Vom Monitoring bis zur Gegenaktion

Mission Control von Splunk integriert den Security-Zyklus

| Autor / Redakteur: Karin Johanna Quack / Peter Schmitz

Splunk Chief Technology Officer Tim Tully präsentierte auf der Splunk.conf die neue, integrierte Umgebung für SOC: Mission Control.
Splunk Chief Technology Officer Tim Tully präsentierte auf der Splunk.conf die neue, integrierte Umgebung für SOC: Mission Control. (Bild: Splunk)

Auf der diesjährigen Anwenderkonferenz „.conf“ präsentierte die kalifornische Softwareschmiede Splunk neben anderen Neuerungen „Mission Control“. Hinter dem Begriff verbirgt sich eine integrierte Umgebung für das Security Operation Center (SOC), die vom Monitoring über die Investigation bis zur Gegenaktion den gesamten Zyklus der IT-Sicherheit unterstützen soll.

Kommen die Marktchampions im Sektor Security-Software zur Sprache, fallen meist Namen wie McAfee oder Symantec, im Enterprise-Umfeld sicher auch IBM, Dell und HP. Splunk wird häufig vergessen, obwohl das in San Francisco heimische Unternehmen 2018 rund zwei Fünftel seines Jahresumsatzes im Security-Bereich erzielte; das sind immerhin 700.000 Dollar. Zudem positioniert der „Gartner Magic Quadrant“ den Anbieter im Marktsegment Security Information and Event Management (SIEM) ganz weit rechts oben, also in führender Position hinsichtlich „Vollständigkeit der Vision“ und „Lieferfähigkeit“.

Dass Splunk sich derzeit nicht vorrangig als Security-Spezialisten vermarkten will, liegt wohl daran, dass man neben den IT-Spezialisten jetzt verstärkt die Business-Klientel ansprechen möchte. Symptomatisch sind Marketing-Schlagwörter wie „Data-to-Everything-Plattform“ oder „Data-to-Action-Company”. Im Grunde genommen gehe es aber immer um Dasselbe, erläutert Oliver Friedrichs, Vice President Security Products bei Splunk: „Nämlich um den Digital Exhaust, also darum, Einsichten aus den Daten herauszupressen.“

Dabei kann Splunk – dank der „Schema-on-read“-Technik – relativ rasch auch solche Daten verarbeiten, die nicht in strukturierter Form verfügbar sind. Im Anwendungsfall IT-Sicherheit handelt es sich dabei vor allem um Daten, die am „Endpoint“, sprich: beim Anwender, auflaufen. Sie betreffen Log-ins, Windows Event Logs, Antivirus-Aktivitäten und Firewall-Daten, Endpoint Detection and Respond (EDR), Anwenderverhalten, zum Beispiel anhand des Active Directory, etc.

Rundum-Überwachung am User Endpoint

Splunk verfügt bereits seit längerem über ein wirkungsvolles Software-Arsenal für das Security Operation Center (SOC) – mit dem Monitoring-Werkzeug „Enterprise Security“ (ES), mit einem Tool für die „User Behaviour Analysis“ (UBA) sowie mit der für Security Orchestration, Automation and Response (SOAR) ausgelegten Software „Phantom“. Die neue Arbeitsoberfläche Mission Control verbindet diese drei Software-Werkzeuge und soll es den Sicherheitsverantwortlichen ermöglichen, Security-relevante Daten über unterschiedliche Instanzen von Splunk und Splunk ES hinweg zu überwachen, zu analysieren und schließlich auf etwaige Bedrohungen zu reagieren.

Das Hauptprodukt ES liegt bereits in der Version 6.0 vor. Die aktuelle Ausführung der SIEM-Plattform ist laut Anbieter sowohl schneller als auch höher skalierbar als die Vorgängerversion, was vor allem an den neuen Asset- und Identitäten-Frameworks liege. Darüber hinaus biete sie die Möglichkeit, Analytics-Reports über Dateninvestigationen zu erstellen. Zu bestimmten Sicherheitsmetriken sind jetzt vorkonfigurierte Berichte abrufbar. Und last, but not least lässt sich ES 6.0 enger mit dem Machine-Learning-Toolkit (MLT) von Splunk integrieren.

Vor allem die ML-Funktionen sind auch das Pfund, mit dem UBA 5.0 wuchern kann. Das Produkt dient dazu, Anomalien im Anwender- und Systemverhalten möglichst rasch und präzise zu entdecken beziehungsweise zu lokalisieren. Dazu legt es eine Analytics-Schicht über die verfügbaren Daten.

Die neue Produktausführung hilft den SOC-Teams, Machine-Learning-Modelle für die Beobachtung von abweichenden Performance-Werten und ungewöhnlichem Anwenderverhalten maßzuschneidern – ausgerichtet an der jeweiligen Sicherheitsumgebung und dem speziellen Anwendungsfall. Damit das leichter und schneller vonstatten geht, stellt UBA 5.0 jetzt auch vorgefertigte Custom-Use-Frameworks bereit. Disaster-Recovery-Funktionen und Geräte-Management wurden ebenfalls verbessert.

Automation statt Feuerwehreinsatz

In einer produktorientierten Konferenz-Keynote gab Kia Behnia, Vice President IT Markets bei Splunk, den Slogan aus: „Wir stehen für Automation, nicht für die Bekämpfung von Bränden.“ Feuerwehrleute seien sicher Helden, erläuterte er auf Nachfrage, aber den meisten von ihnen sei es sicher lieber, wenn sie nicht so oft ausrücken müssten, wenn also die ersten schwachen Anzeichen eines Brandherds so früh erkannt würden, dass er sich noch mit wenig Aufwand ersticken lasse. Der legendäre „War Room“, den Security-Teams nach einem Zwischenfall aufbauen, soll nach Behnias Auffassung über kurz oder lang der Vergangenheit angehören.

Seit Version 4.6 liefert Splunk Phantom seine Daten sogar auf das Smartphone.
Seit Version 4.6 liefert Splunk Phantom seine Daten sogar auf das Smartphone. (Bild: Splunk)

Diese Forderung lässt sich, so der Splunk-Manager, besonders auf die Security-Produkte anwenden: Splunk wolle die Security Operation Center in die Lage versetzen, mögliche Bedrohungen permanent zu identifizieren und angemessen darauf zu reagieren, bevor sie den Betrieb tatsächlich stören oder sogar zum Erliegen bringen. Zu diesem Zweck hat der Software-Anbieter seine Security-Produkte vor etwa 18 Monaten durch das SOAR-Werkzeug Phantom abgerundet.

Das jüngste Release 4.6 ist auch auf mobilen Endgeräten verfügbar. Das Tool wurde dafür geschaffen, Routineaufgaben zu automatisieren, damit sich die Sicherheitsanalysten ganz auf ihr eigentliches Arbeitsfeld, das Erkennen und Abwehren unternehmenskritischer Ausnahmefälle, konzentrieren können. Über Apps können die Entwickler in den Kundenunternehmen auf den Quellcode von Phantom zugreifen; so sind sie in der Lage, Orchestrierung und Automations­funktionen auf die individuellen Bedürfnisse des SOC anzupassen und Muster für Abwehraktionen in einem „Playbook“ zu hinterlegen.

Voraussichtlich im Frühling verfügbar

Aufgaben wie Datenforensik und Einleitung von Response-Aktionen kosten für sich genommen schon eine Menge Zeit; die dehnt sich weiter aus, wenn die SOC-Mitarbeiter dazwischen mehrfach die Tools wechseln müssen. Es ist also nachvollziehbar, dass eine integrierte Arbeitsumgebung wie Mission Control die Teams schneller und effizienter arbeiten lässt – vor allem, wenn im Hintergrund Automatisierungsfunktionen ihren Dienst tun. Wie der für die Security-Produkte zuständige Vice President Friedrichs in den Raum stellt, lässt sich die Reaktionszeit insgesamt um etwa 90 Prozent reduzieren.

Mission Control befindet sich derzeit im Betastadium. Voraussichtlich gegen Ende des ersten Quartals 2020 wird die Version 1.0 generell verfügbar sein. Zunächst muss die Software noch on premise installiert werden – obschon auch die Splunk-Kunden immer schneller in die Cloud wechseln, wie Friedrichs einräumt.

Aus diesem Grund will das Unternehmen im kommenden Frühling zumindest Phantom aus der Cloud anbieten. Bislang kommunizieren die mobilen Geräte über eine verschlüsselte und durch Authentifizierung geschützte Datentextur mit dem On-premise-System. Dass auch ES und UBA aus der Cloud beziehbar sein sollten, ist Splunk ebenfalls klar. Ein Release-Termin steht allerdings noch nicht fest.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46212299 / Monitoring und KI)