Ob wir wollen oder nicht, Probleme sind vorprogrammiert – Cyber-Sicherheitsbedrohungen, Stressfaktoren für IT-Systeme und sonstige Störungen. Angesichts solcher Zwischenfälle müssen Unternehmen ihre Systeme unbedingt sicher und zuverlässig halten. Sie müssen in der Lage sein, Probleme schnell und umfassend zu erkennen, zu untersuchen und darauf zu reagieren. Sie müssen sich im Handumdrehen auf Änderungen einstellen können, wenn das Makroumfeld dies notwendig macht, und letztendlich aus ihren Erfahrungen lernen, um in Zukunft besser und effizienter auf ähnliche Ereignisse reagieren zu können. Dies sind die Qualitäten, die ein digital resilientes Unternehmen ausmachen.
Leider gibt es jedoch viele Herausforderungen, die SecOps-, ITOps- und DevOps-Teams daran hindern, den Aufbau digitaler Resilienz in ihren Unternehmen optimal voranzutreiben:
- Teams haben häufig Schwierigkeiten, Security- und IT-Vorfälle schnell und effektiv zu erkennen, zu untersuchen und darauf zu reagieren. Grund sind neben fehlender kontextbezogener Sichtbarkeit auch isolierte Toolsets (und Teams). Dies behindert sowohl den Informationsaustausch als auch die Zusammenarbeit.
- Security- und IT-Informationen sind über verschiedene Interfaces und Tools verteilt. Dadurch ist es schwer, sich schnell ein Gesamtbild der Lage zu verschaffen.
- Security-, IT- und Entwicklungsprozesse sind oft langsam und komplex. Dies erschwert Unternehmen eine schnelle Problembehebung.
- Außerdem leiden SecOps-, ITOps- und DevOps-Teams meist an chronischer Überforderung aufgrund der vielen manuellen Prozesse zur Behebung und Behandlung der tagtäglichen Flut von Bedrohungsereignissen und IT-Vorfällen. Sie sind gefangen in einem „Kreislauf der Reaktivität“, bei dem sie kontinuierlich im Verteidigungsmodus sind. Das wiederum macht es ihnen unmöglich, proaktive Maßnahmen zum Schutz des Unternehmens zu ergreifen.
Um Kunden zu helfen, diese Herausforderungen zu entschärfen und digitale Resilienz aufzubauen, hat Splunk heute neue Innovationen und Verbesserungen an seiner Plattform für einheitliche Sicherheit und Observability bekanntgegeben. Splunk bietet SecOps-, ITOps- und DevOps-Teams folgende Möglichkeiten:
- Vereinheitlichen der Workflows zur Erkennung, Untersuchung und Reaktion auf Bedrohungen über die Bereiche SIEM, SOAR und Threat Intelligence-Management hinweg über die gemeinsame Arbeitsoberfläche Splunk Mission Control, damit Sicherheitsvorfälle schneller behoben werden können.
- Vereinfachen von Security- und IT-Workflows, Optimieren der Datenverarbeitung und schnellere Incident-Behebung durch die verbesserte Sichtbarkeit dank Splunk Mission Control, Splunk Observability Cloud und Edge Processor in der Splunk Cloud Platform
- Modernisieren von SecOps, ITOps und DevOps mit integrierten Automatisierungsfunktionen in Splunk Mission Control und Splunk Application Performance Monitoring. Dadurch können Teams in jeder Größenordnung effektiv reagieren, werden von manuellen Aufgaben entlastet und sind in der Lage, das Unternehmen proaktiv zu schützen.
Stärken der digitalen Resilienz mit einheitlichen Security Operations
Die Welt der IT-Sicherheit ist voller Herausforderungen, die Unternehmen daran hindern, digitale Resilienz aufzubauen. Ihre Möglichkeiten zur Erkennung, Untersuchung und Reaktion auf Bedrohungen sind auf verschiedene Systeme und abgeschottete Sicherheitstools verteilt, was es für Teams schwierig macht, sich bei einem Security-Event ein Bild von der Gesamtsituation zu verschaffen, eine koordinierte Reaktion einzuleiten und Vorfälle effizient und schnell zu beheben. Eine unendliche Flut von Sicherheitswarnungen – und der ständige Kampf gegen neue, komplexe Angriffe – überfordern das SOC und führen zu einem großen Rückstau an Events, der das Risiko noch vergrößert. Da die Teams diese Ereignisse manuell untersuchen und darauf reagieren müssen, dauern Untersuchungen nicht nur ein paar Minuten, sondern Stunden. Die Analysten können Probleme nicht schnell genug beheben, um den Bedrohungen einen Schritt voraus zu bleiben, sodass das SOC in einem Zustand der ständigen Verteidigung und Reaktivität gefangen ist.
Es ist also an der Zeit, endlich Ordnung in den Sicherheitsbetrieb zu bringen. In Splunks einheitlicher Security Operations-Lösung, Splunk Mission Control, vereint Splunk Sicherheitsanalysen (Splunk Enterprise Security), Automatisierung und Orchestrierung (Splunk SOAR) sowie Threat-Intelligence-Fuktionen. Diese gemeinsame Arbeitsoberfläche bietet einheitliche, einfache und moderne Security Operations für euer SOC. Ihr könnt Störungen schneller erkennen, untersuchen und beheben, manuelle Aufgaben automatisieren, um die Effizienz eures Teams zu vervielfachen, sowie digitale und Cyber-Resilienz in die operative Struktur eures SOC einbetten.
Splunk Security gibt euch folgende Möglichkeiten:
- Einheitliche Funktionalität für die Erkennung, Untersuchung und Reaktion auf Vorfälle, um anhand priorisierter Erkenntnisse schneller reagieren zu können: Durch die Integration von Workflows aus den Bereichen Erkennung, Untersuchung und Reaktion erhalten Sicherheitsteams einen vollständigen Überblick über die Sicherheitserkenntnisse und -trends, können Risiken schneller ausmachen und müssen nicht zwischen SIEM, SOAR, Threat Intelligence und anderen Sicherheits-Managementkonsolen wechseln. Dies beschleunigt die Erkennung, Untersuchung und Reaktion auf Sicherheitsvorfälle und ermöglicht Teams, Probleme schneller zu beheben.
- Einfachere Sicherheits-Workflows, da eure Prozesse in Reaktionsvorlagen kodifiziert sind: Splunk Mission Control ermöglicht Teams, die Einhaltung von SOC-Prozessen zu verbessern, indem Sicherheitsprozesse in vordefinierten Vorlagen kodifiziert werden. So können eure Teams wiederholbare Prozesse entwickeln, um bei einem Sicherheits-Incident schneller Untersuchungen einzuleiten und letztendlich für ein robusteres Sicherheitsniveau zu sorgen.
- Modernisieren und Unterstützen eurer Security Operations durch die Geschwindigkeit von Sicherheitsautomatisierungen: Ihr könnt innerhalb von Sekunden bzw. Minuten (nicht Stunden oder Tagen) Untersuchungen durchführen und reagieren, indem ihr manuelle, sich wiederholende Sicherheitsprozesse über euren gesamten integrierten Sicherheits-Stack hinweg automatisiert. Stellt Playbooks in Mission Control bereit, um Untersuchungs- und Reaktionsaufgaben auf der Grundlage branchenspezifischer Reaktionsvorlagen zu automatisieren. Ihr müsst nicht mehr zwischen Managementkonsolen umschalten, um von Erkennungs-Workflows zu Untersuchungs- und Reaktions-Workflows zu wechseln. Ihr gewinnt Zeit, um euch auf unternehmenskritische Ziele zu konzentrieren, und könnt Security Operations proaktiver und flexibler machen.
Weitere Informationen hierzu findet ihr auf der deutschen Mission Control Webpage.
Schnelleres Troubleshooting und mehr Ordnung im On-Call-Chaos mit Splunk Observability Cloud
ITOps- und DevOps-Teams bieten mit neuen Funktionen und Produkten ihren Kunden echten Mehrwert. Doch wenn Unternehmen ihre Infrastruktur, Anwendungen und Endbenutzererfahrung modernisieren, um schneller Ergebnisse zu erzielen, führt dies durch mehr Komplexität und Angriffsfläche zu Herausforderungen beim Troubleshooting. Diese Problematik wird durch abgeschottete, isolierte Tools in verschiedenen Teams und Unternehmensbereichen noch verstärkt. Der Kontextwechsel zwischen zu vielen Tools für das IT-Incident-Management ist zur Norm geworden. Teams benötigen mehr Transparenz über ihre gesamte Umgebung hinweg und müssen auf manuelle Korrelationen setzen, um die Kernursache von Vorfällen zu ermitteln. Dies führt zu einem reaktiven Ad-hoc-Ansatz bei der Problemlösung, nächtlichen Noteinsätzen und langen Reaktionszeiten.
DevOps-Ingenieure und SREs kämpfen mit ganz ähnlichen Problemen. Zahlreiche isolierte Tools mit manueller Korrelation und manuellen Prozessen für die Incident Response in Kombination mit vielen Warnmeldungen ohne ausreichend Kontext während der Bereitschaftszeiten führen zu langen Reaktionszeiten und schlechten MTTA/MTTR-Werten.
Aus diesem Grund kündigt Splunk mehrere Neuerungen für die Observability Cloud an, um Teams durch mehr Transparenz innerhalb ihrer Umgebungen und einen einheitlicheren Incident Response-Ansatz zu schnellerem Troubleshooting zu verhelfen. Teams erhalten jetzt tiefer greifenden Kontext aus der Endbenutzererfahrung durch das Cloud-Netzwerk und zu jeder Transaktion, mit höherer Genauigkeit von Benachrichtigungen, um innerhalb einer einzigen Oberfläche effizienter auf Probleme zu reagieren und Ordnung in das Chaos des Bereitschaftsdienstes zu bringen.
Splunk Observability bietet folgende Möglichkeiten:
- Modernisieren von ITOps durch automatisierte Benachrichtigungen und Vereinheitlichen der Incident Response für mehr Ordnung im On-Call-Chaos. Teams können durch genauere Warnmeldungen und einen einheitlichen Incident Response-Ansatz jetzt schneller auf Störungen reagieren. Splunk Incident Intelligence unterstützt DevOps-Teams bei Bereitschaftsaufgaben mit den nötigen Daten, damit sie Servicestörungen diagnostizieren und beheben sowie die zugehörigen Services wiederherstellen können, bevor sich diese auf ihre Kunden auswirken. Damit lassen sich die Effizienz und Koordination von Bereitschaftsteams enorm steigern. Neue Funktionen für die automatische Erkennung in Splunk APM nutzen Machine Learning, um die Genauigkeit von Service-Warnmeldungen deutlich zu verbessern, damit Teams super-exakte Benachrichtigungen erhalten, und senken gleichzeitig den manuellen Konfigurationsaufwand. Dank dieser neuen Innovationen profitieren IT- und DevOps-Teams von besserer Benachrichtigungsgenauigkeit und optimierten Workflows, verkürzen dadurch die Zeit von der Benachrichtigung bis zur Behebung und senken die MTTA- und MTTR-Werte.
- Vereinfachen von Troubleshooting-Workflows mit höherer Transparenz über die gesamte Umgebung hinweg: Splunk Observability Cloud bietet Einblicke in jede Benutzersitzung und jede Transaktion in monolithischen sowie auf Microservices basierenden Architekturen. Von jeder Benutzersitzung mit Problemen bis hin zu jedem einzelnen Tag, bei dem ein Problem auftritt – im gesamten Netzwerk und in Kubernetes-Clustern – erhalten Benutzer jetzt mehr Transparenz und Kontext, sodass sie Fehler schneller beheben und erkennen können, wie sich ein Problem auf die Endbenutzer auswirkt. Mit IM Network Explorer können DevOps-Teams den Zustand ihres Cloud-Netzwerks mühelos überwachen und beurteilen sowie sich ein klares Bild von ihrer Cloud-Umgebung und Netzwerktopologie machen, um Probleme schneller zu beheben. APM Trace Analyzer erkennt Muster innerhalb von Milliarden von Transaktionen. Dies hilft IT- und DevOps-Teams, spezifische Probleme zu jedem Tag, Benutzer oder Dienst zu finden, damit sie die Ursache eines Problems zuverlässig beheben können.
Weitere Informationen hierzu findet ihr auf der deutsche Splunk Observability Webpage.
Vereinfachen der Edge-Datenverarbeitung mit Edge Processor in der Splunk Cloud Platform
Damit ITOps-Experten ihr Unternehmen digital resilient machen können, bietet Splunk Edge Processor als dynamisches Angebot Kunden neue Einblicke und Kontrolle hinsichtlich des Volumens und Inhalts von Daten, bevor diese ihr Netzwerk verlassen. Splunk Edge Processor wird als Cloud-gesteuertes Produkt mit verfügbaren Leistungsmetriken bereitgestellt und ermöglicht Kunden der Splunk Cloud Platform mehr Transparenz bei in Bewegung befindlichen Daten, mehr Effizienz bei Datentransformationen und die Flexibilität kosteneffizienter Skalierungen.
- Echtzeitsichtbarkeit bei Streaming-Daten: Splunk Edge Processor unterhält eine Management- und Konfigurationskonsole in der Cloud. Hier werden Verarbeitungsregeln geschrieben, die an Edge Processor-Cluster verteilt werden, die die Verarbeitung innerhalb der Kundensysteme ausführen. Dies ermöglicht Kunden, Daten innerhalb von Minuten fließen zu lassen, und bietet ihnen mehr Transparenz bei allen ein- und ausgehenden Datenströmen, unterstützt durch Metriken und Telemetrie. Dies verbessert nicht nur die Benutzerfreundlichkeit, sondern ermöglicht dem IT-Team auch, schneller auf Probleme zu reagieren, was die digitale Resilienz stärkt.
- Verbessern der Effizienz eurer Datentransformation: Edge Processor nutzt SPL2, Splunks Datensuch- und -vorbereitungssprache der nächsten Generation, mit der Kunden ganz leicht umfangreiche Transformationen für einzelne Felder eines Ereignisses formulieren können, um Daten zu filtern, zu maskieren und weiterzuleiten. Die Kunden können so die Kosten und den Aufwand für die Datenübertragung und -speicherung kontrollieren, sicherstellen, dass sensible Daten die definierten Grenzen nicht verlassen, darauf vertrauen, dass alle erforderlichen Daten erfasst werden, und gewährleisten, dass die Daten im richtigen Format am richtigen Ziel ankommen.
- Erreichen der nötigen Flexibilität für kosteneffiziente Skalierungen: Edge Processor ist so konzipiert, dass die Verwaltung und Konfiguration über eine in die Splunk Cloud Platform integrierte Schnittstelle erfolgt, die eigentliche Datenverarbeitung aber auf vom Kunden verwalteten Knoten stattfindet. On-Premise beim Kunden bereitgestellte Edge Processor-Instanzen sind äußerst performant und können als Cluster mit mehreren Instanzen eingesetzt und als Gruppe verwaltet werden. Ein einziger Cluster kann so skaliert werden, dass er den Edge-Traffic eines ganzen Unternehmens unterstützt oder dedizierte Cluster in regionalen Rechenzentren oder Geschäftseinheiten bereitstellt, um die Datenhoheit zu gewährleisten.
Weitere Informationen findet ihr auf der deutschen Splunk Cloud Platform Webpage.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.