Bald
ist es wieder soweit ... die jährliche .conf steht an!
Die .conf21 könnte die beste aller Zeiten werden und wir haben eine Reihe hervorragender Sessions zum Thema IT-Sicherheit in mehreren Kategorien zusammengestellt. Seid am 19. und 20. Oktober virtuell dabei! Unsere Sprecher (Splunk-Kunden und Technologieexperten) freuen sich schon darauf, ihre Erfahrungen mit der Splunk-Technologie zur Lösung ihrer dringlichsten Cybersecurity-Herausforderungen zu teilen. Und unsere Partner stehen ebenfalls in den Startlöchern, um euch zu zeigen, wie die Integration ihrer Technologie in Splunk euer SOC grundlegend verändern kann. Auch die Mitglieder des Splunk Security-Teams können es kaum erwarten, euch die neuesten Technologie-Innovationen in den Bereichen Security Foundations, Security Analytics, Threat Intelligence und Security Automation vorzustellen. Vor allem aber wird das alles eine Menge Spaß bringen!
Nachfolgend einige unserer Favoriten unter den Sessions zum Thema Cybersecurity, die in den unterschiedlichen Kategorien für die .conf21 geplant sind.
Boss of the SOC (BOTS)
Ihr kennt und liebt es – BOTS ist auch bei der .conf21 wieder vertreten. Lasst es euch nicht entgehen! Hier könnt ihr mehr erfahren und euch anmelden.
Security Foundations
SEC1108C – Enabling DevSecOps and Securing the Software Factory With Splunk Exploits in der Software-Lieferkette haben im letzten Jahr für Schlagzeilen gesorgt und technologiegestützten Unternehmen bewusst gemacht, welchen Einfluss ihre Software-Lieferkette auf die Angriffsfläche und generell auf die geschäftliche Rentabilität hat. In dieser Session wird zunächst der Einsatz von Splunk für Use Cases im DevSecOps-Bereich erörtert, anschließend werfen wir einen Blick auf Möglichkeiten, Bedrohungen für die Lieferkette der Softwareentwicklung mit Splunk zu erkennen. Nach der Session bekommen die Teilnehmer über BOSSng, Splunks neue On-Demand-Plattform für Security-Workshops, Zugriff auf die verwendeten Daten und Analysen.
SEC1745C – Hunting the Known Unknown: Supply Chain Attacks In der diesjährigen „Jagd“-Session wird der Umgang mit Angriffen auf die Lieferkette dargelegt, die sich offenbar weltweit zu einer Plage entwickelt haben. Dieser Vortrag hilft euch, die Bedrohungen für euer Netzwerk besser einzuschätzen (welche Bedrohungen sind das überhaupt?), eure Lieferketten zu identifizieren und Angriffe auf euer Netzwerk mithilfe von Splunk zu erkennen. Anhand von Case Studys aus den Schlagzeilen wird in dieser Session erörtert, welche Logs erfasst werden sollten und welche Erkennungsmethoden es gibt. Zu guter Letzt geben wir den Teilnehmern noch unsere Tools und Suchtechniken mit auf den Weg, damit sie diese Methoden direkt in ihrem Netzwerk implementieren können.
Security Analytics
SEC1271A – What's New in Splunk Enterprise Security? In dieser Session erfahrt ihr alles über die jüngsten Innovationen im Bereich Security Analytics, die die neueste Version von Splunk Enterprise Security bietet. Wir befassen uns eingehend mit den neuen Funktionen und optimierten Oberflächen, die die Workflows von Analysten straffen, mehr Transparenz für Führungskräfte bieten und auf risikobasierten Benachrichtigungen (Risk-Based Alerting) aufbauen. Erforscht gemeinsam mit uns die neueste Version von Enterprise Security und erfahrt von den Verantwortlichen von ES Product Management, welche Neuerungen als nächstes für dieses Produkt anstehen.
SEC1332C – Splunk Enterprise Security Biology V: A Fresh Look at the Threat Intel Framework In dieser Session geht es darum, wie Indikatoren integriert werden können und was unter der Oberfläche von Splunk Enterprise Security (ES) geschieht, um sie für die Nutzung und Korrelation vorzubereiten. Anhand von Beispielen unserer Partner wird veranschaulicht, wie Indikatoren vom Framework genutzt werden können. Dabei wird auf unterschiedliche Ansätze und deren Vor- und Nachteile eingegangen. Da das Framework der Operationalisierung von Bedrohungsinformationen innerhalb von ES dient, gibt es zum Ausklang der Session noch Tipps und Techniken zur schnellen Aufnahme von Indikatoren, die die Teilnehmer direkt in ES anwenden können.
Security Orchestration, Automation and Response (SOAR)
SEC1528C – Tackling Account Management Within the Cloud (AWS, Azure and GCP) With Splunk SOAR Philip Royer, einer der führenden Splunk SOAR Engineers, geht mit euch Schritt für Schritt drei einfache automatisierte Playbooks durch, mit denen ihr den Missbrauch von Kontenberechtigungen, die Erstellung neuer Konten sowie jegliches abnormes Verhalten im Zusammenhang mit Konten überwachen könnt. Mithilfe dieser Playbooks erstellt ihr eine Verteidigungslinie für euer Unternehmen, indem ihr Angreifer davon abhaltet, eure Systeme innerhalb der Cloud zu infiltrieren. Optimiert eure Sicherheitsabläufe, indem ihr diese Aufgaben nicht mehr manuell, sondern mit automatisierten Playbooks ausführt.
SEC1209A – Automated Vulnerability Detection and Verification with Ernst and Young & Splunk Der gesamte Zyklus des Schwachstellenmanagements kann wirklich mühselig sein, und von den Sicherheitsteams wird eine effektive Kommunikation erwartet, um zu verhindern, dass Angreifer bekannte Schwachstellen ausnutzen. Alle Bereiche des Schwachstellenmanagements können automatisiert werden, damit die Sicherheitsteams sich weniger überfordert fühlen und die Situation besser kontrollieren können. Experten aus dem SOC von Splunk sowie Spezialisten für Cybersicherheit von Ernst & Young werden zeigen, wie sie Schwachstellen mit Splunk SOAR bewerten und diese mit wenig bis gar keinem menschlichen Eingreifen patchen.
Threat Intelligence
SEC1546A – Reduce Noise From Intel Sources With TruSTAR + ES In Branchenberichten über Sicherheitsabläufe werden hohe False-Positive-Raten und störendes Rauschen in den Feeds mit Bedrohungsinformationen als eine der Hauptursachen dafür ausgemacht, dass die Produktivität von Sicherheitsanalysten eingeschränkt ist. In dieser Session gehen wir darauf ein, wie ihr Splunk TruSTAR und Splunk ES nutzen könnt, um das Rauschen eurer Intel-Quellen zu verringern und letztlich die Prozesse zur Priorisierung von Benachrichtigungen zu optimieren – und zwar mithilfe von internen und externen Informationsquellen, ohne dabei in mehreren Tools arbeiten zu müssen.
SEC1702C – Improve Intelligence Sharing Efficiency and Governance Using TruSTAR Enclaves Angenommen, ihr hättet die Flexibilität, Indikatoren und Bedrohungsinformationen von euren ISACs oder vertrauenswürdigen Partnern rasch auszutauschen und zu nutzen, ohne erst lange E-Mails durchkämmen oder zusätzliche Skripte schreiben zu müssen, um diesen Austausch zu automatisieren. Hier erfahrt ihr, wie Splunk TruSTAR Enclaves diesen einfachen Austausch von Bedrohungsinformationen mit unterschiedlichen Teams, Tools und Partnern wie ISACs, ISAOs und vertrauenswürdigen Gruppen ermöglicht. Die Informationen können bei Weitergabe an Dritte auch anonymisiert werden, um Data Governance-Standards zu erfüllen.
Security Portfolio
SEC1166C – Modernizing Security Operations With Splunk Security Maturity Methodology Wir räumen mit den Mythen auf und erklären, was wirklich notwendig ist, um ein ausgereiftes, effektives Security Operations Center auf die Beine zu stellen. In dieser Session erfahrt ihr, wie ihr mit Splunk als Security Operations-Plattform und einer Kombination aus Manpower, Prozessen und Technologie für eine steigende Reifekurve im Sicherheitsbereich sorgen könnt. Hier wird im Detail erörtert, wie die Splunk Security Maturity-Methodik (S2M2) euer Unternehmen bei seiner Sicherheitsentwicklung unterstützt und euch hilft, eure Investition in Splunk zu operationalisieren.
SEC1396C – Level Up! How To Go From a Beginner to a Champion in Splunk Security Hattet ihr schon einmal das Gefühl, eine Spielfigur im ersten Level zu sein, die ganz am Anfang ihres Weges zur Sicherheit mit Splunk steht? Ihr müsst herausfinden, wie man einen Drachen ... äh Angreifer besiegt, wisst aber nicht, wo ihr anfangen sollt? Nehmt an dieser Session teil, um zu erfahren, wie ihr euch von einem Splunk-Anfänger zu einem mächtigen Threat Hunter (oder zumindest zu einem Schurken im mittleren Level) entwickeln könnt. Wir führen euch Schritt für Schritt durch die Cheat Codes von Splunk und Enterprise Security und zeigen euch anhand eines klaren Strategieplans, wie ihr dabei auch noch XP sammeln und schließlich zu einem echten Dovahkiin der Sicherheit mit den passenden Skills und der vollständigen Rüstung werden könnt!
Customer Spotlight
SEC1361B – Learn by Doing: Cal Poly Students Enable Security Operations Center Through Splunk Die California Polytechnic State University nutzt Splunk Enterprise Security und Splunk SOAR. Mit unserer "Learn by Doing"-Philosophie versetzen wir unserer studentischen Mitarbeiter in die Lage, unsere SIEM- und SOAR-Toolsets zu entwickeln. Durch die Arbeit der Studierenden gelingt es uns, das Sicherheitsniveau unseres Campus' mit seinen 24.000 Nutzern zu verbessern. Wir haben ein Schulungsprogramm entwickelt, in dem Splunk-Ressourcen mit intern entwickelten Materialien, Ausbildung am Arbeitsplatz und Mentoring kombiniert werden. Die Studierenden erstellen SOC-Dashboards, Abfragen, Benachrichtigungen und Berichte. Nehmt an dieser Session teil, um etwas über die Tools und Tricks zu erfahren, die diese Studierenden entwickelt haben.
SEC1466A – A Deep-Dive Into How Zoom Is Building Its World-Class Detection Pipeline in Response to the Zoom-Boom! Zoom ist aufgrund der zunehmenden Beliebtheit von Homeoffice und Lernen zu Hause in aller Munde. Mit großer Beliebtheit geht aber auch eine große Verantwortung einher! Wir bei Zoom haben das begriffen und sind dabei, eine erstklassige Erkennungspipeline aufzubauen. In dieser Session erklären wir, wie wir die Datenerfassung in einem Data Lake zentralisieren, den Data Lake in Splunk integrieren und risikobasierte Benachrichtigungen, ML und KI nutzen, um Anomalien und Eindringlinge zu erkennen. Außerdem zeigen wir, wie wir die Orchestrierung von Reaktionen automatisieren, menschliches Eingreifen sowie die Antwortzeit auf Sicherheitsbenachrichtigungen auf ein Minimum reduzieren und die gesamte Pipeline automatisieren, um mit der zunehmenden Beliebtheit von Zoom Schritt zu halten.
Splunk Partner
SEC1727A – Splunk Security Analytics for AWS: A Force Multiplier for Lean Security Teams Splunk Security Analytics for AWS ist ein neues Angebot, das kleineren Sicherheitsteams die Erkennung und Untersuchung erleichtern soll. Die Lösung nutzt out-of-the-box AWS-Integrationen, um schlanke Sicherheits- und IT-Teams in die Lage zu versetzen, Sicherheits-Incidents in ihrem AWS-Footprint rasch zu erkennen, zu sichten und darauf zu reagieren. AWS-Kunden können sicherheitsrelevante AWS-Daten wie automatisierte Risikoindikatoren aus AWS Security Hub, Logs aus AWS Cloud Trail und Benachrichtigungen von Amazon GuardDuty schnell in Splunk erfassen und in der gesamten Cloud korrelieren. Hier erfahrt ihr, wie Splunk Security Analytics for AWS unmittelbar Transparenz und besseren Schutz schafft.
SEC1508A – Calling Security Mavericks: Fulfill Your SOC Need For Speed With Google Cloud & Splunk In dieser Session zeigen wir euch, wie ihr die Prävention und Erkennung von Bedrohungen und die Reaktion darauf mithilfe von zuverlässigen Google Cloud-Logs und automatisierten Sicherheitsergebnissen aus dem Google Cloud Security Command Center (SCC), auf die Cloud zugeschnittenen Erkennungen aus Splunk Enterprise Security (ES) und automatisierten Reaktionen mit Splunk SOAR verbessern könnt. Außerdem gehen wir im Detail darauf ein, wie GCP-Sicherheitsdaten in bestehenden CIM (Common Information Model)-Modellen abgebildet werden können, um out-of-the-box Inhalte zu nutzen, die in ES, den Inhaltsupdates von ES und der Splunk Security Essentials-App zur Verfügung stehen. Schließlich zeigen wir euch noch, wie ihr diese Bedrohungsinhalte anhand des offenen MITRE ATT&CK-Framework abbilden könnt.
Ein ganz besonderer interaktiver Donnerstag in Las Vegas
Für alle, die persönlich an der .conf21 in Las Vegas teilnehmen, haben wir am Donnerstag, 21. Oktober, eine ganz besondere Reihe praxisbezogener, interaktiver Sessions geplant, die ihr euch nicht entgehen lassen solltet.
SEC1669 – Pull Up Your SOCs | v. 3.0 Bei der dritten Ausgabe der beliebten .conf-Session „Pull Up Your SOCs“ helfen wir Splunk-Kunden beim Entwickeln eines ausgewogenen Sicherheitsprogramms. Sicherheitsprozesse durchlaufen gerade einen Wandel, der durch COVID noch beschleunigt wurde und sich darauf auswirkt, wie unsere Kunden das Thema Sicherheit im Unternehmen angehen. Dabei wandeln sich nicht nur die SOC-Kultur und Organisationsstruktur, sondern auch auch Tools, Rollen und Zuständigkeiten. Hier informieren wir euch über diese Entwicklung und darüber, wie ihr selbst den Wandel herbeiführen könnt.
SEC1759 – Splunking the Endpoint VI: Featuring Dtex and Zscaler! Nach einem Jahr Pause, in dem wir dafür gesorgt haben, dass all unsere Endpunkte anderthalb Meter Abstand zueinander haben und Masken tragen, geht Splunking the Endpoint wieder an den Start – eine Institution bei der .conf. Aber was können wir überhaupt noch über die Nutzung von Endpunktdaten in Splunk lernen? Eine ganze Menge! Diesmal konzentrieren wir uns auf Daten von zwei Partnern, nämlich Zscaler und DTEX und natürlich habt ihr auch wieder Gelegenheit, praktische Erfahrungen mit den Endpunktdaten aus unserem berühmten Boss of the SOC-Wettkampf zu sammeln. Wir werden im Detail erörtern, wie ihr diese Daten in Splunk aufnehmen und für Use Cases in den Bereichen Erkennung und Threat Hunting verwenden könnt. Ihr werdet mit neuem Elan und einem umfassenden Konfigurationspaket nach Hause zurückkehren, das ihr gleich einsetzen könnt.
SEC1337 – alt Breakout: Unconferencing Security Als wir vor zwei Jahren unsere Reihe „Dear Buttercup: Die Sicherheitsbriefe“ ins Leben gerufen haben, ging es uns darum, den Benutzern Ratschläge zum effektiveren Einsatz von Enterprise Security zu geben. Diese Session ist eine Live-Version des Blogs, in der wir eine Reihe von Problemstellungen rund um Enterprise Security zusammengestellt haben und Schritt für Schritt erläutern, wie ES eingerichtet werden muss, um sie zu lösen. Beispielsweise können Fragestellungen wie diese behandelt werden: „Wie füge ich ein neues Feld zu meinem Asset-Framework hinzu?“, „Wie kann ich den ursprünglichen Sourcetype eines Events zu meinem relevanten Event hinzufügen?“ oder „Wie kann ich Ausgaben von ATT&CK-Techniken in meinem relevanten Event bekommen?“ Nehmt teil und sichert euch mehr Tipps zur optimalen Nutzung von ES!
SEC1815 – SOAR Workshop: The Automation Games Wahrscheinlich seid ihr dieser traurigen Realität langsam überdrüssig: Sicherheitsprozesse sind überfrachtet mit monotonen Routineaufgaben, insbesondere auf der Ebene der Tier-1-Analysten. Analysten ertrinken förmlich in einer Flut von Sicherheitswarnungen. Außerdem herrscht ein gravierender Mangel an Fachkräften für Cybersicherheit. Euer Sicherheitsteam braucht einen neuen Ansatz für die Lösung all dieser Probleme – also intelligenter arbeiten, nicht härter! In diesem Workshop lernt ihr die Grundlagen der Automatisierung und Orchestrierung, damit ihr das Rüstzeug für die Erstellung einfacher Playbooks für die Automatisierung monotoner Routineaufgaben habt. Auch der Spaß kommt nicht zu kurz bei einem interaktiven Spiel, bei dem die gerade erlernten Konzepte getestet werden. Worauf wartet ihr noch? Anschnallen und durchstarten mit SOAR!
Wir können es nicht erwarten, euch im Oktober auf der .conf21 virtuell zu begrüßen.
Allen Unterhaltungen auf der #splunkconf21 folgen!
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier: Security at .conf21 Virtual: Analytics-Fueled, Automation-Driven and Cloud-Delivered.
