Abwehren, schützen, reagieren

Komplexe Bedrohungen, die in eine Umgebung gelangen und sich dort festsetzen, gehören zu den größten Herausforderungen im puncto Sicherheit, denen sich Unternehmen und öffentliche Einrichtungen gegenüber sehen. Zusätzlich zu herkömmlichen Sicherheitsfunktionen wie Monitoring, Reporting, Suchen und Benachrichtigungen unterstützen Splunk®-Produkte Sicherheitsanalysten bei der Abschätzung von Kompromittierungsfällen und Sicherheitsverletzungen mit der "Kill Chain"-Methodik. Analysten können die verschiedenen Phasen einer komplexen Bedrohung nachvollziehen und die Sequenz der Ereignisse feststellen, indem sie mithilfe beliebiger Felder innerhalb beliebiger Daten in einem beliebigen Zeitfenster Beziehungen ermitteln.

Alle Daten sind sicherheitsrelevant. Splunk-Software ermöglicht Folgendes:

  • Erkennen kompromittierter Hosts im Zusammenhang mit komplexen Bedrohungen und Infektionen mit Schadsoftware
  • Feststellen von Aktivitäten und Ereignissen im Zusammenhang mit erfolgreichen Angriffen und Infektionen mit Schadsoftware
  • Feststellen von Umfang und Auswirkung kompromittierter Systeme
  • Finden von Indikatoren und Elementen im Zusammenhang mit kompromittierten Hosts und schnelles Erstellen neuer Korrelationssuchen und Benachrichtigungen für das Monitoring der neu entdeckten Bedrohungen ohne komplexe Korrelationsregeln

Erkennen komplexer Bedrohungen

Anwenden der "Kill Chain"-Methodik

Mit Splunk-Software können Sie leichter Indikatoren für kompromittierte Systeme und wichtige Beziehungen innerhalb Ihrer Maschinendaten finden, indem Sie Logs aus Lösungen für die Schadsoftwareanalyse, E-Mail-Systemen und Weblösungen untersuchen, die Aktivitäten in unterschiedlichen Phasen der "Kill Chain" darstellen.

Erkennung komplexer Bedrohungen, Abbildung 1
Feststellen von Umfang und Auswirkung von Vorfällen

Rekonstruieren Sie den Ablauf des Angriffs, indem Sie Ereignisse anhand eines beliebigen Feldwerts verknüpfen, um über unterschiedliche Sicherheitstechnologien hinweg zusammengehörige Ereignisse zu finden, einschließlich Technologien für Bedrohungsdaten, Netzwerksicherheit wie E-Mail- und Internet-Gateway, Firewalls sowie Lösungen für Endpunktsicherheit oder Endpunkt-Bedrohungserkennung und -behebung.

Erkennung komplexer Bedrohungen, Abbildung 2
Gewinnen von End-to-End-Transparenz bei komplexen Bedrohungen

Splunk-Software ermöglicht die Zusammenarbeit zwischen unterschiedlichen Sicherheitsteams, um auf komplexe Bedrohungen zu reagieren und sie abzuwehren. Teams können den Sicherheits- und IT-Technologiestapel aufwärts, abwärts und seitwärts untersuchen sowie zeitlich zurückgehen, um Aktivitäten im Zusammenhang mit kompromittierten Hosts und komplexen Bedrohungen zu finden, zu analysieren und entsprechend darauf zu reagieren. Die Sicherheitsfachleute können im Handumdrehen Echtzeit-Korrelationssuchen zu beliebigen Aktivitäten oder Bedingungen erstellen, damit die Ergebnisse für weiteres Monitoring in das System eingebunden werden können.

Erkennung komplexer Bedrohungen, Abbildung 3

Fragen Sie einen Sicherheitsexperten

 

 

Expertise: Einsatz von Splunk für sicherheitsbezogene Anwendungen wie Untersuchung/Handling von Vorfällen, Forensik, Betrugsbekämpfung und SIEM

Kontaktieren Sie uns
vi ly, experte