Eine gute User Experience ist wichtig für den Geschäftserfolg – das ganze Jahr über. Besonders wichtig jedoch ist sie während des Weihnachtsgeschäfts, wenn der Datenverkehr sprunghaft ansteigt.
Der hohe Traffic wirkt sich branchenübergreifend aus: Einzelhändler und Hersteller von Konsumgütern erleben eine höhere Nachfrage, Logistikunternehmen müssen mehr Sendungen ausliefern, Finanzdienstleiter mehr Zahlungen verarbeiten usw. Daraus ergeben sich enorme Chancen, aber auch Risiken. Das höhere Datenverkehrsaufkommen kann erhebliche Umsätze in die Kasse spülen, doch schnell können negative Benutzererfahrungen oder eine Datenschutzverletzung auch alles zunichtemachen – und die eigene Brand über Jahre hinaus schädigen.
Um in High-Traffic-Perioden erfolgreich zu sein, benötigen Engineering-, ITOps- und SecOps-Teams resiliente Systeme. Diese sind essenziel, um Ausfallzeiten zu minimieren, Cyberangriffe abzuwehren und Benutzerdaten zu schützen. Die aktuellen Innovationen von Splunk ermöglichen dank umfangreicher Kontextinformationen ein schnelleres Verstehen und Lösen kundenseitiger Probleme und leisten damit einen wertvollen Beitrag zur Steigerung der digitalen Resilienz von Unternehmen. Engineering-, ITOps- und SecOps-Teams profitieren folgendermaßen von den neuen Funktionen:
Angesichts häufiger Codeänderungen, unberechenbaren Datenverkehrs und höherer Downtime-Kosten während des Weihnachtsgeschäfts ist diese Zeit für Engineering-Teams unterschiedlicher Branchen besonders strapaziös. Die zunehmende Komplexität digitaler Systeme erschwert ihnen die Aufgabe zusätzlich. Beim Auftreten eines Problems ist es für Techniker im Bereitschaftsdienst oft schwer zu erkennen, ob sie für das Problem zuständig sind oder ob das Problem bei einem anderen internen Service oder sogar einer Drittanbieterressource liegt. Falls das Problem in ihren Zuständigkeitsbereich fällt, stellt sich die Frage, an welches Team es eskaliert werden muss. Engineering-Teams sind auf proaktive und intuitive Funktionen angewiesen, um die Endbenutzererfahrung zu verstehen, und auf die richtigen Daten, um Problemen zuverlässig auf den Grund zu gehen.
Die Innovationen von Splunk im Observability-Bereich, jetzt als allgemein verfügbare Version erhältlich, geben tiefere Einblicke in die Benutzererfahrung und beschleunigen das Troubleshooting kundenseitiger Probleme. Splunk leistet nicht nur einen großen Beitrag zu OpenTelemetry, sondern verringert auch den Arbeits- und Instrumentierungsaufwand von Engineering-Teams, was zu einer erheblichen Arbeitserleichterung führt. Zusammengenommen können diese Innovationen den Zeitaufwand für das Troubleshooting beträchtlich verringern und im Weihnachtsgeschäft für Stressabbau sorgen.
Für ein schnelles Troubleshooting ist es unabdingbar, die End-User-Erfahrung genau nachvollziehen zu können.
Mit Session Replay, einer neuen Funktion von Splunk RUM, können Engineers sich nun durch eine Videorekonstruktion jeder Benutzerinteraktion (im entsprechenden Kontext) ein genaues Bild machen – mit einer Wasserfallansicht detaillierter Daten der Benutzersitzung und integriertem Schutz persönlich identifizierbarer Informationen (PII). Das Ergebnis ist ein schnelleres und einfacheres Debuggen von Problemen und eine Verkürzung der MTTR.
Das Troubleshooting wird durch eine Kombination von Logs, Metriken und Traces erheblich vereinfacht und beschleunigt. Viele Splunk-Nutzer nutzen den Universal Forwarder, der allerdings nur Logs erfassen kann. Zur Erfassung von Metriken und Traces müssen sie separat den OpenTelemetry Collector bereitstellen und verwalten, was zu Reibungsverlusten und höherer Komplexität führt. Diese Komplexität können Splunk Platform-Administratoren nun vermeiden, indem sie den Splunk Deployment Server einsetzen, um den OpenTelemetry Collector problemlos neben ihren bestehenden Forwardern bereitzustellen und zu verwalten – ähnlich wie jedes andere technische Add-On (TA). Wenn der OpenTelemetry Collector installiert ist, kann Splunk Observability Cloud genutzt werden, um kundenseitige Probleme schneller zu erkennen und zu beheben.
Weitere Informationen findet ihr unter https://www.splunk.com/de_de/products/observability.html.
Da immer mehr Anwendungen auf On-Premise-, Cloud- und Edge-Bereitstellungen verteilt und Daten gewöhnlich in mehreren abgeschotteten Silostrukturen gespeichert sind, ist eine schnelle und effektive Erkennung, Untersuchung und Reaktion extrem schwierig. Dieser Mangel an Transparenz und die eingeschränkte Kontrolle und Wahlmöglichkeit beim Datenmanagement können zu negativen Kundenerlebnissen und Kostensteigerungen führen. ITOps- und Engineering-Teams brauchen unabhängig vom Speicherort der Daten mehr Einblick in kundenseitige Probleme – ohne Kompromisse bei der Datenhoheit machen zu müssen.
Splunk hat nun neue Funktionen für das Datenmanagement eingeführt. Diese ermöglichen eine schnellere Kernursachenanalyse und Behebung kundenseitiger Probleme. Unabhängig vom Speicherort der Daten sind die erforderlichen Informationen für Führungskräfte und Experten immer greifbar.
Für große Mengen geringwertiger Daten sind Unternehmen aufgrund der Kosteneffizienz, Skalier- und Verwaltbarkeit auf Speicherlösungen in der Cloud angewiesen. Allerdings ist die Nutzung von Cloud-Speicherlösungen auch mit Problemen verbuchen, insbesondere aufgrund der Datenbewegungen, die Latenz und Kosten für den ausgehenden Netzwerkverkehr mit sich bringen können. Mit der neuen föderierten Suche für Amazon S3 können ITOps- und SecOps-Administratoren direkt von der Splunk Cloud Platform Daten in ihren eigenen Amazon S3 Buckets durchsuchen, ohne diese zu erfassen. Das Ergebnis sind Verbesserungen beim Datenzugriff sowie bei der Durchsuchbarkeit und Korrelation.
ITOps-Teams haben noch immer mit großen Datenmengen, viel Rauschen, einer wahren Benachrichtigungsflut und mit einer Vielzahl von Quellen, Datentypen und Formaten zu kämpfen, die das Erkennen von Event-Mustern, das Priorisieren von Problemen und die Implementierung wirkungsvoller Korrelationen erschweren. Edge Processor bietet mehr Flexibilität und Kontrolle über euer Datenmanagement, da die Daten gefiltert, maskiert und weitergeleitet werden können, bevor sie die Grenzen eures Netzwerks überschreiten. Mit dem verbesserten Edge Processor stehen Splunk-Administratoren außerdem Funktionen für das Datenmanagement zur Verfügung, die nicht relevante Benachrichtigungen reduzieren oder herausfiltern, um die Suche und Untersuchung zu beschleunigen. Durch das Hinzufügen von syslog als Erfassungsprotokoll lassen sich Verbesserungen im Hinblick auf Datentreue, Performance und Skalierung erzielen.
ITOps-, Engineering- und SecOps-Teams müssen Datenvisualisierungen mit Entscheidungsträgern teilen, die nicht unbedingt Zugriff auf Splunk haben und regelmäßige Statusaktualisierungen benötigen, wenn Probleme schnell gelöst werden sollen. Daher bietet Dashboard Studio in Splunk Cloud Platform jetzt eine effiziente und einfache Freigabeoption, mit der nach einem festgelegten Zeitplan PDF-Dateien von Dashboards per E-Mail gesendet werden können.
Weitere Informationen findet ihr unter www.splunk.com/de_de/products/splunk-cloud-platform.html
Das Security Operations Center (SOC) ist verantwortlich für das Monitoring und den Schutz der Sicherheitsinfrastruktur sowie der Daten und Assets des Unternehmens und muss darüber hinaus Resilienz gegen künftige Bedrohungen sicherstellen. Ohne ein erstklassiges SIEM (Security Information and Event Management) im Kern des Sicherheitsbetriebs können SOCs aber leider keines dieser Ziele effizient und wirkungsvoll erreichen. Angesichts der stetig steigenden Anzahl von Cyberangriffen und einer begrenzten Anzahl von Security-Mitarbeitern zur Abwehr dieser Angriffe, bietet ein erstklassiges SIEM eine gute Möglichkeit, die Transparenz im Sicherheitsbereich zu erhöhen und Untersuchungen zu vereinfachen, um schneller auf Bedrohungen reagieren zu können.
Der Technologiewandel verschlechtert die Sicht. Das Monitoring wird in einer ausufernden Hybrid-, Cloud- und On-Premise-Umgebung zu einer echten Herausforderung. Mit Blick auf eine vergrößerte Angriffsfläche, neue Angriffsvektoren und eine schier endlose Welle von Angriffen haben SOC-Teams Schwierigkeiten, die relevanten Probleme aus der Warnmeldungsflut herauszufiltern. Sie brauchen beispiellose Transparenz im gesamten Technologie-Ökosystem, um einen klaren Blick auf Daten und Assets zu bekommen.
Das branchenführende SIEM von Splunk, Splunk Enterprise Security, kann beliebige Typen von Datenquellen erfassen, überwachen und analysieren – unabhängig vom Format und über On-Premise-, hybride und Multi-Cloud-Umgebungen hinweg. Die neuste Version von Splunk Enterprise Security 7.2 bietet neue Transparenzfunktionen. Mit unserem verbesserten Dashboard für die Risikoanalyse bekommen Analysten einen tieferen und ganzheitlichen Einblick in alle Erkennungs-Events. Das SOC-Team kann das Risiko, das von Benutzern und Entitäten für das Unternehmen ausgeht, besser einschätzen, und Analysten können mehrere Drilldown-Suchen für Korrelationsregeln, bestimmte Benutzer und Entitäten durchführen, um zusätzlichen Kontext zu den Risikobeiträgen zu erhalten. Mithilfe der Funktion „Zeitachse“ können Analysten nun zusammenhängende Events in einem bestimmten Zeitrahmen anzeigen und rasch Einblick in anomale Aktivitäten gewinnen.
Analysten ertrinken förmlich in einer Flut von Sicherheitswarnungen. Tatsächlich geben 23 % der SOC-Analysten an, sie hätten mit der hohen Anzahl an Benachrichtigungen zu kämpfen<>. Das zu verarbeitende Volumen ist so groß, dass 41 % dieser Benachrichtigungen aufgrund mangelnder Bandbreite im SOC ignoriert werden2. Wenn Bedrohungen durchs Raster fallen, führt dies zu einer längeren MTTD (Mean Time to Detect) und einer Verweildauer von etwa 2,24 Monaten3. Analysten haben keine Chance, Fälle rasch abzuschließen und zur nächsten Untersuchung überzugehen, wenn sie nicht die Möglichkeit haben, Sicherheitswarnungen mit hohem Risiko zu priorisieren.
SOC-Teams müssen Benachrichtigungen leichter priorisieren können, um Untersuchung und Reaktion zu beschleunigen. Splunk Enterprise Security und risikobasierte Benachrichtigungen (Risk-Based Alerting) vereinfachen die Priorisierung von Benachrichtigungen. Die jüngsten Updates unseres Dashboards für die Incident-Überprüfung ermöglichen die Unterscheidung zwischen False Positives, Benign Positives und True Positives und bieten Analysten damit wertvolle Hilfestellung bei der Klassifizierung relevanter Events. Mit diesen Informationen können sie schneller entscheiden, welche Erkennungen überprüft werden sollen und wann. Darüber hinaus können Analysten das Dashboard für die Incident-Überprüfung jetzt mit Tabellenfiltern und Spalten anpassen und konfigurieren, um die für sie relevanten Events herauszufiltern.
Ein weiteres Hindernis bei Sicherheitsuntersuchungen ist die überbordende Fülle von Sicherheitstools. 64 % der SOC-Teams geben an, es sei frustrierend, dass sie bei Untersuchungen und Reaktionsschritten ständig zwischen verschieden Sicherheitstools hin- und herwechseln müssten4. Viele dieser Tools sind abgeschottet und können nicht ohne Weiteres interagieren, da sie nur begrenzt integrierbar sind.
An dieser Stelle kommt Mission Control ins Spiel, die einheitliche Arbeitsoberfläche von Splunk Enterprise Security. Benutzer von Splunk Enterprise Security können Erkennungs-, Untersuchungs- und Reaktions-Workflows aus unterschiedlichen Toolsets, wie SIEM, SOAR, UEBA, und Bedrohungsinformationen jetzt nahtlos auf einer Benutzeroberfläche zusammenführen. Mithilfe von vorkonfigurierten Vorlagen für Untersuchung und Reaktion, die sich an Frameworks wie MITRE ATT&CK und NIST orientieren, können SOC-Teams ihre Betriebsabläufe kodifizieren, aufwendige manuelle Sicherheitsoptimierungen eliminieren und ihre Workflows an bewährten, branchenüblichen Frameworks ausrichten. Das Ergebnis sind vereinfachte Sicherheitsuntersuchungen im SOC, kürzere Reaktionszeiten und eine proaktivere SecOps-Strategie.
Weitere Informationen findet ihr auf unserer Webseite und bei unserem Tech Talk.
Mit domänenspezifischen Erkenntnissen, die auf Erfahrungen aus der Praxis basieren, verhilft Splunk euch zu einer schnelleren Erkennung, Untersuchung und Reaktion. Splunk kann aussagekräftige, kontextintensive Kundendaten auswerten und wichtige Events und Signale zutage fördern. „Human-in-the-Loop“-KI bietet ein Gesamtbild der Situation mit einem hervorragenden Überblick über Events und intelligenter Auswertung. Splunk Admins profitieren von Arbeitserleichterungen und Produktivitätssteigerungen bei Aufgaben wie dem Schreiben von Code, dem Erkennen von Anomalien, der Automatisierung von Playbooks und Workflows, der Implementierung von Data Science-Tools und vielem mehr. Darüber hinaus können Splunk-Benutzer generative KI nutzen, denn der Splunk AI Assistant wird kontinuierlich weiterentwickelt, um mehr Benutzer einzubinden und schneller SPL-Antworten zu erhalten.
1. Quelle: Splunk-Lagebericht Security 2023
2. Quelle: Splunk-Lagebericht Security 2023
3. Quelle: Splunk-Lagebericht Security 2023
4. Quelle: Splunk-Lagebericht Security 2023
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.