Ihr arbeitet als Security-Analysten in einem SOC. Eines eurer Tools macht euch auf ein potenzielles Problem aufmerksam. Und was passiert dann?
Ziehen wir eine vorläufige Bilanz dessen, was hier geschehen ist.
Ihr sei die üblichen TDIR-Schritte (Threat Detection, Investigation and Response) durchgegangen, aber es war ein dorniger Weg. Er hat viel Zeit, Mühe und Handarbeit gekostet.
Wie können wir das ändern? Wie können wir Erkennung, Untersuchung und Reaktion leisten, aber effizienter und schneller? Wir können wir die Fehlalarmquote von 30 % auf null senken? Wie können wir die Menge der Warnmeldungen um 80 % reduzieren? Wie können wir 45-Minuten-Prozesse in 45 Sekunden schaffen?
Zuerst braucht ihr für Bedrohungserkennung und Datenanalyse eine erstklassige SIEM-Technologie. Splunk Enterprise Security ist die einzige SIEM-Technologie, die in allen drei großen SIEM-Reports (Gartner, Forrester und IDC) als Leader genannt wird. Und dann haben wir noch wie die Wahnsinnigen an weiteren Innovationen gearbeitet:
Ihr habt also eine Bedrohung entdeckt und die Untersuchung mit Splunk Enterprise Security begonnen. Jetzt geht es darum, den Angriff genau zu verstehen, damit ihr schnell und gezielt handeln könnt. Dazu haben wir neu den Splunk Attack Analyzer (ehemals TwinWave). Er leistet automatisierte Bedrohungsanalysen, ihr könnt damit sogar komplexe Angriffsverläufe enttarnen, mit denen Schadakteure sonst der Erkennung entgehen. Der Splunk Attack Analyzer macht den Prozess der Analyse von Malware- und Phishing-Angriffen deutlich effizienter, denn er gibt SOC-Analysten einen umfassenden forensischen Einblick in die Bedrohungen und die von den Bedrohungsakteuren verwendeten Techniken. Splunk Attack Analyzer leistet:
Im Gegensatz zur herkömmlichen Sandbox-Technologie verwendet Attack Analyzer einen neuartigen Ansatz, um eine branchendefinierende Technologie für die automatisierte Bedrohungsanalyse bereitzustellen. Es navigiert automatisch durch verschiedene Liefervektoren einer Angriffskette, wie etwa den Zugriff auf schädliche Inhalte, das Herunterladen von Dateien oder sogar die Eingabe von Passwörtern für Archive, alles zur Unterstützung der endgültigen Nutzlast, die dann analysiert werden kann.
Einen genaueren Einblick in Splunk Attack Analyzer bekommt ihr hier im Splunk-Blog bzw. auf der Website von Splunk Attack Analyzer.
Nun ist es an der Zeit, zu Tat zu schreiten und zu reagieren. Wollt ihr das komplett von Hand erledigen? Natürlich nicht. In cleveren Unternehmen verwendet ihr dazu Splunk SOAR, unsere Orchestrierungs- und Automatisierungstechnologie, mit der ihr die einzelnen Untersuchungs- und Reaktionsmaßnahmen im Rahmen der Security-Workflows automatisch ausführt. Wie ein Dirigent mit dem Taktstock sein Orchester leitet, so gibt Splunk SOAR mit Automatisierungsplaybooks euren Tools den Einsatz, sodass sie sofort in Aktion treten, und zwar in zuvor festgelegten Abläufen. Prozesse, für die ihr zuvor 45 Minuten gebraucht habt, dauern dann nur noch 45 Sekunden. Zu den jüngsten Neuerungen bei Splunk SOAR zählen diese:
Mit Splunk könnt ihr bereits in Rekordgeschwindigkeit Bedrohungen erkennen, untersuchen und darauf reagieren. Und jetzt könnt ihr all diese Workflows eurer Security Operations zusammenführen und auf einer gemeinsamen Oberfläche arbeiten. Im März 2023 hat Splunk das neue und verbesserte Splunk Mission Control für einheitliche Security Operations angekündigt. Jetzt müssen Sicherheitsanalysten nicht länger zwischen 20 oder mehr Security Tools hin- und herwechseln. Splunk Mission Control ist eine Cloud-basierte Verwaltungskonsole, die SIEM, SOAR, Bedrohungsinformationen, Analysen und weitere Sicherheitstools von Drittanbietern auf einer einheitlichen Arbeitsoberfläche zusammenführt. Das schafft schlanke Workflows und steigert die SOC-Effizienz. Mit Splunk Mission Control bekommt ihr:
Falls ihr diese Woche zur .conf23 in Las Vegas anreist, solltet ihr euch unsere Breakout Sessions und praktischen Workshops ansehen, die wir zu allen unseren Sicherheitstechnologien vorbereitet haben. Meldet euch einfach bei der .conf23-App oder auf der .conf23-Website an und sucht nach einer der oben genannten Technologien, dann erfahrt ihr aus erster Hand, wie ihr mit unseren aktuellen Innovationen eure akuten Sicherheitsprobleme lösen könnt. Es ist für alle etwas dabei. Hier ein Auszug mit einigen Top-Terminen:
Wir freuen uns darauf euch auf der .conf23 zu sehen!
Folgt den #splunkconf23-Konversationen!
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.