SIEM - Security Information & Event Management

SIEM - Security Information & Event Management

Übersicht und Ordnung statt Chaos und Anarchie in Ihrer IT

SOC

Jeden Tag werden Gigabyte an Logs von unterschiedlichen Geräten im Netzwerk erzeugt. Wertvolle Informationen können aus Log-Daten abgeleitet werden, die von Anwendungen, Datenbanken, Servern, Netzwerkgeräten oder Host-Systemen stammen. Jedoch fehlen einfach die Zeit und die Mittel, um diese Logs von Hand zu prüfen und auf Anomalien zu untersuchen. Jedoch darf das Ziel nicht aus den Augen gelassen werden: Die Sichtbarkeit für Bedrohungen und Risiken im Unternehmen erhöhen und Compliance Anforderungen erfüllen.

Ein SIEM ist Dreh- und Angelpunkt für den Betrieb eines Security Operation Centers (SOC). Dort laufen alle Ereignisse aus der (IT-)Umgebung zusammen und werden miteinander korreliert. Im Bedarfsfall werden Alarme ausgelöst und z. B. per E-Mail versendet. Außerdem können an dieser Stelle forensische Analysen durchgeführt und Langzeit-Reports über die Ereignisse und Vorkommnisse in der IT-Infrastruktur erstellt werden. Durch eine direkte Anbindung des SIEMs an das Ticketsystem können z.B. auch Tickets automatisiert erstellt und aktualisiert werden. Damit verbinden sich SIEM und Ticketsystem optimal zu einer technischen Lösung, die die Prozesse des SOCs direkt unterstützen kann.

Aufgrund der Komplexität der SIEM-Lösung und meist fehlender Expertise, stellt insbesondere im Mittelstandsbereich, ein SIEM MSSP (Managed Security Service Provider) eine lohnenswerte Alternative dar.

Unsere Leistungen - Klicken und hier MEHR erfahren!

Kompetenz fürs Ganze - aus Wissen im Detail

  • breites Wissen in der Angriffserkennung und -abwehr
  • umfangreiche Implementierungserfahrung mit über 60 realisierten SIEM-Integrationen
  • multinationale Implementierung von SIEM- und Logmanagement-Lösungen
  • weltweit führender Anbieter für SAP©-SIEM-Integration
  • große Bibliothek an SIEM-Use Cases – passend für jedes Unternehmen. Beispielsweise zum Thema "System Health Monitoring" (Operations), "Access Monitoring"(Security) oder "Traffic/Data Monitoring" (Compliance)
  • schnelle und persönliche Betreuung während jeder Phase der Implementierung/Integration und Anpassung
  • flexibles und großes Professional Services Team mit mehr als 20 Consultants / Operation Engineers
  • Threat Modeling – Erkennung und Bewertung von Angriffsvektoren (Attack Trees, OWASP), Bewertung von Risiken, Herausarbeitung und Implementierung von Abwehrmaßnahmen (Use Cases)
  • Analyse Ihrer Logdaten und visuelle Aufbereitung (Dashboards, Reports)

Langjährige Erfahrung bei der Konzeption von SIEM Lösungen (SIEM Konzepte):

  • Anforderungsanalyse
  • Ist-Analyse
  • Prozess-Analyse und Definition der Architektur
  • Zielkonzept, Gap-Analyse, Roadmap
  • Use Case-Definition
  • Beschreibung und Abschätzung der operativen Voraussetzungen (Betriebskonzept)

iT-CUBE SYSTEMS ermöglicht eine Integration in jede Unternehmensgröße. Durch Implementierungs-Know-how und langjähriger Erfahrung bieten wir passende Lösungen vom Mittelstand bis zum globalen Großunternehmen.

Warum SIEM?

Für den CISO:

  • Erfüllung von Compliance Anforderungen
  • Erkennung und Abwehr von (Cyber-)Angriffen
  • Überprüfung der Sicherheitsrichtlinien

Für den CIO:

  • Überblick über Prozesse im und allgemein über das (IT-) Netzwerk (Software, Devices, Traffic etc.), zentrale Informationsanlaufstelle (zentrales "Security Cockpit")
  • Einhaltung von Compliance und/oder Sicherheitsrichtlinien
  • Erkennung und Abwehr von (Cyber-) Angriffen

Für den CEO:

  • Erkennung und Abwehr von (Cyber-)AngriffenKosteneffektive Lösung, die den Anforderungen gerecht wird
  • ROI (Return on Investment)
  • Schutz von geistigem Eigentum ("Intellectual Property")

Für den Admin:

  • (einfache) Integration in bestehende IT-Infrastruktur
  • schnelle und einfache Entwicklung von Regeln zur Detektion von Ereignissen
  • übersichtliches GUI-basiertes Management der Lösung (GUI-basiertes Erstellen von Regeln, Dashboards, Anbindung von Quellen)

Wir haben mehr zu bieten...

Erfahren Sie mehr zu unseren Produkten rund um das Thema SIEM:

Wissen was passiert – IT-Security unter der Lupe mit HPE ArcSight ESM

Die Unternehmens-IT kämpft heutzutage an mehreren Fronten. Zum einen muss sie dem stetig wachsenden Datenvolumen Herr werden und dabei Datensicherheit und -integrität gewährleisten. Zum anderen stehen genau diese Daten im Fokus von Cyber-Angriffen, die über die Jahre spürbar zugenommen haben. Ein kontinuierliches Monitoring der Infrastruktur (IT-Landschaft) ist unablässig um Bedrohungen und Attacken frühzeitig zu erkennen, bevor sensitive Daten das Unternehmen verlassen. Das alles unter der Voraussetzung, dass Systeme und Daten verfügbar sind und interne Policies oder Compliance-Vorgaben eingehalten werden.

HPE ArcSight ESM bündelt die Logdaten der IT-Landschaft an einem zentralen Punkt und korreliert diese in Echtzeit, um Angriffe nicht nur zu erkennen sondern auch so schnell wie möglichen darauf reagieren zu können.

Funktionsweise

HPE ArcSight ESM Console
HPE ArcSight ESM Console

Die Logdaten von Server, Datenbanken oder Applikationen werden über HPE ArcSight SmartConnectoren eingesammelt und den HPE ArcSight ESM weitergeleitet. Der SmartConnector "übersetzt" die Logdaten in ein normalisiertes, standardisiertes Datenschema. Alle wesentlichen Informationen, egal welcher Logquelle, können somit auf dieselbe übersichtliche Art dargestellt werden, und sind auch für Nicht-Experten verständlich. Daneben filtern und aggregieren SmartConnectoren Logdaten, bevor sie verschlüsselt weitergesendet werden, und können so das effektive, auszuwertende Logvolumen drastisch reduzieren. HPE ArcSight SmartConnectoren unterstützen aktuell 350+ verschiedene Hersteller und Produkte.

Durch Erfassung, Normalisierung, Aggregation und Korrelation der Log Events unterschiedlicher Systeme verschiedenster Hersteller (Cross-Device & Cross-Vendor Data) können aus Zehntausenden von Events diejenigen identifiziert werden, die eine tatsächliche Bedrohung kritischer Anwendungen und Daten darstellen. HPE ArcSight ESM bietet die Möglichkeit vordefinierte Regeln zu nutzen, oder eigene Regeln zu erstellen. Mit Hilfe dieser Regeln können z.B. Verhaltensmuster erkannt und verantwortliche Mitarbeiter benachrichtigt werden.

Neben der Echtzeitalarmierung können Berichte (z.B. für die am häufigsten auftretenden Sicherheitsrisiken) automatisiert erstellt und versendet werden. HPE ArcSight ESM bietet darüber hinaus ergänzende Solution Packages (sogenannte Compliance Insight Packages (CIP)), u.a. zur Bekämpfung von Insider Threats, zur Muster- und Anomalie-Erkennung oder zum Nachweis von Compliance-Anforderungen, wie sie sich beispielsweise aus PCI DSS ergeben.

Aufbauend auf HPEs ArcSight Data Platform mit Apache Kafka als Event Broker wird auch ArcSight ESM diese Technologie zukünftig unterstützen. Im Zusammenspiel mit Kafka, HPE ArcSight Logger, SmartConnectoren und dem ArcSight Management Center ist ArcSight ESM der Werkzeugkasten mit allem, was das SOC für die Erkennung, Analyse, Forensic und Reporting benötigt.

HPE ArcSight ESM
HPE ArcSight ESM

Das HPE ArcSight Management Center (ArcMC) bietet ein zentralisiertes Management für:

  • HPE ArcSight Logger (inkl. Lizenzmanagement)
  • HPE ArcSight SmartConnectoren/FlexConnectoren
  • andere HPE ArcSight Management Center

Wichtigste Features:

  • mächtige Echtzeit Correlation-Engine (CORR-Engine, Correlation Optimized Retention and Retrieval Engine), herstellerunabhängige Korrelation (Cross-Device Correlation)
  • Out-of-the-Box HPE SmartConnectoren "verstehen" das Logging von mehr als 350 verschiedenen Herstellern und Produkten und sammeln den Audittrail
  • Normalisiertes Datenschema (Common Event Format, CEF) via HPE SmartConnectors macht Logdaten auch für nicht-Experten verständlich
  • SDK zur Entwicklung von eigenen FlexConnectoren für z.B. eigene oder legacy Applikationen sowie Logquellen, die aktuell noch nicht unterstützt werden
  • Graphische Aufbereitung von Logdaten über Dashboards - zentralisiertes Management verschiedener Komponenten über ArcMC
  • Case Management mit Integration in z.B. HP Service Center· variable Speicherung der Logdaten, basierend auf Compliance Anforderungen
  • Unterstützung für verschiedenste Compliance-Anforderungen, z.B. SOX, PCI DSS, HIPPA, FISMA, u.a· Skalierbarkeit, Hochverfügbarkeit und Mandantenfähigkeit
  • ArcSight Command Center, Webfrontend mit limitiertem Funktionsumfang für Analysten

Daneben bietet HPE die Integration weiterer Produkte zur Erweiterung des Monitorings und Forensischen Analyse. So bietet HPE User and Entity Behavior Analytics (UBA) Muster- und Anomalie-Erkennung im Bereich des Nutzerverhaltens. Eine regel- und verhaltensbasierte Analyse von Nutzeraktivitäten deckt Insiderattacken auf und hilft bei der Erkennung von Schwachstellen in der Nutzersteuerung.

HPE ArcSight Data and Malware Analytics (DMA) entdeckt infizierte Server und Endgeräte im Netzwerk. DNS Datenverkehr wird kontinuierlich analysiert, um potenziell gefährlichen Datenverkehr frühzeitig zu erkennen und handeln zu können, bevor ein Schaden entsteht.

Für forensische Analysen und Langzeitspeicherung der Logdaten gibt es den HPE ArcSight Logger, der einfach in die bestehende HP ArcSight Infrastruktur integriert werden kann. Neben intuitiver Suchmaske und Reporting-Funktionen kann Logger als Bestandteil der ArcSight Data Platform auch auf Apache Kafka als Event Broker zurückgreifen. Dank des Appliance-Formfaktors (optional auch als Software) und der geschlossenen Architektur, entspricht Logger auch den Anforderungen verschiedener Compliance-Richtlinien.

Zusätzlich ist HPE ArcSight ESM ist in der Lage mit anderen Security Produkten zu interagieren (z.B. über Integration Commands oder Skripte) und sogar auf Vorfälle automatisch zu reagieren und bestimmte Aktionen auszuführen (Automated Response, HP ArcSight Threat Response Manager).

Warum HP ArcSight?

HP ArcSight ESM unterstützt bei der Erkennung von Angriffen und Unregelmäßigkeiten in ihrem Netzwerk:

  • unberechtigte Anmeldungen an Systemen in der Infrastruktur
  • Brute-Force Angriffe
  • verdächtige Datentransfers
  • Teilen von Nutzerdaten ("Account sharing")
  • unautorisierte administrative Tätigkeiten
  • Anmeldeversuche von nicht gewünschten Lokationen
  • verdächtiges Nutzerverhalten (Netzwerkkommunikation, Anmeldungen ausserhalb der Geschäftszeiten
  • Kommunikation (extern) zu Malware Servern ("Command and Control")

Webanwendungen sind mittlerweile allgegenwärtig und bergen ein großes Gefahrenpotenzial. Um sich vor Angriffen und Bedrohungen effektiv zu schützen ist es z.B. nötig kontinuierlich die Logdateien von Webservern zu monitoren. Sehr kurze Entwicklungszeiträume (Application/Development Lifecycle) können dazu führen, dass neue Angriffsvektoren auf die Webanwendung enstehen, da sich durch Änderungen im Quellcode neue Schwachstellen ergeben haben. Oftmals sind nur Intrusion Detection Systeme (IDS) im Einsatz, um Angriffe zu erkennen.

IDS-Systeme alleine reichen jedoch nicht aus:

  • in der Regel keine Möglichkeit den Datenaustausch zwischen Nutzer und Anwendung zu kontrollieren (verschlüsselter HTTP Traffic über SSL)
  • IDS arbeiten auf TCP/IP Layer und nicht dem HTTP Layer. Erkennung von Anomalien bei der Kommunikation ist möglich, aber keine Möglichkeit inhaltliche Anomalien zu erkennen.

Logdateien des Servers oder der Anwendung zeigen jedoch das ganze Bild und ermöglichen ein frühzeitiges Erkennen von Bedrohungen. Unter Umständen kann es vorkommen, dass Anwendungen keine brauchbaren Logdateien zur Verfügung stellen; so ist es nicht möglich sicherheitsrelevante Ereignisse und Aktivitäten der Nutzer auf der Anwendung zu erkennen.

Für Applikationen, die auf JAVA oder .NET basieren stellt hier HP ApplicationView eine Lösung dar. HP ApplicationView integriert sich in die Laufzeitumgebung der Anwendung und kann hier Nutzeraktivitäten und auch Datenbankaktivitäten aufzeichnen (Erkennung von z.B. XSS-Attacken, SQL-Injection).

Produkte wie Exchange, SharePoint oder MSSQL stellen ein weiteres Problem dar, da sie keine zentrale Logdatei von Ereignissen anlegen, sondern diese verteilt in der Anwendung anlegen. Hier ist z.B. LOGBinder in der Lage die Logs zentral über die APIs von Microsoft Exchange, MSSQL und SharePoint zu sammeln.

Sowohl HP ApplicationView, als auch LOGBinder ermöglichen es Anomalien in den Applikationen zu erkennen. Dabei muss jedoch ein Analyst aktiv nach bestimmten Verhaltensmustern und Ereignissen suchen. Bei der Menge an Logdateien ist dies eine fast unlösbare Aufgabe; hier unterstützt ein Security Information and Event Management (SIEM) System, zum Beispiel HP ArcSight ESM bei der Aufbereitung und Analyse der Logdateien. Logdateien werden an das SIEM System gesendet und dort in Echtzeit gegen vordefinierte Kriterien abgeglichen. Stimmt ein Ereignis oder eine Vielzahl von Ereignissen mit bestimmten Kriterien überein, können die entsprechenden Stellen automatisch alarmiert werden und die notwendigen Maßnahmen treffen.

Warum iT-CUBE?

agileSI Security Monitoring

iT-CUBE SYSTEMS hilft Ihnen dabei Ihre Applikationen und Server an ein SIEM-System wie HP ArcSight ESM anzubinden und Anomalien frühzeitig zu erkennen. Durch agileSI erhalten Sie eine 360° Rundumsicht im SIEM-System durch die Integration relevanter SAP Security Logs. Dadurch wird das Security Monitoring auf das nächste Level gehoben, da nun die Vorgänge außerhalb der Applikationswelt mit den Vorgängen innerhalb dieser, korreliert werden können.

Datasheet

Datasheet HPE ArcSight

Beispielreferenzen

iT-CUBE Kundenreferenz

Andere Lösungen im Bereich SIEM:

Das könnte Sie auch interessieren...

Ist der Betrieb eines SIEM zu aufwendig für Sie? Informieren Sie sich zu unseren Managed Security Services rund um SIEM.

LogRhythm – Flexibel, skalierbar, leistungsstark und mit viel Rhythmus im Blut

iT-CUBE Partner

Eine neue Generation SIEM, die eine unvergleichbare Benutzerfreundlichkeit mit höchster Effizienz vereint.

In den meisten Unternehmen liefern zahlreiche Sicherheitssensoren einen kontinuierlichen Strom an sicherheitsrelevanten Informationen und Ereignissen, wie beispielsweise Muster von Netzwerkaktivitäten, die für das Unternehmen untypisch sind. Auch haben die meisten Unternehmen in Erkennungstechnologien investiert, die Bedrohungen aufdecken und dabei Tausende von Events pro Stunde, in großen Unternehmen oftmals sogar pro Minute, aufzeichnen. Dieser kontinuierliche Datenstrom schafft jedoch keine Transparenz und kann Sicherheitsverantwortliche überfordern. Zudem ist es eine große Herausforderung die Bedrohungen, die ein echtes Risiko darstellen und eine weitere Untersuchung erfordern, zu erkennen.

Funktionsweise

Funktionsweise LogRhythm

LogRhythm nutzt eine Vielzahl an innovativen Regeln für die Erkennung von Verhaltensmustern, die die AI Engine von LogRhythm bietet. Die AI Engine umfasst verschiedene Analysetechniken wie beispielsweise die Verhaltensanalyse, maschinelles Lernen und maschinelle Analysen (Erkennung von Gesetzmäßigkeiten) sowie Datenkorrelation über verschiedene Quellen hinweg. So erhalten Sicherheitsverantwortliche fundierte Einblicke und Informationen zu kompromittierten Geräten, verbreiteter Malware, Cyber-Kriminellen, politisch motivierten Angriffsversuchen, Datenverlusten und mehr.

LogRhythm ermöglicht es, die Log-Daten über die gesamte IT-Infrastruktur hinweg zu sammeln, archivieren und die Log-Daten-Analyse zu automatisieren. Die Log-Daten werden für eine einfache und schnelle Analyse und Berichterstellung kategorisiert, identifiziert und normalisiert. Die Überwachungs- und Alarmfunktionen von LogRhythm erkennen kritische Ereignisse automatisch und benachrichtigen die verantwortlichen Mitarbeiter. Zusätzlich stellt das BSI IT-Grundschutz Reporting Package sicher, dass alle Anforderungen an die Berichterstattung erfüllt werden. Die Reporte können mit einem Mausklick oder zeitgesteuert und automatisiert erstellt werden.

LogRhythm liefert eine neue Generation an Fähigkeiten, wenn es um die Erkennung, Abwehr und die Reaktion auf die heutigen Cyber-Bedrohungen und Risiken geht. Die LogRhythm Security Intelligence-Plattform bietet:

  • SIEM und Log Management der neusten Generation

  • Host-Forensik und Dateiintegritätsüberwachung (FIM)

  • Netzwerk-Forensik mit Applikationserkennung (ID) und Full Packet Capture (Network Monitor)

  • modernste Maschinen-Analyse

  • erweiterte Korrelation & Mustererkennung

  • multidimensionale Anomalie-Erkennung via User/Host/Netzwerk/Applikation

  • schnelle, intelligente Suche

  • Analyse großer Datenmengen mittels grafischer Darstellung, Pivot und gezielten Drill-Downs

  • Workflow-basiertes automatisches Incident Response-Verfahren

  • integriertes Case Management

Warum LogRhythm?

LogRhythm kann helfen verschiedenste Anomalien oder Angriffe zu erkennen:

  • Ransomware Aktivitäten (Malware beginnt Daten zu verschlüsseln)

  • verteilte Bruteforce Angriffe (viele verschiedene Angreifer)

  • Anmeldung von gesperrten Ländern (Anmeldungen von Land X sind nicht erwünscht)

  • ein kompromittierter Computer versucht Anmeldungen auf interne Computer

  • ein VPN Benutzer meldet sich an und wenig später von einem ganz anderen Land

  • ein Benutzerkonto wird der Administratorengruppe hinzugefügt

  • mehrere Benutzerkonten werden von einem Administrator gelöscht

  • Benutzerpasswörter werden von einem fremden Konto geändert

SmartResponse™
SmartResponse™

Nachdem Regeln in LogRhythm hinterlegt wurden, wird die Infrastruktur in Echtzeit analysiert und sämtliche von Systemen generierte Log-Daten mit erkannten Mustern abgeglichen. Dadurch kann LogRhythm Versuche, ins Netzwerk einzudringen, automatisch erkennen und sofort reagieren. Attacken lassen sich nahezu in Echtzeit abwehren – noch bevor sie Schäden anrichten.

Mittels des Moduls „SmartResponse™“ kann LogRhythm sogar dabei helfen, einen Malware-Angriff per E-Mail abzuwehren. Hierbei wird, bei einem sehr verdächtigen Verhalten eines Computers im Unternehmensnetzwerk, dessen Verbindung zum Netzwerk automatisch getrennt: LogRhythm erledigt dies durch Steuersignale direkt an den Switch, der dann sofort den betreffenden Port abschaltet und somit den infizierten Computer isoliert.

Ein möglicher Ablauf ist wie folgt: Ein Benutzer im Unternehmensnetzwerk erhält eine E-Mail mit einem Anhang, der Schadcode enthält. Öffnet der Benutzer nun diesen Anhang, installiert sich ein Schadprogramm auf seinem Computer und nimmt sofort Verbindung zu einem Command-and-Control-Server im Internet auf. Der Angreifer hat nun die volle Kontrolle über den infizierten Computer und kann mit jenem als Sprungbrett weitere Ziele im Netzwerk des Unternehmens angreifen. LogRhythm hat jedoch in der Zwischenzeit das Verhalten beobachtet und mit Hilfe von Regeln unterschiedliche Alarme ausgelöst.

Die Gesamtheit der Alarme erhärten einen Hinweis auf einen Angriff. Daraufhin reagiert LogRhythm und nutzt die hinterlegten Skripte für das Modul „SmartResponse™“, um den betreffenden Computer auf Netzwerkebene vom Rest des Unternehmensnetzwerks zu isolieren. Der Computer kann nun kein Schaden mehr anrichten und die Logs über den Vorfall stehen, in forensischer Qualität gesichert, jederzeit zur Verfügung.

Warum iT-CUBE?

Es kommt vor, dass Unternehmen bisher noch keine Berührungspunkte mit LogRhythm oder einem SIEM gehabt haben. Häufig ist es so, dass zum ersten Mal eine LogRhythm Implementierung durchgeführt werden soll. Da es in fast allen Fällen bis dato keine zentrale Überwachung der Logquellen oder über die im Netzwerk kreisenden Datenpakete gibt, prüft iT-CUBE SYSTEMS zusammen mit dem Kunden, welche Komponenten wirklich benötigt werden und wo das System am besten aufgebaut werden soll. Vielen Kunden ist es wichtig, dass der Hersteller (LogRhythm) sowie der Dienstleister (iT-CUBE SYSTEMS AG) Hand in Hand arbeiten, um so einen reibungslosen Ablauf während der Implementierung gewährleisten zu können. Da iT-CUBE SYSTEMS einen engen Kontakt mit den Herstellen pflegt, können wir selbst höchsten Ansprüchen genügen.

Manchmal gibt es auch Besonderheiten, die ein Kunde wünscht. Teilweise stellt die Überwachung der Active Directory eine Herausforderung dar, da diese hoch komplex aufgebaut sein kann. Das dazu verwendete Tool „Netwrix“ ist in der Lage alle Einstellungen und Änderungen innerhalb des ADs auszulesen und an LogRhythm weiterzuleiten. Dazu müssen jedoch eine eigene MPE-Rule (zum parsen der Logs) geschrieben werden. Darauf aufbauend können dann Use Cases entwickelt werden, die den Kunden alarmieren sobald Änderungen oder Anomalien festgestellt werden.

iT-CUBE SYSTEMS hilft bei der Umsetzung und löst selbst diese Besonderheiten durch jahrelange Erfahrung im SIEM Umfeld, sodass der Kunde ein voll funktionsfähiges SIEM bekommt, welches all seine Ansprüche erfüllt.

Datasheet

Datasheet LogRhythm

Andere Lösungen im Bereich SIEM:

Das könnte Sie auch interessieren...

Ist der Betrieb eines SIEM zu aufwendig für Sie? Informieren Sie sich zu unseren Managed Security Services rund um SIEM.

Security Data Warehouse – Next Generation Security Platform

iT-CUBE Partner

Traditionelle SIEM-Lösungen sind den heutigen Anforderungen an eine Next Generation Security Monitoring-Lösung nicht mehr gewachsen. In der Regel sind diese Lösungen sehr gut in der Echtzeitkorrelation, haben aber Defizite wenn es um historische Analysen geht (die klassische IOC Frage: „Wer hat im Zeitraum der letzten 4 Wochen noch auf eine bestimmte URL zugegriffen?“).

Um aktuelle Angriffsszenarien erkennen zu können ist das klassische statische Security Monitoring nicht mehr ausreichend. Next Generation Security Monitoring Lösungen wie die Splunk Enterprise Security App ermöglichen ein analytisch getriebenes Security Monitoring sowie die Integration der Logdaten aller Systeme und Prozesse des Unternehmens, um den Security-Spezialisten die Analyse und das Erkennen von Vorfällen zu ermöglichen.

Funktionsweise

Die Splunk Enterprise Security App (ES App) ist eine „Next Generation“ Security Plattform zur Umsetzung von SIEM Use Cases. Sie basiert auf der Big Data Plattform Splunk. Die Lösung enthält folgende Features:

  • automatisierte vordefinierte Korrelationssuchen (auch in Echtzeit)

  • Integration von Threat Intelligence Feeds

  • risikobasierte Analyse zur Anpassung des Sicherheitsniveaus an Ihr Unternehmen

  • Incident Review und forensische Analyse

  • Integration von Thread Intelligence Feeds

  • Threat Intelligence Sharing über OpenIOC und STIX/TAXII

  • Security Reporting

Warum Splunk ES?

Splunk Dashboard

Die Splunk ES App unterstützt bei der Erkennung von Angriffen und Anomalien und bietet Realtime Monitoring von allen Datenquellen:

  • Angreifer und Angriffe schneller erkennen durch die verhaltensbasierte Analyse der Daten
  • Echtzeit und historische Suchen und Analysen
  • Schutz vor dem Verlust von Daten durch Erkennung von kompromitierten Systemen und Accounts
  • zentraler Blick auf die Daten nicht nur aus der Sicht der Security sondern auch aus Operationssicht
  • Ransomware Aktivitäten (Malware beginnt Daten zu verschlüsseln)
  • verteile Bruteforce Angriffe (viele verschiedene Angreifer)
  • Anmeldung von gesperrten Ländern (Anmeldungen von Land X sind nicht erwünscht)
  • kompromittierter Computer versucht Anmeldungen auf interne Computer
  • VPN Benutzer meldet sich an und wenig später von einem ganz anderen Land
  • ein Benutzerkonto wird der Administratorengruppe hinzugefügt
  • mehrere Benutzerkonten werden von einem Administrator gelöscht
  • Benutzerpasswörter werden von einem fremden Konto geändert
  • Reports, Dashboard und Security Metriken schnell im Überblick

Warum iT-CUBE?

  • Unterstützung bei der Konzeption und Implementierung der ES App sowie bei ggf. bei der Splunk Plattform
  • Erfahrungen aus vielen Log- und SIEM Projekten
  • umfassende Unterstützung bei Konzeption und Implementierung
  • Umsetzung von Use Cases
  • Schulung der Mitarbeiter
  • viel Produkt Know-how und Erfahrung im IT Security Umfeld
  • Unterstützung bei der Integration von Logquellen
  • iT-CUBE kennt die meisten Systeme die angebunden werden sollen, ob Firewall, IPS, Windows, Malware Protection, AV, etc.
  • Interaktion mit Dritt-Produkten und enger Kontakt zu Technologieherstellern

Datasheet

Datasheet SplunkES

Andere Lösungen im Bereich SIEM:

 

Das könnte Sie auch interessieren...

Ist der Betrieb eines SIEM zu aufwendig für Sie? Informieren Sie sich zu unseren Managed Security Services rund um SIEM.