Nehmen wir ein Beispiel.
Ihr arbeitet als Security-Analysten in einem SOC. Eines eurer Tools macht euch auf ein potenzielles Problem aufmerksam. Und was passiert dann?
- Die Warnmeldung kommt in einen Topf mit 80 weiteren Alerts, von denen ihr bis zum Ende des Tages kaum die Hälfte abarbeiten könnt.
- Leider kann keines eurer Sicherheitstools diese Warnmeldungen so analysieren, dass es euch sagen könnte, welchen Alerts ihr Vorrang einräumen solltet.
- Ist die neue Warnmeldung schon mit Bedrohungsinformationen angereichert? Eher nicht. Das müsst ihr selbst von Hand erledigen.
- Gibt euch die Warnmeldung zum Event den weiteren Kontext? Schön wär’s!
- Trotzdem: Die Uhr tickt. Ihr beginnt also mit der Untersuchung und springt zwischen 20 oder mehr Sicherheitstools und Verwaltungskonsolen hin und her, um herauszufinden, was passiert ist und was als Erstes zu tun ist.
- Ihr ergreift Maßnahmen mit euren verschiedenen Tools, aber jede einzelne muss manuell ausgeführt werden.
- Und schließlich, nach etwa einer Dreiviertelstunde, habt ihr den Incident geklärt und könnt euch die nächste Warnmeldung in der Warteschlange vornehmen.
Ziehen wir eine vorläufige Bilanz dessen, was hier geschehen ist.
Ihr sei die üblichen TDIR-Schritte (Threat Detection, Investigation and Response) durchgegangen, aber es war ein dorniger Weg. Er hat viel Zeit, Mühe und Handarbeit gekostet.
Wie können wir das ändern? Wie können wir Erkennung, Untersuchung und Reaktion leisten, aber effizienter und schneller? Wir können wir die Fehlalarmquote von 30 % auf null senken? Wie können wir die Menge der Warnmeldungen um 80 % reduzieren? Wie können wir 45-Minuten-Prozesse in 45 Sekunden schaffen?
Erkennung und Untersuchung
Zuerst braucht ihr für Bedrohungserkennung und Datenanalyse eine erstklassige SIEM-Technologie. Splunk Enterprise Security ist die einzige SIEM-Technologie, die in allen drei großen SIEM-Reports (Gartner, Forrester und IDC) als Leader genannt wird. Und dann haben wir noch wie die Wahnsinnigen an weiteren Innovationen gearbeitet:
- Splunk Enterprise Security sorgt für mehr Transparenz, sodass ihr schnellere und bessere Entscheidungen treffen könnt. Zu den neuen Funktionen gehören die Visualisierung der Bedrohungstopologie, damit ihr die Reichweite eines Incidents schnell erkennen und angemessen reagieren könnt, und die Visualisierung von MITRE ATT&CK, was Sicherheitsworkflows mit eingebetteten Frameworks noch effizienter macht.
- Wir haben Updates für risikobasierte Warnmeldungen (Risk-based Alerting) herausgebracht und damit die Zuverlässigkeit und die Priorisierung der Warnmeldungen verbessert – ihr könnt das Alert-Volumen jetzt um 80 % reduzieren.
- Wir haben TruSTAR übernommen – es heißt jetzt Threat Intelligence Management – und in Splunk Enterprise Security integriert. Aktuelle Bedrohungsinformationen fließen also immer in eure Warnmeldungen ein, und ihr könnt bei der Untersuchung wertvolle Zeit sparen.
- Das Threat Research Team von Splunk liefert laufend neue Forschungsergebnisse sowie Erkennungen auf der Grundlage von maschinellem Lernen, damit euer Unternehmen immer auf dem aktuellen Stand ist und vor neuen Bedrohungen geschützt bleibt.
- Und das ist noch nicht alles. Wir arbeiten aktuell an einer Reihe an neuen und aufregenden Features basierend auf den Anfragen, die Kunden uns über unsere Splunk Ideas-Webseite haben zukommen lassen.
Ihr habt also eine Bedrohung entdeckt und die Untersuchung mit Splunk Enterprise Security begonnen. Jetzt geht es darum, den Angriff genau zu verstehen, damit ihr schnell und gezielt handeln könnt. Dazu haben wir neu den Splunk Attack Analyzer (ehemals TwinWave). Er leistet automatisierte Bedrohungsanalysen, ihr könnt damit sogar komplexe Angriffsverläufe enttarnen, mit denen Schadakteure sonst der Erkennung entgehen. Der Splunk Attack Analyzer macht den Prozess der Analyse von Malware- und Phishing-Angriffen deutlich effizienter, denn er gibt SOC-Analysten einen umfassenden forensischen Einblick in die Bedrohungen und die von den Bedrohungsakteuren verwendeten Techniken. Splunk Attack Analyzer leistet:
- Effizientere Erkennungen – durch mehrere Schichten von Erkennungstechniken, die sowohl Malware als auch Credential Phishing abdecken, außerdem Zugang zu einer integrierten Sandbox.
- Detaillierte Bedrohungsforensik – mit den technischen Einzelheiten der Angriffe inklusive eines Schnappschuss-Archivs der Bedrohungsartefakte ab dem Zeitpunkt der Meldung.
- Direkte Integration mit Splunk SOAR – zur vollständigen Automatisierung kompletter End-to-End-Workflows für Analyse und Reaktion.
Im Gegensatz zur herkömmlichen Sandbox-Technologie verwendet Attack Analyzer einen neuartigen Ansatz, um eine branchendefinierende Technologie für die automatisierte Bedrohungsanalyse bereitzustellen. Es navigiert automatisch durch verschiedene Liefervektoren einer Angriffskette, wie etwa den Zugriff auf schädliche Inhalte, das Herunterladen von Dateien oder sogar die Eingabe von Passwörtern für Archive, alles zur Unterstützung der endgültigen Nutzlast, die dann analysiert werden kann.
Einen genaueren Einblick in Splunk Attack Analyzer bekommt ihr hier im Splunk-Blog bzw. auf der Website von Splunk Attack Analyzer.
Reaktion
Nun ist es an der Zeit, zu Tat zu schreiten und zu reagieren. Wollt ihr das komplett von Hand erledigen? Natürlich nicht. In cleveren Unternehmen verwendet ihr dazu Splunk SOAR, unsere Orchestrierungs- und Automatisierungstechnologie, mit der ihr die einzelnen Untersuchungs- und Reaktionsmaßnahmen im Rahmen der Security-Workflows automatisch ausführt. Wie ein Dirigent mit dem Taktstock sein Orchester leitet, so gibt Splunk SOAR mit Automatisierungsplaybooks euren Tools den Einsatz, sodass sie sofort in Aktion treten, und zwar in zuvor festgelegten Abläufen. Prozesse, für die ihr zuvor 45 Minuten gebraucht habt, dauern dann nur noch 45 Sekunden. Zu den jüngsten Neuerungen bei Splunk SOAR zählen diese:
- Neue vorgefertigte Playbook-Pakete, die euch bei der Lösung gängiger Security Use Cases helfen, z. B. bei der Abwehr von Phishing-Versuchen per Identifier-Reputationsanalyse oder beim Threat Hunting per Abfrage bei einer Reihe von Sicherheitstechnologien auf Artefakte aus euren Datenquellen.
- Über 400 Technologie-Integrationen – Tendenz steigend. 400+ technology integrations with Splunk SOAR, and counting!
- Außerdem haben wir SOAR-Kernkomponenten, etwa Playbook-Läufe und Playbook-Ergebnisse, in unsere einheitliche Security-Operations-Schnittstelle Splunk Mission Control integriert.
Alles einheitlich und griffbereit
Mit Splunk könnt ihr bereits in Rekordgeschwindigkeit Bedrohungen erkennen, untersuchen und darauf reagieren. Und jetzt könnt ihr all diese Workflows eurer Security Operations zusammenführen und auf einer gemeinsamen Oberfläche arbeiten. Im März 2023 hat Splunk das neue und verbesserte Splunk Mission Control für einheitliche Security Operations angekündigt. Jetzt müssen Sicherheitsanalysten nicht länger zwischen 20 oder mehr Security Tools hin- und herwechseln. Splunk Mission Control ist eine Cloud-basierte Verwaltungskonsole, die SIEM, SOAR, Bedrohungsinformationen, Analysen und weitere Sicherheitstools von Drittanbietern auf einer einheitlichen Arbeitsoberfläche zusammenführt. Das schafft schlanke Workflows und steigert die SOC-Effizienz. Mit Splunk Mission Control bekommt ihr:
- Einheitliche Erkennungs-, Untersuchungs- und Reaktionsfunktionen, sodass ihr Risiken klar erkennen und eure Fälle schneller abschließen könnt.
- Einfachere Security-Workflows, weil die Prozesse als Code in Reaktionsvorlagen festgehalten sind und so wiederholbare, automatisierte Untersuchungen und Reaktionen ermöglichen.
- Zeitgemäß und schlagkräftig aufgestellte Teams, die mit Geschwindigkeit und Effizienz automatisierter Sicherheit arbeiten.
Wer kommt zur .conf23? Nutzt die Gelegenheit!
Falls ihr diese Woche zur .conf23 in Las Vegas anreist, solltet ihr euch unsere Breakout Sessions und praktischen Workshops ansehen, die wir zu allen unseren Sicherheitstechnologien vorbereitet haben. Meldet euch einfach bei der .conf23-App oder auf der .conf23-Website an und sucht nach einer der oben genannten Technologien, dann erfahrt ihr aus erster Hand, wie ihr mit unseren aktuellen Innovationen eure akuten Sicherheitsprobleme lösen könnt. Es ist für alle etwas dabei. Hier ein Auszug mit einigen Top-Terminen:
- SEC1413A - A Comprehensive Guide to Splunk Security: What's New and What's Next?
- SEC1310A - A Beginner’s Guide to Splunk® Mission Control: Houston, We Don’t Have a Problem
- SEC1312A - Reach Liftoff With Splunk® Mission Control - A Hands-on Workshop
- SEC1412A - Introduction to Splunk® Attack Analyzer
- SEC1979B - Get Hands-on With Splunk® Enterprise Security
- SEC1349B - Automation Games - A Hands-on Workshop with Splunk SOAR
- SEC1691B - Unleashing the Power of UBA: What's New and What's Next
Wir freuen uns darauf euch auf der .conf23 zu sehen!
Folgt den #splunkconf23-Konversationen!
