Mehr sehen, schneller handeln und Untersuchungen vereinfachen mit den anpassbaren Workflows von Splunk Enterprise Security 7.2

Unsere neuste Version von Splunk Enterprise Security 7.2 kann mit Funktionen aufwarten, die eine optimierte Workflow-Oberfläche für vereinfachte Untersuchungen, mehr Transparenz, weniger manuelle Arbeitsschritte und angepasste Untersuchungs-Workflows für schnellere Entscheidungsprozesse bieten. Die meisten dieser Updates und neuen Funktionen wurden direkt von Benutzern von Splunk Enterprise Security (ES) über das Portal Splunk Ideas angeregt. Liefert uns auch weiterhin eure großartigen Ideen und Vorschläge – wir haben ein offenes Ohr dafür!

Mit diesen neuen Funktionen von ES könnt ihr mehr sehen, schneller handeln und eure Untersuchungen vereinfachen. Näheres dazu erfahrt ihr hier.

Optimierte Workflow-Oberfläche für vereinfachte Untersuchungen

• Mehrere Drilldown-Suchen für Korrelationsregeln: Benutzer können jetzt mehrere Drilldown-Suchen für Korrelationsregeln erstellen, um ihre Untersuchungen zu einem relevanten Event schnell einzugrenzen. Abfragen müssen nicht mehr manuell erstellt werden, was zu Zeitersparnis und Effizienzsteigerung im SOC führt.
• Optimiertes Dashboard für die Risikoanalyse: Sicherheitsanalysten streben immer nach mehr Transparenz im Sicherheitsbereich, um die unternehmerischen Risiken besser zu erfassen. Mit dem optimierten Dashboard für die Risikoanalyse erhalten sie eine fundiertere, ganzheitliche Sichtebene, die alle Erkennungsereignisse umfasst. So lassen sich im SOC unternehmerische Risiken von Benutzern und Entitäten besser bewerten, und Analysten können Drilldowns nach bestimmten Benutzern und Entitäten durchführen, um weitere Kontextinformationen zu deren Risikobeiträgen zu erhalten. 
• Disposition in der Vorfallsüberprüfung: SOC-Teams haben oftmals Probleme mit der Priorisierung von Bedrohungen. Dispositionen in der Vorfallsüberprüfung unterstützen Analysten bei der Klassifizierung relevanter Events, indem sie zwischen False Positives, Benign Positives und True Positives unterscheiden. Auf der Grundlage dieser Informationen können Detection Engineers und Verantwortliche im SOC entscheiden, welche Erkennungen überprüft werden sollen und wann. Mit ES 7.2 können ES-Administratoren nun beim Schließen relevanter Events eine Disposition vorschreiben und damit eine Feedbackschleife schaffen, die für eine effiziente Überprüfung von Sicherheitserkennungen sorgt. Darüber hinaus haben Analysten jetzt die Möglichkeit, in der Vorfallsüberprüfung nach einem Dispositionswert zu filtern, um relevante Events basierend auf bestimmten Dispositionen zusammenzustellen, ohne in der Suchleiste der Vorfallsüberprüfung manuell nach Dispositionswerten zu suchen.
• Hyperlinks in der Korrelationssuche „Nächste Schritte“: Viele ES-Benutzer haben Runbooks für die Incident Response und zusätzliche Dokumentation für die Sichtung bestimmter Incidents. In einigen Fällen sind neue Analysten vielleicht nicht mit dem Prozess vertraut. Diese neue Funktion bietet ES-Administratoren die Möglichkeit, einen Link zu Ressourcen wie Wiki-Seiten, Runbooks, Splunk-Dashboards oder sogar Drittanbieter-Websites in den Response-Workflow eines Analysten einzubinden. Analysten können im Rahmen der „nächsten Schritte“ eines Events Details anzeigen. Dadurch wird der Untersuchungsprozess optimiert und beschleunigt.

Optimierte Transparenz und weniger manuelle Arbeitsschritte

Sicherheitsanalysten müssen ihre manuelle Arbeitsbelastung senken. Mit der neuen Funktion „Automatisch Aktualisieren“ in der Vorfallsüberprüfung lassen sich automatisch die aktuellsten Events für das SOC anzeigen. Administratoren können nun die Häufigkeit der automatischen Aktualisierung anpassen und steuern. Auf diese Weise sehen Analysten die neusten relevanten Events, können schnelle und effiziente Entscheidungen treffen und durch die Senkung der manuellen Arbeitsbelastung wertvolle Zeit sparen. 

Außerdem können Sicherheitsanalysten derzeit in Splunk Enterprise Security zwar relevante Events priorisieren, möchten sie oftmals jedoch nach Datum und Zeit visualisieren. Daher haben wir die Funktion „Zeitachse“ in der Vorfallsüberprüfung wieder eingeführt. Analysten können nun zusammenhängende Events in einem bestimmten Zeitrahmen anzeigen. Diese interaktive Zeitachse für relevante Events ist hilfreich, um im SOC rasch Einblick in anomale Aktivitäten wie eine ungewöhnlich hohe Anzahl relevanter Events zu einer bestimmten Zeit zu gewinnen und zeitkritische Incidents zu priorisieren. 

Schnellere Entscheidungsprozesse dank anpassbarer Untersuchungs-Workflows

In großen SOCs mit mehreren Teams gestaltet sich eine schnelle Entscheidungsfindung angesichts der Fülle von Sicherheits-Events oft schwierig. Mit ES 7.2 werden optionale Erweiterungen des Dashboards „Vorfallsüberprüfung“ eingeführt, dank derer die Oberfläche für die Untersuchung relevanter Events besser an die eigenen Bedürfnisse angepasst werden kann.  

Analysten können das Dashboard „Vorfallsüberprüfung“ jetzt mit Tabellenfiltern und Spalten anpassen und konfigurieren, um die Events anzeigen zu können, die für sie am wichtigsten sind.  Darüber hinaus haben sie nun die Möglichkeit, gespeicherte Ansichten ihres angepassten Dashboards „Vorfallsüberprüfung“ zu erstellen und diese mit anderen Enterprise Security-Analysten zu teilen. So können Analysten mit unterschiedlichen Use Cases ihre individuellen Ansichten relevanter Events mit anderen Beteiligten am Untersuchungsprozess austauschen und nahtlos zusammenarbeiten. Splunk ES-Administratoren haben außerdem Zugriff auf eine neue Ebene von Steuerelementen für die Analystenoberfläche der Vorfallsüberprüfung und können unter anderem Standardansichten für alle Benutzer konfigurieren.

Upgradet gleich heute!

Die Updates auf Splunk Enterprise Security 7.2 stehen sowohl für Cloud- als auch für On-Premise-Umgebungen zur Verfügung. Wie bereits erwähnt, sind die meisten Updates in dieser Version direkt auf Benutzeranforderungen zurückzuführen. Wir haben ein offenes Ohr für eure Anliegen! Ideen oder Vorschläge könnt ihr gerne über das Portal Splunk Ideas einreichen.

Seid ihr bereit, mit Enterprise Security 7.2 durchzustarten? Registriert euch für unseren Tech Talk!

Wenn ihr mehr über Splunk Enterprise Security 7.2 erfahren möchtet, seht euch die Release Notes und die Splunk Enterprise Security-Website an.

Viel Spaß beim Splunken!

^{*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.}