Enterprise Security-Funktionen
Entdecken Sie detaillierte Produktfunktionen und ausführliche Workflows. Erfahren Sie, wie Enterprise Security Ihren gesamten Sicherheitsbetrieb effizienter, präziser und erfolgreicher macht.
Einheitliche Workflows
SIEM
AI Assistant
SOAR
UEBA
Cisco Talos und Threat Intelligence Management
Detection Studio
Organisieren Sie Ihre Erkennungen und reduzieren Sie die Mean Time to Detect. Detection Studio* bietet eine vollständige Detection Lifecycle Experience für Engineering-Teams, die ihre Erkennungen damit nahtlos testen, scharf stellen und im Monitoring überwachen können. Messen und optimieren Sie Ihre Abdeckung nach MITRE-ATT&CK®-Framework, sodass Ihr Team stets auf der Höhe neuer Taktiken, Techniken und Verfahren (TTPs) bleibt und bei Erkennungslücken rasch eingreifen kann.
* In Alpha-Version, soweit verfügbar.
Finding-based Detections
Erfahren Sie, wie die neuen Finding-based Detections dazu beitragen, dass Ihr Sicherheitsteam Security Incidents schneller versteht und entsprechend reagieren kann. Eine Erkennung aus Befunden beruht auf konkreten Details oder analytischen Beobachtungen, z. B. Zeitstempeln, Schlüssel-Wert-Paaren, Informationen zu Entitäten, Risikowerten, Bedrohungsobjekten etc.
Erkennungen
Erfahren Sie, wie Sie Erkennungen und Erkennungsinhalte in Splunk Enterprise Security 8.0 verwenden. Die komplette Bibliothek der Erkennungsinhalte ist in der neuen Version von Splunk Enterprise Security noch einfacher zu verwalten. Die Erkennungsinhalte sind übersichtlicher, besser organisiert und leichter zu verfolgen, sodass das Detection-Engineering überholte Inhalte einfach identifizieren und aktualisieren kann.
Erkennungsversionen
Diese Kurzdemo zeigt Ihnen, was die Versionierung von Erkennungen in Splunk Enterprise Security 8.0 zur Erkennungshygiene Ihres SIEM beitragen kann. Die automatische Versionierung bietet eine native automatische Versionskontrolle – das gilt sowohl für selbst angelegte als auch für ESCU-Erkennungen. Das Detection-Engineering kann damit neue Versionen von Erkennungen einfach und effizient speichern, Sicherungskopien erstellen und per Mausklick zu früheren Versionen zurückkehren sowie eigene Erkennungen verwalten.
MITRE-ATT&CK-Matrix
Die MITRE-ATT&CK-Framework-Funktion von Splunk Enterprise Security sorgt für schnelles Situationsbewusstsein, weil Sicherheitsanalysten damit einen Incident im Kontext der MITRE-ATT&CK-Matrix zuordnen können – und sie gelangen von hier aus direkt zur entsprechenden MITRE-Dokumentation.
Security Posture Dashboard
Splunk Enterprise Security (ES) verschafft Ihnen auf der Grundlage einer skalierbaren Plattform datengestützte Erkenntnisse, sodass Sie umfassende Transparenz im gesamten Unternehmen erreichen.
Das Security Posture Dashboard gibt Ihnen umfassende Echtzeit-Übersicht über relevante Events (Notables) in Ihrem Security Operations Center. Sie können das Dashboard auf die KPIs, die Ihnen wichtig sind, konfigurieren und behalten damit Veränderungen über einen Zeitraum von 24 Stunden im Blick.
Risk-based Alerting (RBA)
Risikobasierte Warnmeldungen bauen auf den vorzüglichen Out-of-the-Box-Erkennungen von Splunk Enterprise Security auf. Risk-based Alerting (RBA) kann die Menge der falsch positiven Erkennungen erheblich reduzieren und die SOC-Produktivität deutlich steigern. User und Systeme werden Risikostufen zugeordnet, und es ergehen Warnmeldungen, wenn festgelegte Risiko- und Verhaltensschwellenwerte überschritten werden.
Im Incident Review Dashboard können Sie die Events, die zu einem RBA-generierten Notable bzw. Risk Notable geführt haben, einfach als Zeitleiste ausklappen.
Threat Intelligence und SOAR
Das Splunk Intelligence Management ermöglicht Sicherheitsteams ihre internen und externen Security-Informationsquellen im gesamten Ökosystem effektiv zu operationalisieren und die Erkenntnisse direkt in Splunk ES und Splunk SOAR verfügbar zu machen.
Splunk SOAR kann Informationen nahtlos mit Splunk ES austauschen, Warnmeldungen anreichern und Maßnahmen in Maschinengeschwindigkeit ausführen, sodass Incident-Untersuchungen und -Reaktionen spürbar beschleunigt werden.
Verhaltensanalysen
Durch die Integration von Splunk User Behavior Analytics (UBA) in Splunk ES gewinnen Sie mehr Einblick, härten die Sicherheit und ermöglichen effektivere Untersuchungen, sodass die Analysten sich auf relevante Warnmeldungen konzentrieren können. UBA erstellt mithilfe von maschinellem Lernen Profile des Verhaltens von Usern und Entitäten, kann ernsthafte Bedrohungen herausfiltern und diese Bedrohungen an Splunk ES übergeben.
Als Behavioral Analytics Service ist die Verhaltensanalyse auch für Splunk-ES-Cloud-Kundschaften verfügbar. Damit schaffen Sie umfassende Sicherheitstransparenz, sodass Ihnen dank Streaming-Analysen auch versteckte und unbekannte Bedrohungen nicht entgehen.
ES Content Updates und Use-Case-Bibliothek
Das Splunk Threat Research Team stellt Security-Inhalte in Form von vorgefertigten Erkennungen und Reaktionen bereit, damit Ihr Team bei aktuellen Bedrohungen stets auf dem Laufenden bleibt.
In der Use-Case-Bibliothek finden Sie diese Inhalte als sogenannte Analytic Storys, die Sie nach Use Case oder nach Framework (z. B. MITRE ATT&CK) filtern können.
Access Anomalies Dashboard
Ein weiteres Beispiel für Security Intelligence in Splunk ES ist das Dashboard zu Zugriffsanomalien (Access Anomalies Dashboard). Es visualisiert Anomalien im User-Verhalten und zeigt etwa parallele Authentisierungsversuche von unterschiedlichen IP-Adressen und unrealistische Reiseanomalien an.
Dynamic Identifier Reputation Analysis
Dynamic Identifier Reputation Analysis ist ein Playbook, das sich als unverzichtbares Werkzeug für jedes SOC-Team erwiesen hat, das sich einen umfassenden Überblick über die Bedrohungslandschaft seiner Umgebung verschaffen will. Mit dem MITRE-D3FEND-Ansatz der dynamischen Identifikatoren-Reputationsanalyse können SOC-Teams potenzielle Bedrohungen und Schwachstellen rechtzeitig identifizieren und proaktiv Schritte zur Risikominimierung unternehmen.
Analyst Queue
In dieser Kurzdemo geht es um die neue und verbesserte Analyst Queue von Splunk Enterprise Security 8.0. Diese Listenansicht ist der wichtigste Ausgangspunkt für Analysten, wenn sie Befunde priorisieren und Warnmeldungen untersuchen. Mit dem neuen Detailfenster auf der rechten Seite haben Sie alle Einzelheiten zur Hand und können sofort Untersuchungen einleiten und Reaktionen automatisieren.
Untersuchungen
Die Änderungen der Untersuchungsworkflows in Splunk Enterprise Security 8.0 ermöglichen eine kürzere Mean Time to Respond (MTTR) auf Incidents. Wie das funktioniert, zeigt dieses Kurzvideo.
Bedrohungstopologie
Mit der Funktion Threat Topology können Analysten das Ausmaß eines Incidents abschätzen, indem sie sich alle damit verbundenen Risiko- und Bedrohungsobjekte anzeigen lassen. So können sie die Reichweite eines Security Incidents sofort überschauen und bei der Untersuchung umstandslos zwischen betroffenen Assets und Usern wechseln – sie arbeiten damit effizienter und produktiver.
Incident Review Dashboard
Dies ist die Hauptansicht, auf der Sie Ihre Erkennungen (bzw. relevanten Events) finden. Notables sind die Ausgangspunkte von Incident-Untersuchungen. Sie können sie einfach nach Schweregrad sortieren und auf diese Weise Security Incidents priorisieren und rasch klären.
Asset Investigator und Security Domains
Das Dashboard Asset Investigator fasst Events auf der Zeitleiste als Schwimmbahn-Diagramm zusammen und erleichtert damit die Suche nach Bedrohungen und die Incident-Forensik. Phasen mit hoher und niedriger Aktivität werden durch unterschiedliche Farbgebung hervorgehoben, sodass Muster in den Host- und User-Aktionen gut deutlich werden.
Bei den Security Domains finden Sie einsatzfertige Dashboards mit jeweils speziellen Schwerpunkten – aufgezeichnete Anmeldeversuche, Endpunkt- und Netzwerkkompromittierungen etc. –, die sich leicht abgleichen und korrelieren lassen, was die Incident-Klärung abermals beschleunigt.
Risk Analysis Dashboard
Das Risk Analysis Dashboard überwacht und kategorisiert Assets nach Risikokategorie. Assets, die z. B. plötzlich erhöhte Aktivitäten zeigen, erhalten hier Vorrang gegenüber solchen, die vielleicht nur vertrauliche Informationen enthalten. Das Warnmelderauschen wird dadurch deutlich reduziert.
Investigation Workbench
Bei einer Untersuchung können Sie schnell zu dieser „Werkbank“ wechseln, auf der Sie sämtliche Bedrohungsdaten, den Sicherheitskontext und die relevanten Daten, auch zu Usern und Geräten, beisammen haben, sodass eine schnelle, genaue Bewertung des Incidents möglich wird.
Die zugehörige Zeitleiste erleichtert die Zusammenarbeit und macht Untersuchungen besser nachvollziehbar. Auch Ad-hoc-Suchen lassen sich bequem von der Workbench aus starten, sodass Sie Zeit sparen und sich ganz auf Ihre Untersuchung konzentrieren können.
Befehlszeile für Untersuchungen
Auf der Untersuchungsseite in Splunk SOAR gibt es verschiedene Möglichkeiten, Aktionen auszuführen. Eine der einfachsten Methoden ist die Verwendung der Befehlszeile unten auf der Seite, wo Sie normalerweise Event-Kommentare hinzufügen: Wenn Sie die Eingabe mit einem Schrägstrich / beginnen, werden Eingabevorschläge für die gewünschte Aktion angezeigt.
Ticket-Management
Splunk SOAR orchestriert Workflows und Reaktionen in Ihrem gesamten Security- und IT-Stack, sodass Sie jedes Tool in Ihrer Verteidigungsstrategie aktivieren. Die Ticket-Management-Funktionalität arbeitet mit Workbooks, damit Sie Ihre Prozesse als wiederverwendbare Vorlagen festschreiben können. Unabhängig davon, ob Sie eigene Vorlagen oder Branchenstandards für die Incident Response verwenden – Splunk SOAR macht die Aufgabensegmentierung, -zuweisung und -dokumentation einfach und gewährleistet damit kohärente und kooperative Untersuchungsprozesse.
Event-Management
Oft sind die Analysten mit der schieren Menge an Security-Events überfordert. Splunk SOAR erleichtert das Event-Management, indem es die Events aus den unterschiedlichen Quellen komplett zentral konsolidiert. Die Fachleute können die Events dann sortieren und filtern, mutmaßlich relevante Events identifizieren und ihre Maßnahmen entsprechend priorisieren.
Wayfinder
Wayfinder ist ein dynamisches Navigationstool, mit dem Sie sich schnell und einfach auf der Benutzeroberfläche von Splunk SOAR bewegen können. Mithilfe einfacher Tastenkombinationen können Sie direkt zu wichtigen Incidents, Automatisierungsplaybooks und anderen relevanten Informationen springen, ohne dass Sie sich durch die einzelnen Menüs wühlen müssten. Wayfinder macht die Navigation intuitiv und effizient – und den Umgang mit Splunk SOAR insgesamt bequemer.
Zentrales Dashboard
Das zentrale Dashboard von Splunk SOAR können User selbst anpassen, sodass sie wichtige Kennzahlen wie MTTD und MTTR oder eingesparte Zeit und eingesparte Kosten etc. auf dem Schirm haben. Sie können die Dashboard-Panels so positionieren, dass Sie die Informationen, die für Sie am wichtigsten sind, immer sofort zur Hand haben.
Kontextuell ausgelöste Aktionen
Splunk-SOAR-Apps haben für Aktionseingaben und -ausgaben den Parameter „contains“. Damit werden kontextbezogene Aktionen auf der Splunk-SOAR-Oberfläche aktiviert. Ein gängiges Beispiel ist der Contains-Typ „ip“. Diese Funktion der Plattform ist ausgesprochen leistungsstark, weil User damit Aktionen verketten und die Ausgabe einer Aktion als Eingabe für eine andere verwenden können.
Event-Erstellung von Hand
Wenn Sie in Ihrer Splunk-SOAR-Instanz noch nichts erstellt haben, werden oben in der ROI-Leiste nur Nullen angezeigt. Und wie beginnen Sie am besten mit der Erstellung von Events in Splunk SOAR? Sie erstellen ein Event von Hand.
Splunk Intelligence Management für Splunk SOAR
Mit Splunk-SOAR-Playbooks lassen sich Security-Aktionen gut automatisieren, doch sie werden durch das zusätzliche Intelligence Management von Splunk ES noch leistungsstärker und einfacher zu handhaben. Damit können User aufbereitete und normalisierte Bedrohungsinformationen aus internen und externen Quellen aufnehmen – das bedeutet schnellere Triage und noch effizientere Playbooks.
Einheitliche TDIR
Splunk Enterprise Security 8.0 revolutioniert die SOC-Workflows: Sicherheitsanalysten können damit übergangslos erkennen, was wichtig ist, ganzheitliche Untersuchungen durchführen und schnell reagieren. Heben Sie Ihre Security Operations auf ein neues Niveau – mit kompletten, einheitlichen TDIR-Workflows, vereinfachter Terminologie, modernen Funktionen für Aggregation und Triage sowie optimierten Erkennungen. Diese umfassende Demo behandelt sämtliche Funktionen und Möglichkeiten von Splunk Enterprise Security 8.0.
Response-Pläne
Diese Kurzdemo zeigt Ihnen, wie Splunk Enterprise Security mit Response-Plänen dafür sorgt, dass User bei gängigen Use Cases einfacher zusammenarbeiten und Incident-Response-Workflows ausführen können. Die Reaktionsplanvorlagen lassen sich so bearbeiten, dass Sie jeder einzelnen Phase eines Incident-Reaktionsplans Beteiligte und Verantwortliche zuweisen und für konkrete Aufgaben einfache Automatisierungsplaybooks vorsehen können, die eine schnelle Behebung sicherstellen.
Einheitliche SIEM- und SOAR-Workflows
Diese Kurzdemo zeigt Ihnen, wie die direkte Integration mit Splunk-SOAR-Playbooks und -Aktionen in den Ticket-Management- und Untersuchungsfunktionen von Splunk Enterprise Security und Mission Control eine einzige, einheitliche Arbeitsoberfläche ergibt. Damit verbessern Sie die Mean Time to Detect (MTTD) und die Mean Time to Respond (MTTR), und Ihre Analysten arbeiten mit einer einheitlichen, modernen Oberfläche für Erkennungen, Untersuchungen und Reaktionen.
Adaptive Response Actions
Adaptive Response Actions sind festgelegte Aktionen, die für jedes generierte relevante Event (Notable) ausgeführt werden können, entweder manuell oder automatisch.
Mit solchen Aktionen können Sie bei der Untersuchung von Notables z. B. Kontext einholen oder Reaktion und Behebung beschleunigen. Adaptive Response Actions eignen sich hervorragend zur Automatisierung von Prozessen, die noch nicht eine ausgereifte Lösung mit Splunk SOAR erreicht haben.
Automatisierung mit Prompts
Mit Prompt-gestützter Automatisierung können Sie in Echtzeit sichere Prompts an Teams außerhalb des SOC senden, um Ihre Reaktionsworkflows zu optimieren und Security-Incidents schneller zu beheben. Die Prompts lassen sich über beliebige ITOps-, ChatOps- oder Ticketing-Anwendungen absetzen.
Geführte Automatisierung
Die geführte Automatisierung erschließt Ihnen ein völlig neues visuelles Arbeiten, denn es legt Ihnen die realen Incident-Daten über die logische Abfolge des Playbooks. Analysten können damit die Zeit für die Erstellung einer Automatisierung drastisch reduzieren und erzielen präzisere Ergebnisse.
Playbook-Erstellung mit nativer SIEM-SOAR-Integration
In Splunk SOAR 6.3 sind die SOAR-Funktionen nun vollständig mit Splunk Enterprise Security 8.0 integriert. In dieser Demo sehen Sie, wie einfach Sie ein Splunk-SOAR-Playbook im Kontext Ihrer SIEM-Workflows erstellen können. Playbooks und Aktionen sind jetzt auch direkt in die Analyst Queue von Splunk Enterprise Security integriert. Sie können Playbooks ausführen und sehen die Ergebnisse, ohne dass Sie die Oberfläche von Splunk Enterprise Security verlassen müssten. Voraussetzung sind Lizenzen für Splunk SOAR und Splunk Enterprise Security.
Playbooks
Automatisieren Sie Sicherheitsaufgaben, um komplexe Workflows mit Splunk SOAR-Playbooks schneller zu bewältigen.
Visual Playbook Editor und Eingabe-Playbooks
Splunk SOAR gibt Ihnen die Möglichkeit, Playbooks selbst zu erstellen und anzupassen, egal ob Sie schon mit Python zaubern oder programmiertechnisch erst am Anfang stehen. Der visuelle Playbook-Editor macht den Prozess der Playbook-Erstellung ganz einfach, denn damit können Sie aus vorgefertigten Codeblöcken und Aktionsstrings eigene Workflows zusammenstellen. Splunk SOAR bietet auch Eingabe-Playbooks für grundlegende IT-Aufgaben, die Sie in größere Playbooks und Security-Workflows integrieren können. Mit der Auswahl an vorgefertigten Playbooks können Sie mit der Automatisierung sofort loslegen.
Logic Loops
Logic Loops sind eine Funktion von Splunk SOAR, die dazu gedacht ist, die operative Komplexität zu reduzieren, wenn User Playbooks erstellen und verwalten, die wiederholbare Schleifen enthalten – mit Logic Loops müssen sie dazu keinen eigenen Code schreiben. Diese iterative Funktion ermöglicht es Usern, Playbook-Aktionen automatisch zu wiederholen, wenn sie fehlschlagen, oder mit dem Rest des Playbooks fortzufahren, falls die Aktion erfolgreich ist. Diese Funktion ist z. B. bei Use Cases wie Sandbox-Engines für die Quarantäne und Bereinigung von Schad-URLs oder bei den Prozessen forensischer Untersuchungen praktisch.
Benutzerdefinierte Funktionen
Mit den benutzerdefinierten Funktionen von Splunk SOAR können Sie eigenen Code in Playbooks gemeinsam nutzen und gleichzeitig komplexe Datenobjekte in den Ausführungspfad einfügen. Dabei handelt es sich nicht nur um einsatzfertige Playbooks, sondern um einsatzfertige benutzerdefinierte Blöcke, die Ihnen Zeit und Mühe sparen. Diese Funktionen sind die Bausteine zur Skalierung Ihrer Automatisierungen, auch für Leute ohne Programmierkenntnisse.
Konfiguration von Drittanbieter-Tools
Bevor Sie mit Splunk SOAR loslegen, müssen Sie ein Asset konfigurieren. Assets sind Sicherheits- und Infrastrukturkomponenten, die Sie in die Splunk-SOAR-Plattform integrieren, etwa Firewalls oder Endpunktprodukte. Die Verbindung zu diesen Assets stellt Splunk SOAR über Apps her. Apps erweitern die Plattform, indem sie Sicherheitsprodukte und -tools von Drittanbietern integrieren.
App-Editor
Splunk SOAR unterstützt nicht nur die einsatzfertigen Standard-Apps, sondern auch eigene Apps, die Sie selbst für die Use Cases bauen, die Ihnen wichtig sind. Mit dem App-Editor von Splunk SOAR können Sie einfach Code anzeigen und hinzufügen, Aktionen testen, Log-Ergebnisse einsehen und Fehler beheben. Diese zusätzliche Transparenz gibt Ihnen genauen Einblick in die Funktionsweise Ihrer App. Sie können sie iterativ weiter bearbeiten und an Ihre Bedürfnisse anpassen, sodass sie mitwächst, wenn sich Ihr SOC weiterentwickelt.
Apps
Splunk SOAR integriert über 300 Tools von Drittanbietern und unterstützt mehr als 2800 automatisierte Aktionen über unseren Konnektoren-Katalog auf Splunkbase. Damit können Sie komplexe Workflows team- und toolübergreifend organisieren und koordinieren, ohne dass Sie Ihren bestehenden Stack abreißen und ersetzen müssten. Sämtliche Splunk-SOAR-Apps gibt es auf Splunkbase.
