
- 实现了对冷藏疫苗和药品温度的实时提醒，优化了药品运送，减少了浪费
- 向捐赠者提供详细的信息，传达在其赞助地区执行的拯救生命的任务

RFDS的机队由63架飞机组成--这使他们成为澳大利亚第三大航空公司--产生了大量的航空电子设备和位置数据，因为它覆盖了其 "候机室"，面积达四千平方英里。Splunk®仪表盘为机队的状态和运动提供了实时可见性，使RFDS具备了在分秒必争的情况下有效提供关键医疗服务所需的信息。

5.3 国家点火设施释放了清洁能源的潜力并保障了美国的核储备

位于加州劳伦斯利弗莫尔国家实验室的国家点火设施（NIF）是世界上最大的激光器。为了支持NIF的核心任务，包括核储存管理和科学发现，科学家和工程师需要一个安全、可靠的IT基础设施。Splunk® Enterprise和Splunk® IT服务智能（ITSI）现在是NIF控制系统的核心，该系统管理着超过66000个控制点，为NIF的大型激光设施提供动力。

业务影响：
- 最大化的系统正常运行时间和性能
- 提高了控制系统的可靠性，使团队能够维护必要的系统，使激光射击实验的数量从每年的200次翻倍到400次
- 除了IT基础设施外，还确保了超过66000个物联网（IoT）设备的健康。

在将网络、认证和主机数据引入Splunk以解决安全挑战后，该团队将这些数据与其他各种来源的数据汇总，以获得整个设施的实时可见性。该实验室的工程师现在可以根据从应用数据到激光电压、温度和压力等传感器数据的各种事件采取行动。

6 Splunk 为现实世界的问题带来数据解决方案

上述例子是有效使用这些Splunk解决方案的产物。将人工智能和ML与自动化和自适应响应能力相融合，可以带来有效的关键操作，并有助于任务成功。

部署Splunk数据流处理器以：

将原始数据转化为高价值信息
对运动中的数据采取行动
保护敏感数据
将数据分发到多个目的地

部署Splunk Enterprise以：

监控任务的每个方面
监控复杂的系统
提供完整的操作画面
减少停机时间

部署Splunk Phantom用于：

自动调度
多传感器通知
预测性响应

运营改进

与传统的数据平台和孤立的监控工具不同，Splunk提供了一个具有成本效益、可扩展和大规模可扩展的分析平台，提供跨云、企业内部和混合系统部署的企业范围的可见性，使机构能够重新使用数据，以克服不同项目和任务目标的挑战。Splunk使团队能够通过以下方式将数据转化为行动：

6.1 自动化

一个可操作的JADC2提供了一个显著的优势--自动收集和关联来自不同来源的数据，使之成为完整的服务，提高识别必要关系的速度和准确性。一旦一个组织很好地掌握了数据流的关联和分析，下一步就是对异常情况的自动反应。

6.2 异常情况检测

使用历史数据对一个或多个事件的意外行为发出警报。模式会持续实时更新。

6.3 智能事件管理

从多个来源收集和充实事件到一个单一的警报框架。当数据进入系统时，实时、自动的事件关联会触发警报，使用开箱即用（OOTB）的机器学习策略来立即降低噪音。事件会根据服务评分和影响自动进行优先排序。

6.4 预测分析

使用机器学习算法和历史服务健康评分，提前30分钟预测未来事件。显示五大贡献服务指标以指导故障排除。

6.5 SOC自动化

Phantom通过在几秒钟内执行整个安全基础设施的自动化操作，使团队能够更聪明地工作，而如果是手动操作，则需要几个小时或更长时间。团队可以使用可视化编辑器（不需要编码）或集成的Python开发环境将工作流程编入Phantom的自动化操作手册。通过卸载这些重复性任务，团队可以将注意力集中在做出最关键的决策上。

6.6 调度

Phantom是连接组织，让现有的安全工具更好地协同工作。通过连接和协调整个SOC团队和工具的复杂工作流程，Phantom确保SOC分层防御的每个部分都积极参与到统一的防御策略中。强大的抽象性使团队能够专注于他们需要完成的工作，而平台则将其转化为具体的工具行动。

6.7 事件响应

Phantom帮助安全团队更快地调查和应对威胁。使用Phantom的自动检测、调查和响应功能，团队可以以机器的速度执行响应行动，减少恶意软件的停留时间，并降低他们的整体平均解决时间（MTTR）。现在有了Splunk® Mobile上的Phantom，分析人员可以使用他们的移动设备在旅途中对安全事件作出反应。Phantom的事件和案例管理功能可以进一步简化安全操作。与案例相关的数据和活动很容易从一个中央存储库访问。很容易与其他团队成员就事件或案例进行交谈，并将事件和任务分配给适当的团队成员。