E
s war ein aufregendes Jahr für Splunk Enterprise Security! Im Mai hatten wir Grund zum Feiern, da unser Produkt zum zehnten Mal in Folge als Leader im Gartner® Magic Quadrant™ für SIEM 2024 eingestuft wurde.
Wir werden uns aber nicht auf diesen Lorbeeren ausruhen! Im Gegenteil: Wir möchten unsere Innovationsdynamik fortsetzen und freuen uns, euch das SIEM der Zukunft vorstellen zu können. Splunk Enterprise Security 8.0 ist jetzt als private Preview-Version verfügbar.
Als branchenführende SIEM-Lösung revolutioniert Splunk Enterprise Security 8.0 das SOC Workflow-Erlebnis und ermöglicht Sicherheitsanalysten relevante Incidents nahtlos zu erkennen, ganzheitlich zu untersuchen und schnell zu beheben. Verbessert euren Sicherheitsbetrieb mit umfassenden, einheitlichen Workflows für die Threat Detection, Investigation and Response (TDIR), modernen Aggregierungs- und Triage-Fähigkeiten, verbesserten Erkennungen und vereinfachter Terminologie.
Workflows für die Threat Detection, Investigation and Response (TDIR), modernen Aggregierungs- und Triage-Fähigkeiten, verbesserten Erkennungen und vereinfachter Terminologie. Diese revolutionäre Kombination aus innovativen TDIR-Funktionen markiert den Beginn einer neuen Art von SIEM – eines SIEMs, das die Grundlage von TDIR-Lösungen bilden und das SOC der Zukunft unterstützen wird. Dies ist das SIEM der Zukunft. Willkommen in der Zukunft – mit Splunk Enterprise Security.
SecOps-Teams kämpfen weiterhin mit großen Herausforderungen
Um sich sicher durch die digitale Landschaft mit ständig neuen Bedrohungen zu bewegen, müssen Sicherheitsanalysten für Transparenz über Cloud-, Hybrid- und On-Premise-Umgebungen hinweg sorgen und dabei einen unaufhörlichen Zustrom von Daten aus verschiedenen Quellen der Bereiche Sicherheit, IT und Business bewältigen. Die effektive Auswertung dieser Daten ist entscheidend, da Sicherheit letztendlich eine Frage von Daten ist. Analysten kämpfen zudem mit isolierten Daten und Sicherheits-Tools, die es ihnen schwer machen, für eine effiziente Bedrohungserkennung und -reaktion unerlässliche Informationen zu aggregieren, zu korrelieren und zu priorisieren. Durch die ständige Weiterentwicklung von Sicherheitsbedrohungen und rasant zunehmende Datenvolumina sind manuelle Prozesse kaum mehr haltbar. Darüber hinaus führt die inkonsequente Terminologie der verschiedenen Sicherheitskomponenten zu Verwirrung und Kommunikationsschwierigkeiten innerhalb der Teams, was eine effektive Zusammenarbeit und koordinierte Maßnahmen erschwert.
Damit das SOC effizienter wird, muss Analysten ein optimiertes Workflow-Erlebnis bereitgestellt werden, das die Produktivität steigert. Wenn Sicherheitsanalysten über eine SIEM-Lösung verfügen, die eine Grundlage für eine einheitliche Erkennung, Untersuchung und Reaktion auf Bedrohungen bietet, stärkt dies ihr Selbstvertrauen und ihre Effizienz beim Umgang mit Sicherheitsrisiken.
Gesamtes TDIR in Splunk Enterprise Security
Es ist eine Tatsache, dass sich Analysten mit zu vielen Tools herumschlagen müssen. Sie jonglieren im Durchschnitt mit über 251 unterschiedlichen Sicherheits-Tools bei der Erkennung, Untersuchung und Reaktion auf Bedrohungen. Dies wirkt sich negativ auf die MTTD (Mean Time To Detect) und die MTTR (Mean Time To Respond) aus.
Aus diesem Grund führen wir eine neue einheitliche Arbeitsoberfläche für Benutzer von Splunk Enterprise Security ein. In Splunk Enterprise Security 8.0 ist die direkte Integration von Splunk SOAR-Playbooks und -Maßnahmen mit den Case Management- und Untersuchungsfunktionen von Splunk Enterprise Security und Mission Control möglich. Analysten steht eine zentrale moderne Oberfläche zur Verfügung, in der sie Bedrohungen erkennen, untersuchen und abwehren sowie dank einer einheitlichen Lösung für die Aggregation, Analyse und Automatisierung von Daten ihre operative Effizienz spürbar steigern können.
Wir bieten Analysten im SOC ein nahtloses, vollständig integriertes Workflow-Erlebnis für Case Management, Alert Triage sowie Incident Investigation und Response, ohne dass sie Splunk Enterprise Security verlassen müssen. Analysten können mit einem einzigen Mausklick Aufgaben in Splunk Enterprise Security automatisieren und orchestrieren.
Die Einführung von Response-Plänen direkt in Splunk Enterprise Security ermöglicht Benutzern, eine mühelose Zusammenarbeit und Ausführung von Incident Response-Workflows für gängige Security Use Cases. Analysten können direkt in Splunk Enterprise Security auf einen definierten, organisierten Response-Prozess zugreifen, ohne Zeit für den Wechsel zwischen Tools aufwenden zu müssen.
Eine Lösung. MTTD und MTTR: optimiert und vereinfacht.
Moderne Aggregations- und Triage-Fähigkeiten
Die an sich schon diffuse und unpräzise Bedrohungserkennung wird Analysten durch einen allgemeinen Mangel an Kontext zusätzlich erschwert. Sie haben Schwierigkeiten, die Bedeutung und potenziellen Auswirkungen von Sicherheitsbedrohungen einzuschätzen, und tun sich daher schwer, fundierte Entscheidungen zu treffen und geeignete Maßnahmen zu ergreifen.
Die neu eingeführten Erkennungsgruppen in Analysten-Workflows aggregieren Erkennungen automatisch anhand vordefinierter Regeln mit gängigen Sicherheitsgruppierungstechniken und -berechnungen (wie etwa ähnliche Entitäten, kumulativer Risk Score, MITRE ATT&CK-Schwellenwerte und mehr). Dank dieser aggregierten Ansicht erhalten Analysten mit einem einzigen Mausklick einen umfassenden Überblick über alle zusammenhängenden High-Fidelity-Erkennungen. Dies macht es Analysten noch einfacher, geeignete Maßnahmen zu ergreifen und auf komplexe Bedrohungen zu reagieren.
Verbesserte Erkennung
Sicherheitsanalysten tun sich schwer, in der gesamten Warnmeldungsflut Bedrohungen mit hoher Priorität zu erkennen. Im Durchschnitt werden schätzungsweise 41 %2 der Warnmeldungen ignoriert, und Analysten haben einfach nicht die Zeit, jeder einzelnen Untersuchung verwertbaren Kontext hinzuzufügen. Darüber hinaus erfordert das Management der Erkennungssammlung für die Pflege und Nachverfolgung von Aktualisierungen oder Änderungen innerhalb der Erkennungen von Detection Engineers einen extremen manuellen Arbeitsaufwand.
Um hier Abhilfe zu schaffen, führen wir in Splunk Enterprise Security 8.0 verbesserte Erkennungen ein, sodass Unternehmen Bedrohungen schneller finden und beheben können. Zudem helfen wir Analysten, eine Erkennungsstrategie mit risikobasierten Benachrichtigungen zu implementieren, die schlüsselfertige Funktionen für die Erstellung verlässlicher aggregierter Warnmeldungen für Untersuchungen bietet. Die verbesserte Erkennung ermöglicht Analysten, eine risikobasierte Benachrichtigungsstrategie zu entwickeln und umzusetzen, die ihnen die Flexibilität gibt, aggregierte, zuverlässige Warnmeldungen für gründliche Untersuchungen zu erstellen. Durch die verbesserte Bedrohungserkennung sparen Analysten Zeit, da sie sich auf kritische Incidents konzentrieren können. Eine weitere Neuerung ist die native, automatische Versionsverwaltung für Erkennungen in Splunk Enterprise Security für ESCU- und kundeneigene Erkennungen.
Vereinfachte Terminologie für Sicherheitsanalysen
Analysten müssen sich oftmals erst in die inkonsequente Terminologie der verschiedenen Komponenten des Sicherheits-Ökosystems einarbeiten. Dies erschwert ihre Arbeit zusätzlich, besonders, wenn sie produktübergreifend arbeiten und mit abgeschotteten Datensilos zu tun haben.
In Splunk Enterprise Security 8.0 haben wir die Terminologie innerhalb der TDIR-Workflows vereinfacht, um Analysten ein nahtloses Erlebnis zu bieten. Die neue Taxonomie orientiert sich am Open Cybersecurity Schema Framework (OCSF), um die Abläufe innerhalb von Splunk Enterprise Security für Sicherheitsteams besser verständlich zu machen. Als Gründungsmitglied von OCSF unterstützt Splunk die Entwicklung eines Branchenstandards, der Kunden die Vereinfachung und Beschleunigung der Aufnahme und Analyse von Sicherheitsdaten erleichtert. Durch die Ausrichtung von Splunk Enterprise Security am OCSF brechen wir Datensilos auf, die Sicherheitsteam daran hindern, Bedrohungen schneller und effektiver zu erkennen, zu untersuchen und abzuwehren.
Splunk Enterprise Security 8.0 wird im September 2024 für Cloud- und On-Premise-Umgebungen allgemein verfügbar sein.
Wir haben ein offenes Ohr für eure Anliegen! Ideen oder Vorschläge könnt ihr gerne über Splunk Ideas einreichen. Wenn ihr außerdem noch mehr über Splunk Enterprise Security erfahren möchtet, besucht unsere Website.
