Das Splunk Security-Team freut sich, euch einige der neuen bzw. verbesserten Funktionen von Splunk Phantom– der SOAR-Technologie (Security Orchestration, Automation and Response) von Splunk – vorstellen zu können. Das neueste Update von Phantom (Version 4.10) macht die Implementierung, den Betrieb und die Skalierung der Automatisierung für euer Security-Team so einfach wie nie zuvor. Mit Hilfe der Automatisierung könnt ihr die ständig wachsende Menge an Sicherheits-Events, mit denen euer SOC täglich beschäftigt ist, effizienter bearbeiten, die MTTD (Mean-Time-to-Detect) und die MTTR (Mean-Time-to-Respond) reduzieren und eure Sicherheitsprozesse optimieren.
Sehen wir uns einige der jüngsten Neuerungen an:
- Benutzerdefinierte Funktionen: Die benutzerdefinierten Funktionen von Phantom machen die Erstellung und Ausführung von Playbooks schneller und einfacher. Nutzt unsere Bibliothek mit sofort verfügbaren, benutzerdefinierten Funktionen für eine schnelle Bereitstellung oder verwendet die Funktionen ganz einfach in mehreren Playbooks wieder, um damit die Entwicklungszeit für Playbooks zu minimieren und weitere Sicherheitsprozesse zu automatisieren. Weitere Informationen dazu bietet euch unser On-Demand-Webinar „Splunk Phantom: Put the Fun in Custom Functions“.
- Modulare Workbook-Entwicklung: Mit den modularen Workbooks von Phantom könnt ihr den Workflow eurer Sicherheitsprozesse mühelos anpassen. Statt umfassender End-to-End-Workbooks, die jede einzelne Aufgabe strikt definieren, könnt ihr mit modularen Workbooks Aufgabenmodule erstellen und diese unterschiedlich kombinieren, um euren Untersuchungsprozess zu ergänzen. Dies ermöglicht nicht nur eine dynamischere Laufzeitzuweisung, sondern führt auch dazu, dass Workbooks besser an verschiedene Use Case angepasst bzw. dafür skaliert werden können. Unser On-Demand-Webinar „Adaptable Incident Response with Splunk Phantom Modular Workbooks“ bietet euch interessante Informationen zu diesem Thema.
- Python 3: Phantom ist bei benutzerdefinierten Funktionen und Playbooks jetzt Python 3-fähig. Mit der Einführung von Phantom 4.10 habt ihr Zugriff auf Konvertierungsskripte, mit denen ihr bestehende Python 2-Inhalte ganz leicht konvertieren könnt. Detaillierte Anleitungen dazu findet ihr hier in unserer Dokumentation.
- Nicht nur für US-Kunden – 508 Compliance: Wir freuen uns, bekanntgeben zu können, dass Phantom jetzt die Anforderungen gemäß Abschnitt 508 des Rehabilitation Acts erfüllt, wodurch sichergestellt wird, dass die Phantom-Plattform zugänglicher für Menschen mit Behinderungen ist. Wir haben die Tastaturnavigation, kontrastreiche Schaltflächen und Links sowie zusätzliche Unterstützung für Screenreader-Technologie implementiert. Wir hoffen, dass die Phantom User Experience durch diese Änderungen noch einfacher, effizienter und inklusiver wird.
- Markdown-Unterstützung für Eingabeaufforderungen: Version 4.9 bot bereits Markdown-Unterstützung für eine Vielzahl verschiedener Bereiche und in Version 4.10 erweitern wir Markdown-Funktionen auf Playbook-Eingabeaufforderungen. Ihr könnt ganz leicht formatierten Text, URLs, Bilder und mehr einbinden, wenn ihr Informationen von Benutzern anfordert oder Antworten gebt.
- Datenaufbewahrung: Vor Version 4.10 mussten für die Datenaufbewahrung mehrere Skripte und Cron-Jobs verwaltet werden, um alte Daten entsprechend auszusortieren. Wir haben ein zentrales Verwaltungsskript für die Umsetzung von Datenaufbewahrungsstrategien für Container, Indikatoren, Audit-Daten, Geräteprofile, Benachrichtigungen und Playbook-Ausführungslogs erstellt. Ihr könnt das maximale Datenalter jetzt für jeden Datentyp mit einem einzigen CLI-Befehl definieren. Mit der verbesserten Datenaufbewahrungsfunktion von Phantom ist die Verwaltung des Speicherplatzes deutlich einfacher geworden.
Die Sicherheitsautomatisierung ist jetzt einfacher denn je – in diesem Webinar könnt ihr all eure Möglichkeiten live erleben.
Wenn ihr mehr über Splunk Phantom erfahren möchtet, seht euch eine Demo an oder registriert euch für die kostenlose Community-Edition von Splunk Phantom, um gleich heute noch mit der Automatisierung zu beginnen.
Ihr verwendet Phantom bereits? Dann seht auch die Release Notes zu Version 4.10 an oder ladet Phantom 4.10 herunter, um von den aktuellen Neuerungen zu profitieren.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier: Automation Made Easy: What’s New with Splunk Phantom.
----------------------------------------------------
Thanks!
Splunk