Neue Funktionen in Splunk Enterprise Security 8.0
Einheitliche TDIR
Splunk Enterprise Security 8.0 revolutioniert die SOC-Workflows: Sicherheitsanalysten können damit übergangslos erkennen, was wichtig ist, ganzheitliche Untersuchungen durchführen und schnell reagieren. Heben Sie Ihre Security Operations auf ein neues Niveau – mit kompletten, einheitlichen TDIR-Workflows, vereinfachter Terminologie, modernen Funktionen für Aggregation und Triage sowie optimierten Erkennungen. Diese umfassende Demo behandelt sämtliche Funktionen und Möglichkeiten von Splunk Enterprise Security 8.0.
Analyst Queue
In dieser Kurzdemo geht es um die neue und verbesserte Analyst Queue von Splunk Enterprise Security 8.0. Diese Listenansicht ist der wichtigste Ausgangspunkt für Analysten, wenn sie Befunde priorisieren und Warnmeldungen untersuchen. Mit dem neuen Detailfenster auf der rechten Seite haben Sie alle Einzelheiten zur Hand und können sofort Untersuchungen einleiten und Reaktionen automatisieren.
Erkennungsversionen
Diese Kurzdemo zeigt Ihnen, was die Versionierung von Erkennungen in Splunk Enterprise Security 8.0 zur Erkennungshygiene Ihres SIEM beitragen kann. Die automatische Versionierung bietet eine native automatische Versionskontrolle – das gilt sowohl für selbst angelegte als auch für ESCU-Erkennungen. Das Detection-Engineering kann damit neue Versionen von Erkennungen einfach und effizient speichern, Sicherungskopien erstellen und per Mausklick zu früheren Versionen zurückkehren sowie eigene Erkennungen verwalten.
Erkennungen
In dieser Kurzdemo erfahren Sie, wie Sie Erkennungen und Erkennungsinhalte in Splunk Enterprise Security 8.0 verwenden. Die komplette Bibliothek der Erkennungsinhalte ist in der neuen Version von Splunk Enterprise Security noch einfacher zu verwalten. Die Erkennungsinhalte sind übersichtlicher, besser organisiert und leichter zu verfolgen, sodass das Detection-Engineering überholte Inhalte einfach identifizieren und aktualisieren kann.
Finding-based Detections
Was es mit den neuen Finding-based Detections auf sich hat, erklärt dieses Kurzvideo. Diese Erkennungen sollen dazu beitragen, dass Ihr Sicherheitsteam Security Incidents schneller verstehen und entsprechend reagieren kann. Eine Erkennung aus Befunden beruht auf konkreten Details oder analytischen Beobachtungen, z. B. Zeitstempeln, Schlüssel-Wert-Paaren, Informationen zu Entitäten, Risikowerten, Bedrohungsobjekten etc.
Untersuchungen
Die Änderungen der Untersuchungsworkflows in Splunk Enterprise Security 8.0 ermöglichen eine kürzere Mean Time to Respond (MTTR) auf Incidents. Wie das funktioniert, zeigt dieses Kurzvideo.
Response-Pläne
Diese Kurzdemo zeigt Ihnen, wie Splunk Enterprise Security mit Response-Plänen dafür sorgt, dass User bei gängigen Use Cases einfacher zusammenarbeiten und Incident-Response-Workflows ausführen können. Die Reaktionsplanvorlagen lassen sich so bearbeiten, dass Sie jeder einzelnen Phase eines Incident-Reaktionsplans Beteiligte und Verantwortliche zuweisen und für konkrete Aufgaben einfache Automatisierungsplaybooks vorsehen können, die eine schnelle Behebung sicherstellen.
Einheitliche SIEM- und SOAR-Workflows
Diese Kurzdemo zeigt Ihnen, wie die direkte Integration mit Splunk-SOAR-Playbooks und -Aktionen in den Ticket-Management- und Untersuchungsfunktionen von Splunk Enterprise Security und Mission Control eine einzige, einheitliche Arbeitsoberfläche ergibt. Damit verbessern Sie die Mean Time to Detect (MTTD) und die Mean Time to Respond (MTTR), und Ihre Analysten arbeiten mit einer einheitlichen, modernen Oberfläche für Erkennungen, Untersuchungen und Reaktionen.
Features
Bedrohungstopologie
Mit der Funktion Threat Topology können Analysten das Ausmaß eines Incidents abschätzen, indem sie sich alle damit verbundenen Risiko- und Bedrohungsobjekte anzeigen lassen. So können sie die Reichweite eines Security Incidents sofort überschauen und bei der Untersuchung umstandslos zwischen betroffenen Assets und Usern wechseln – sie arbeiten damit effizienter und produktiver.
MITRE-ATT&CK-Matrix
Die MITRE-ATT&CK-Framework-Funktion von Splunk Enterprise Security sorgt für schnelles Situationsbewusstsein, weil Sicherheitsanalysten damit einen Incident im Kontext der MITRE-ATT&CK-Matrix zuordnen können – und sie gelangen von hier aus direkt zur entsprechenden MITRE-Dokumentation.
Security Posture Dashboard
Splunk Enterprise Security (ES) verschafft Ihnen auf der Grundlage einer skalierbaren Plattform datengestützte Erkenntnisse, sodass Sie umfassende Transparenz im gesamten Unternehmen erreichen.
Das Security Posture Dashboard gibt Ihnen umfassende Echtzeit-Übersicht über relevante Events (Notables) in Ihrem Security Operations Center. Sie können das Dashboard auf die KPIs, die Ihnen wichtig sind, konfigurieren und behalten damit Veränderungen über einen Zeitraum von 24 Stunden im Blick.
Executive Summary Dashboard
Mit diesem Dashboard geben Sie CISOs und anderen Führungskräften eine bessere Übersicht über den Gesamtzustand ihres Sicherheitsprogramms. Für die Security-Metriken können Sie auch Zeitfilter einstellen.
SOC Operations Dashboard
Hier finden Sie weitere Informationen zur Effizienz und Performance Ihres SOC-Teams, die für SOC-Management und Teamleitung von Bedeutung sind: MTTD, Anzahl der Notables usw.
Incident Review Dashboard
Dies ist die Hauptansicht, auf der Sie Ihre Erkennungen (bzw. relevanten Events) finden. Notables sind die Ausgangspunkte von Incident-Untersuchungen. Sie können sie einfach nach Schweregrad sortieren und auf diese Weise Security Incidents priorisieren und rasch klären.
Risk-based Alerting (RBA)
Risikobasierte Warnmeldungen bauen auf den vorzüglichen Out-of-the-Box-Erkennungen von Splunk ES auf. Risk-based Alerting (RBA) kann die Menge der falsch positiven Erkennungen erheblich reduzieren und die SOC-Produktivität deutlich steigern. User und Systeme werden Risikostufen zugeordnet, und es ergehen Warnmeldungen, wenn festgelegte Risiko- und Verhaltensschwellenwerte überschritten werden.
Im Incident Review Dashboard können Sie die Events, die zu einem RBA-generierten Notable bzw. Risk Notable geführt haben, einfach als Zeitleiste ausklappen.
Adaptive Response Actions
Adaptive Response Actions sind festgelegte Aktionen, die für jedes generierte relevante Event (Notable) ausgeführt werden können, entweder manuell oder automatisch.
Mit solchen Aktionen können Sie bei der Untersuchung von Notables z. B. Kontext einholen oder Reaktion und Behebung beschleunigen. Adaptive Response Actions eignen sich hervorragend zur Automatisierung von Prozessen, die noch nicht eine ausgereifte Lösung mit Splunk SOAR erreicht haben.
Threat Intelligence und SOAR
Das Splunk Intelligence Management ermöglicht Sicherheitsteams ihre internen und externen Security-Informationsquellen im gesamten Ökosystem effektiv zu operationalisieren und die Erkenntnisse direkt in Splunk ES und Splunk SOAR verfügbar zu machen.
Splunk SOAR kann Informationen nahtlos mit Splunk ES austauschen, Warnmeldungen anreichern und Maßnahmen in Maschinengeschwindigkeit ausführen, sodass Incident-Untersuchungen und -Reaktionen spürbar beschleunigt werden.
Verhaltensanalysen
Durch die Integration von Splunk User Behavior Analytics (UBA) in ES gewinnen Sie mehr Einblick, härten die Sicherheit und ermöglichen effektivere Untersuchungen, sodass die Analysten sich auf relevante Warnmeldungen konzentrieren können. UBA erstellt mithilfe von maschinellem Lernen Profile des Verhaltens von Usern und Entitäten, kann ernsthafte Bedrohungen herausfiltern und diese Bedrohungen an Splunk ES übergeben.
Als Behavioral Analytics Service ist die Verhaltensanalyse auch für Splunk-ES-Cloud-Kundschaften verfügbar. Damit schaffen Sie umfassende Sicherheitstransparenz, sodass Ihnen dank Streaming-Analysen auch versteckte und unbekannte Bedrohungen nicht entgehen.
ES Content Updates und Use-Case-Bibliothek
Das Splunk Threat Research Team stellt Security-Inhalte in Form von vorgefertigten Erkennungen und Reaktionen bereit, damit Ihr Team bei aktuellen Bedrohungen stets auf dem Laufenden bleibt.
In der Use-Case-Bibliothek finden Sie diese Inhalte als sogenannte Analytic Storys, die Sie nach Use Case oder nach Framework (z. B. MITRE ATT&CK) filtern können.
Asset Investigator und Security Domains
Das Dashboard Asset Investigator fasst Events auf der Zeitleiste als Schwimmbahn-Diagramm zusammen und erleichtert damit die Suche nach Bedrohungen und die Incident-Forensik. Phasen mit hoher und niedriger Aktivität werden durch unterschiedliche Farbgebung hervorgehoben, sodass Muster in den Host- und User-Aktionen gut deutlich werden.
Bei den Security Domains finden Sie einsatzfertige Dashboards mit jeweils speziellen Schwerpunkten – aufgezeichnete Anmeldeversuche, Endpunkt- und Netzwerkkompromittierungen etc. –, die sich leicht abgleichen und korrelieren lassen, was die Incident-Klärung abermals beschleunigt.
Risk Analysis Dashboard
Das Risk Analysis Dashboard überwacht und kategorisiert Assets nach Risikokategorie. Assets, die z. B. plötzlich erhöhte Aktivitäten zeigen, erhalten hier Vorrang gegenüber solchen, die vielleicht nur vertrauliche Informationen enthalten. Das Warnmelderauschen wird dadurch deutlich reduziert.
Access Anomalies Dashboard
Ein weiteres Beispiel für Security Intelligence in Splunk ES ist das Dashboard zu Zugriffsanomalien (Access Anomalies Dashboard). Es visualisiert Anomalien im User-Verhalten und zeigt etwa parallele Authentisierungsversuche von unterschiedlichen IP-Adressen und unrealistische Reiseanomalien an.
Investigation Workbench
Bei einer Untersuchung können Sie schnell zu dieser „Werkbank“ wechseln, auf der Sie sämtliche Bedrohungsdaten, den Sicherheitskontext und die relevanten Daten, auch zu Usern und Geräten, beisammen haben, sodass eine schnelle, genaue Bewertung des Incidents möglich wird.
Die zugehörige Zeitleiste erleichtert die Zusammenarbeit und macht Untersuchungen besser nachvollziehbar. Auch Ad-hoc-Suchen lassen sich bequem von der Workbench aus starten, sodass Sie Zeit sparen und sich ganz auf Ihre Untersuchung konzentrieren können.
