Ade Oktober. Hallo Juni! Die .conf22 findet früher statt als sonst und wird die beste .conf aller Zeiten. Ich weiß, das sagen wir jedes Jahr. Aber nach zwei Jahren Pause sind wir endlich zurück in Las Vegas – live und in Farbe. Für diejenigen, die nicht persönlich teilnehmen können, bieten wir auch ein virtuelles .conf-Format an – und damit das Beste aus beiden Welten. Ihr könnt vom 13. bis 16. Juni in Las Vegas dabei sein oder vom 14. bis 15. Juni virtuell.
Für die diesjährige .conf haben wir eine spannende Palette von Sessions zum Thema Cyber Security in mehreren Kategorien zusammengestellt. Splunk-Sicherheitsexperten, Kunden und Technologiepartner freuen sich schon darauf, neue Innovationen bei Sicherheitstechnologien in Bereichen wie u. a. Security Analytics, Sicherheitsautomatisierung, Threat Intelligence, Bedrohungserkennung und Reaktion sowie Fraud Prevention vorzustellen. In unseren Sessions erfahrt ihr beispielsweise, wie ihr mit Angriffen auf die Lieferkette und Insider-Bedrohungen umgeht oder OT-Sicherheit und Zero Trust umsetzt – und die Liste ist noch länger.
Insgesamt werden mehr als 50 Security-Sessions zur Auswahl stehen. Nachfolgend einige unserer Favoriten.
Boss of the SOC (BOTS)
Es geht weiter mit BOTS, live bei der .conf22! Unseren Wettbewerb im Capture-the-Flag-Stil solltet ihr euch nicht entgehen lassen. Bei BOTS nutzen die Teilnehmer Splunk-Technologie, um eine Reihe von Fragen zu realen Szenarien zu beantworten, mit denen Sicherheitsanalysten tagtäglich konfrontiert sind. Registriert euch jetzt, bildet euer Team und seid am Montag, 13. Juni um 18:00 Uhr Pacific Daylight Time (PDT) in Las Vegas dabei. Jetzt registrieren!
Security Foundations
SEC1481C - Detecting Server Side Request Forgeries in AWS With Splunk® Enterprise, ES and Stream
2019 führte ein Angriff auf ein bekanntes Finanzinstitut zum Verlust personenbezogener Daten von mehr als 100 Millionen Kunden. Die Angreifer hatten über eine Server-Side-Request-Forgery (SSRF) Zugriff bekommen. Wir geben einen Überblick über SSRF-Grundlagen, AWS und die Splunk-Integration und erläutern, wie Stream, Splunk® Enterprise Security und Splunk® Enterprise genutzt werden können, um Anzeichen für einen solchen Angriff direkt zu erkennen.
SEC1459A - Splunk® Security Essentials - Gain Situational Awareness by Managing All Your Security Content
Unternehmen haben heutzutage meistens mehrere verteilte Sicherheitstools für die Erkennung in unterschiedlichen Technologie-Stacks und die Umsetzung einer Defense-in-Depth-Strategie im Einsatz. Diese Methode hat jedoch den Nachteil, dass es schwierig ist, sich rechtzeitig ein genaues Bild von der Gesamtsituation der Gefahrenabwehr dieser verteilten Tools zu machen. Diese Session richtet sich an Inhaltsersteller, SOC-Manager und CISOs, die erfahren möchten, wie sie mit Splunk® Security Essentials all ihre Sicherheitsinhalte verwalten und die Situation damit besser einschätzen können.
Security Analytics
SEC1258C - Log4j Matchmaking: An Introduction To Generating Adversarial Logs
Habt ihr euch noch immer nicht vom Log4j-Frust erholt? Keine Angst, wir wollen hier nicht noch einmal den ruinierten Urlaub oder die schlaflosen Nächte durchkauen, sondern zwei separate Open-Source-Tools erkunden, die uns in der nächsten Urlaubssaison vielleicht zu mehr Schlaf verhelfen können. Beide Tools, Splunk Attack Range und Synthetic Adversarial Log Objects (SALO), wurden von Splunk-Bedrohungsforschern entwickelt. Wir werden euch zeigen, wir ihr mit diesen Tools automatisch Infrastruktur zum Testen und Generieren von feindseligen Logs erstellen könnt, die unser fiktives Netzwerk mit einer Log4j-Schwachstelle ins Visier genommen haben. Die Informationen, die wir sammeln, werden wir nutzen, um mit SALO synthetische Logs zu generieren, die dieses Angriffsverhalten nachahmen, ohne dass wir eine Infrastruktur aufbauen oder Exploits ausführen müssen.
SEC1189C - Home on the Range: Detection Engineering With Splunk Attack Range
Das Entwickeln, Testen und Optimieren von Sicherheitsbedrohungserkennungen scheint die meisten Menschen vor eine große Herausforderung zu stellen. Wo fängt man an, wie erreicht man Konsistenz und Reproduzierbarkeit und wie könnte eine solche Herkulesaufgabe jemals Spaß machen? Mit Splunk Attack Range ist das Schwierigste bereits erledigt. Jetzt könnt ihr euch darauf konzentrieren, Angriffe mit Atomic Red Team im Detail zu simulieren und eure Sicherheitsbedrohungserkennungen mit Splunk® Enterprise Security zu entwickeln und zu testen – konsistent, flexibel und reproduzierbar. Außerdem könnt ihr mit Splunk Attack Range lernen, wie Risk-Based Alerting (RBA) funktioniert und wie es zur Optimierung der Bedrohungserkennung eingesetzt werden kann.
Security Orchestration, Automation and Response (SOAR)
SEC1304C - A Beginner’s Guide to SOAR: Automate 5 Basic Security Processes in Under 30 Minutes
Seien wir ehrlich: Routinemäßige Sicherheitsprozesse tagtäglich manuell auszuführen ist langweilig, führt zu Erschöpfungserscheinungen und erhöht die Burnout-Gefahr für euch und euer Team. Das Anreichern von URLs, IP-Reputationsprüfungen, das Blockieren von Domänen und Datei-Hashes – all diese wichtigen, grundlegenden Aufgaben können jetzt an Maschinen abgegeben und automatisiert werden. Hier erfahrt ihr, wie ihr ganz einfach fünf Splunk® SOAR-Playbooks erstellen und automatisch auf die gängigsten aktuellen Sicherheitswarnungen reagieren könnt. Macht euch bereit zum Durchstarten mit SOAR!
SEC1676B - Splunk® SOAR + SIEM - An Automation Powerhouse for Cyber Incident Response
Die Angriffe werden immer komplexer, und Zeit ist in großen Unternehmen, in denen Sicherheitskontrollen Tausende von Warnmeldungen generieren, ein Schlüsselfaktor beim Incident-Management. Die Verantwortlichen stehen vor der Herausforderung, dass die Erkennung in weniger als einer Minute und die Eindämmung innerhalb von 60 Minuten erfolgen muss. Allein mit SEAM ist dies nahezu unmöglich. Hier wird mithilfe einer Kombination von Splunk® SOAR und SIEM ein Framework erstellt. Leistungsstarke Response-Funktionen beschleunigen und optimieren die Reaktion auf Sicherheits-Incidents. Mit diesem Ansatz konnte mithilfe von Automatisierung die Bedrohungserkennung um 87 %, die Antwortzeit um 94 % und die Behebungszeit um 70 % verkürzt werden. Bei dieser Session erfahrt ihr, wie wir das geschafft haben und wie ihr Automatisierung in eurem Unternehmen nutzen könnt.
Security Intelligence
SEC1647C - Fusing Intelligence Into Splunk® SOAR
In dieser Session lernt ihr, wie Splunk® Intelligence Management Bedrohungsinformationen aus über 70 Quellen erfasst, normalisiert und priorisiert, um Splunk® SOAR-Automatisierungs-Playbooks zu vereinfachen. Wir werden auf das Upstream-Management der Bedrohungsinformationen eingehen, um die Abläufe bei der Phishing-Sichtung zu optimieren, Untersuchungen anzureichern, die Prioritätsbewertung zu verbessern und zielgerichtetere automatisierte Reaktionen zu erreichen.
SEC1507C - Accelerate Investigations With Intelligence Management
SOC-Teams integrieren mehrere Informationsquellen in die Tools, die sie im Alltag einsetzen, doch die Daten der einzelnen Quellen weisen unterschiedliche Formate und Strukturen auf. Die Teams müssen auf die mühsamen und zeitaufwändigen Erfassungs-, Datenbereinigungs- und manuellen Kuratierungstechniken ihrer Informationsquellen zurückgreifen, damit ihre Tools keine unnötigen Warnmeldungen aus diesen Daten generieren. In dieser Session wird gezeigt, wie Splunk Intelligence Management (ehemals TruSTAR) Informationen aus verschiedenen Quellen aggregiert, um sie mithilfe von Intelligence Flows anzureichern, zu normalisieren und zu priorisieren. Diese normalisierten, priorisierten Daten werden in Splunk® Enterprise Security direkt zur Beschleunigung von Untersuchungen und Verbesserung der Benachrichtigungspriorisierung genutzt.
Prevent, Detect, Investigate, and Respond
SEC1609C - Purple Teaming - Build, Attack, and Defend Your Organization
Wolltet ihr schon immer wissen, ob eure aktuellen Erkennungen funktionieren oder eine bestimmte Angriffstechnik abdecken? Habt ihr schon einmal versucht, die Silostrukturen zwischen Red Teams und Blue Teams aufzubrechen? Habt ihr euch vielleicht gefragt, was für die Bildung eines Purple Teams erforderlich ist? Purple Teaming basiert auf Bedrohungsinformationen und kombiniert die Anstrengungen von Red Teams und Blue Teams, um feindliche Angriffe nachzuahmen und Lücken in der Sicherheitssstruktur Ihres Unternehmens aufzudecken. Findet heraus, wie sich ein Purple Team-Programm auf die Beine stellen lässt und wie es eurem Team bei der schnelleren Erkennung des Übels helfen kann. Hier lernt ihr, Angriffsverhalten zu simulieren, euren aktuellen Prozess für die Bedrohungserkennung und Reaktion zu testen und eure Daten mit Splunk und Open-Source-Tools zu durchkämmen.
SEC1509C - Building Cyber Resiliency Through Better Detection, Investigation, and Remediation
Im Fall eines Angriffs brauchen Sicherheitsteams eine Security Operations-Plattform mit leistungsfähigen Analysen, integrierten Intelligence- und Automatisierungslösungen, um sich schnell ein Bild von den Ereignissen und von deren Auswirkungen auf das Unternehmen machen zu können und entsprechende Gegenmaßnahmen zu ergreifen. In dieser Session werden die Teilnehmer durch ein Sicherheits-Event geführt, um die Funktionsweise und das Ineinandergreifen der Splunk-Sicherheitsabläufe zu demonstrieren, die eine bessere Erkennung, Untersuchung und Reaktion ermöglichen.
Splunk-Partnernetzwerk und Integrationen
SEC1456B - Splunk in P&U: Empowering OT and the Grid
Da die kritische Infrastruktur eines Landes immer stärker mit der IT vernetzt ist, ist die Erfassung und Aggregierung von Event-Daten im Operations- und Sicherheitsbereich von unschätzbarem Wert – Tendenz steigend. Splunk wird von Energieunternehmen, die einen immer größeren Bedarf an vollständiger Transparenz haben, gewissermaßen als Historiker des neuen Zeitalters eingesetzt. Während das Betriebspersonal die Spannung überwacht, müssen SOC-Analysten lernen, eine Umgebung, in der ein stabiles Netz aufrechterhalten werden muss, auf Bedrohungen für Sicherheit und Betrieb zu überwachen – und all dies in einer Zeit geopolitischer Spannungen, extremer Klimaereignisse und landesweiter Elektrifizierung. In dieser Session erfahren die Teilnehmer, wie Splunk in kritischer Infrastruktur implementiert werden kann, vom Rechenzentrum bis zum Umspannwerk, um die Kernanforderungen Sicherheit, Zuverlässigkeit und Verfügbarkeit zu erfüllen.
SEC1514B - Understanding the Latest Ransomware Threats To Protect Your Organization
Ransomware-Gruppen entwickeln ihre Taktik kontinuierlich weiter, um Schwachstellen auszunutzen und Kapital aus Sicherheitsverstößen zu schlagen. Die Anzahl und das Ausmaß von Angriffen mit weitreichenden, schlagzeilenträchtigen Incidents nimmt stetig zu. Wir zeigen euch, wie basierend auf einem leistungsstarken Schutz vor Bedrohungen, Zero Trust und Analysen eine effektive Gefahrenabwehr aufgebaut werden kann. Bedrohungsforscher von Zscaler und Splunk sprechen über ihre Forschungen zu den jüngsten Entwicklungen im Ransomware-Bereich und Trends bei den Angriffstechniken.
Die .conf22 wird SOC-Experten aus den Socken hauen! Bis bald.
Allen Unterhaltungen auf der #splunkconf22 folgen!
