Das Jahr 2020 brachte Veränderungen in historischem Ausmaß mit sich und wir haben schon damals auf die massive, sich scheinbar über Nacht vollziehende weltweite Umstellung auf die Cloud hingewiesen. Es hat sich herausgestellt, dass dieser „über Nacht“ vollzogene Wandel noch nicht abgeschlossen ist. Die Herausforderungen des letzten Jahres bestehen weiterhin. Als die größte unter diesen Herausforderungen erweist sich die zunehmende Komplexität von hybriden und Multi-Cloud-Infrastrukturen, ganz zu schweigen vom Verlust der Transparenz in Sachen Cyber-Sicherheit und der dadurch bedingten, rasch wachsenden Angriffsfläche.
Als wäre die beschleunigte digitale Transformation noch nicht herausfordernd genug, haben laut des Lageberichts Security 2021 84 % der Unternehmen innerhalb der letzten zwei Jahre einen schwerwiegenden Cybersecurity-Incident erlebt. Nicht nur das – es ist auch keine Besserung in Sicht: 49 % der Befragten gaben an, dass es in den letzten zwei Jahren schwieriger geworden ist, mit den Sicherheitsanforderungen Schritt zu halten. Und da 76 % der Befragten außerdem angaben, dass Remote-Mitarbeiter schwieriger zu schützen sind, ist es kein Wunder, dass die SOC-Teams kaum hinterherkommen.
Unternehmen sehen sich mit einem Mangel an Transparenz in ihrem gesamten Ökosystem konfrontiert und mit riesigen Mengen an Warnmeldungen im SOC. Dabei fehlen kontextbezogene Informationen und Wege zur Automatisierung. Cyber-Sicherheit ist für einen effektiven Plan zur digitalen Transformation unerlässlich, ja, sie macht ihn überhaupt erst möglich. Und genau hier kann Splunk helfen.
Wir verstehen euren Wunsch, Verweil- und Behebungszeiten zu verkürzen. In dieser Woche stellen wir auf der .conf21 mehrere Funktionen und Ankündigungen vor, die darauf abzielen, eure Fähigkeit zur Bekämpfung von Bedrohungen zu verbessern und eine sichere Transformation zu gewährleisten.
Mit Enterprise Security 7.0 setzen wir die Verbesserung der für Version 6.6 angekündigten Funktionen fort. Zugleich führen wir neue Funktionen ein, die für ein modernes SOC unerlässlich sind. Das sind unsere Neuerungen:
Enterprise Security stellt Unternehmen eine enorme Menge an Metriken zur Verfügung, die darüber Aufschluss geben, wie euer Sicherheitsprogramm läuft. Das neue Executive Summary Dashboard zeigt wichtige Leistungsindikatoren an, die Erkenntnisse zum Gesamtzustand des SOC liefern und das Reporting an CISOs und andere Führungskräfte erleichtern.
Mit dem Executive Summary Dashboard habt ihr schnell Zugriff auf folgende Informationen:
Ähnlich wie das Executive Summary Dashboard gibt das Security Operations Dashboard wichtige Einblicke, bietet jedoch tiefergehende Analysen für SOC-Manager und Teamleiter. Mit Enterprise Security 6.6 wurde eine Dispositionsfunktion für die Incident-Überprüfung eingeführt, mit der ihr aufzeichnen könnt, ob ein Ereignis ein True Positive, ein False Positive oder ein Benign Positive darstellt. Mit Version 7.0 könnt ihr diese Daten jetzt im zeitlichen Verlauf anzeigen und auswerten und euch einen genauen Überblick darüber verschaffen, welche Korrelationsquellen zu jeder der vier Standard-Dispositionsarten beitragen. Auf diese Weise kann euer Team entscheiden, welche Ereignisse genauer untersucht und welche möglicherweise aussortiert werden sollen.
Enterprise Security 7.0 ergänzt das Cloud Security Monitoring-Dashboard aus Version 6.6 um Updates und bietet euch erweiterten Einblick in AWS-Umgebungen, einschließlich neuer Dashboards wie AWS Security Groups, AWS IAM Activity und mehr. Das Cloud Security Monitoring Dashboard in ES 7.0 enthält darüber hinaus ein neues Dashboard zur Erfassung eurer Microsoft 365-Daten.
Die Enterprise Security Content Updates-App ist in ES7.0 enthalten. Mit ES erhaltet ihr jetzt den neuesten Security Content vom Splunk Threat Research-Team, sobald dieser verfügbar ist – alles mit nur einem Mausklick!
„Behavioral Analytics for Splunk Security Cloud“ ist jetzt in der Preview erhältlich und bietet Bedrohungserkennung mittels der Streaming Security Analytics Funktionen, um unbekannte Bedrohungen und anomales Verhalten von Benutzern und Entitäten aufzudecken. Mit Echtzeitsuchen und -analysen zusätzlich zu den herkömmlichen suchbasierten Korrelationen und Batch-Analysen erweitert ihr euer SIEM in der Cloud. So könnt ihr die mittlere Erkennungszeit (Mean-Time-To-Detect) verkürzen und mehr Zeit für die Suche mit risikobasierten Verhaltenswarnmeldungen mit höherer Genauigkeit aufbringen.
Lernt mit Splunk Security Essentials vordefinierte Bedrohungserkennungen und Analytic Stories kennen – gruppierte Erkennungsverfahren für Angreifer oder Ereignisse im Rahmen von Security-Anwendungsfällen. Pünktlich zur .conf21 führt Splunk Security Essentials 3.4.0 die auf dem Branchenstandard MITRE ATT&CK basierenden Erkennungsempfehlungen ein. Hinzu kommt ein verbessertes Mapping benutzerdefinierter Inhalte und eine neue Funktion zur Bestimmung nützlicher Splunkbase-Add-Ons. So könnt ihr noch mehr Security-Content in eurer Umgebung nutzen.
Mit Splunk SOAR (ehemals Phantom) kann jeder von Automatisierungslösungen profitieren – von Neulingen ohne Programmiererfahrung bis zu SOAR-Power-Usern und natürlich alle Nutzer, die sich dazwischen einordnen. Wir haben uns darauf konzentriert, Änderungen und Verbesserungen an der Benutzeroberfläche vorzunehmen, damit ihr eine schnellere Wertschöpfung erzielen könnt.
Der neue Visual Playbook Editor bietet eine vereinfachte Oberfläche, die die Automatisierung von Cyber-Sicherheitsaufgaben einfacher denn je macht:
Splunk SOAR-Apps sind jetzt in unserem umfangreichen Ökosystem technischer Integrationen aus Partner- und Community-Hand auf Splunkbase verfügbar. Sie bieten euch einen One-Stop-Shop zur Erweiterung der Leistungsfähigkeit von SOAR.
Mit dem neuen App Editor könnt ihr bestehende Apps ganz einfach über die SOAR-Benutzeroberfläche anzeigen, testen, erweitern und bearbeiten. Ihr könnt außerdem neue Apps erstellen. Das alles bringt euch folgende Vorteile:
Die TruSTAR Intelligence Management-Technologie kann Datensilos im Unternehmen und über Unternehmensgrenzen hinweg aufbrechen, um die Sicherheitseffektivität mit den Geschäftszielen in Einklang zu bringen, Dadurch wird die Resilienz gegen Cyberangriffe und die operative Effizienz verbessert. Mit fortschreitender Integration von Splunk und TruSTAR profitieren gemeinsame Kunden von diesen Möglichkeiten:
Die Komplexität von Cyber-Sicherheitsbedrohungen nimmt exponentiell zu. Der Zugang zu Expertenwissen, ausgefeilten Prozessen und erstklassigen Technologien macht es für Unternehmen möglich, eine proaktive Rolle beim Schutz ihres Geschäfts zu spielen. SURGe hilft Security-Teams, umgehend auf bekannte, zeitkritische Cyberangriffe zu reagieren, indem es zeitnah kontextbezogenes Wissen und Techniken zur Erstreaktion auf Incidents bereitstellt. Durch die schnelle Nutzung der technischen Anleitungen durch SURGe können Security-Teams Klarheit inmitten des Chaos schaffen und die Mean-Time-To-Detect sowie die Mean-Time-To-Response verkürzen.
SURGe bietet euch diese Möglichkeiten:
Möchtet ihr über viel beachtete Cyberangriffe benachrichtigt werden? Registriert euch für Warnmeldungen und nutzt Anleitungen zur Erstreaktion von SURGe.
Möchtet ihr mehr darüber erfahren, wie Splunk die Sicherheit eurer Cloud-Journey unterstützen kann? Besucht uns und mehr als 20.000 Splunk-Kunden und -Partner online und live bei der .conf21. Dort werden wir Updates zu unserem gesamten IT-Sicherheitsportfolio und umfassende Demos vorstellen.
-----------------------
Jane Wong
Allen Konversationen auf der#splunkconf21 folgen!
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier: Speeding Detection, Investigation, and Response with Splunk for Security.
----------------------------------------------------
Thanks!
Splunk
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.