Menu

Die Nutzung von Splunk für eine vollständige und nahtlose Netzwerksichtbarkeit

Fallstudie

Herausforderung

Lösung

Vorteile

Während Splunk eine beträchtliche Menge an Daten sammelt, stellt es keine vollständige Aufzeichnung von dem zur Verfügung, was in einem Netzwerk gesendet und empfangen wurde. Sicherheits- und Netzwerkzentren benötigen daher ein Instrument, um jegliche Ereignisse zu untersuchen, die verdächtig erscheinen.

Mit der Splunk/Pandion Integration wird alles aufgezeichnet und auf der Festplatte gespeichert, wodurch die Daten unmittelbar für weitere Untersuchungen abgerufen werden können.

Dank seiner Branchen führenden Suchgeschwindigkeit bietet Pandion bereits in nur wenigen Sekunden umfassende Einblicke, sodass der Splunk-Benutzer den vollen Umfang des Ereignisses bestimmen und Gegenmaßnahmen anbieten kann. Pandion lässt sich nahtlos in jede bestehende Splunk-Lösung integrieren, wodurch Unternehmen frühere Investitionen voll ausnutzen können.

Splunk kurz dargestellt
Splunk ist die führende Softwareplattform für Maschinendaten, die es Kunden ermöglicht eine operative Datenerfassung in Echtzeit zu nutzen. Seine Aufgabe ist es, die Herausforderungen und Möglichkeiten einer Verwaltung von maschinell erzeugten Datenmengen anzusprechen.

 

Herausforderung: Das bewältigen von Milliarden von Protokollen
Als einer der vielseitigsten Event Management Tools auf dem Markt, wird Splunk branchenübergreifend genutzt, um Daten aus Sicherheits-, Netzwerk- und Server-Ressourcen in der gesamten Unternehmensinfrastruktur zu sammeln. Um einen notwendigen Einblick in die Netzwerksicherheit und Performance zu bieten, muss jede ungewöhnliche Aktivität, die von Splunk erkannt wurde, analysiert und priorisiert werden.

Diese Aufgabe wird typischerweise von Sicherheits- und Netzwerkzentren (SOCs und NOCs) verwaltet, deren Aufgabe es ist, Milliarden von Protokollbenachrichtigungen zu den Ereignissen mit höchster Priorität zu. Obwohl Splunk eine beträchtliche Menge an Ereignisdaten sammelt, stellt es keine vollständige Aufzeichnung von dem zur Verfügung, was in einem Netzwerk gesendet und empfangen wurde. SOCs und NOCs benötigen daher einen Weg, um alle verdächtig erscheinenden Ereignisse zu bestätigen und zu lösen.

 

“Die durchschnittlichen Kosten, welche verschwendet werden, um auf ungenaue und fehlerhafte Informationen zu reagieren, kann im Jahr durchschnittlich 1,27 Millionen Dollar betragen.”

 

Ponemon Institute Studie

 

Lösung: Splunk/Pandion Integration
Und genau hier kommt Napatech Pandion ins Spiel. Pandion bietet eine vollständige und kontinuierliche Paketerfassung, die auf Splunk-Events oder jede andere Anomalie abgestimmt werden kann. Wie wir unten zeigen werden, wird alles auf der Festplatte gespeichert, wonach die Daten abschließend von Betriebspersonal für weitere Untersuchungen verwendet werden können.

splunk for complete and seamless network visibility

Fall 1
In unserem ersten Anwendungsfall untersucht ein SOC-Sicherheitsingenieur, der für ein Finanzdienstleistungsunternehmen arbeitet, ein von Suricata gesendetes Splunk-Event mit einem verdächtigen Domain-Namen. Ein entsprechendes Ereignis aus der Firewall zeigt an, dass versucht wurde, eine Verbindung zur aufgelösten Adresse aufzubauen. Um diese Aktivität weiter zu untersuchen, klickt der SOC-Ingenieur auf das Event in Splunk und nutzt den Pandion-Workflow, wonach er in nur wenigen Sekunden eine vollständige Erfassung aller Datenpakete entsprechend der Namensauflösung und der nachfolgenden Verbindung sieht.

Ohne diese Information müsste die Entscheidung, das Ereignis zu melden oder zu vernachlässigen, lediglich auf einer Annahme basieren. Aber durch die Analyse der Paketdaten kann der SOC-Ingenieur genau bestimmen, was an die verdächtige Adresse gesendet/empfangen wurde, ob ein schädliches Dokument heruntergeladen wurde oder nicht, und ob irgendwelche Informationen tatsächlich aus der Infrastruktur verschickt wurden. Dadurch kann das Splunk-Event auf Schweregrad und Auswirkungen ohne Vermutungen oder unvollständige Infos aufgelöst werden.

 

Fall 2
In unserem zweiten Anwendungsfall sieht ein NOC-Analytiker, der bei einer Social Media Agentur arbeitet, einen Anwendungsalarm in Splunk für eine langsame/fehlende Antwort und muss den genauen Problembereich identifizieren.Dies ist eine Aufgabe, die zeitaufwendig und komplex sein könnte. Mit der Pandion/Splunk Integration kann der NOC-Analytiker einfach auf das Event klicken, nach Paketen suchen und schnell feststellen, welcher Infrastrukturbereich wahrscheinlich schuld ist, egal ob Netzwerk, Server oder Datenbank. Zwangsläufig würden die Interessenvertreter in jedem dieser Gebiete nur eine Sicht auf ihre eigene Domäne haben und würden vermutlich behaupten, dass es "keine Schwierigkeiten" gibt. Aber mit dieser Lösung werden die unverarbeiteten Datenpakete endgültig zeigen, welcher Teil des Unternehmens Maßnahmen ergreifen und eine Ursachenanalyse vornehmen muss.

 

Fall 3
In unserem dritten Anwendungsfall bemerkt ein Sicherheitsingenieur, der für ein großes Verteidigungsunternehmen arbeitet, dass ein Netzwerksicherheitsgerät eine Warnung in Splunk gesendet hat, was auf einen verdächtigen SSL-Verkehr hinweist. In diesem Fall kann der Server anfällig für "Heartbleed" sein, wobei die Sicherheitsanfälligkeit bestimmte Informationen aus den kürzlichen Web-Transaktionen offenbart, einschließlich Benutzernamen und Passwörter. Der Sicherheitsingenieur klickt auf das Event in Splunk und durch eine Analyse der Pakete, kann er direkt bestimmen:

  1. Ob der Fehler erfolgreich ausgenutzt wurde
  2. Welche Informationen wurden durch die Schwachstelle erhalten
 

“Eine Organisation kann pro Woche durchschnittlich fast 17.000 Malware-Warnungen erhalten. Die Zeit, auf diese Warnungen zu reagieren, ist eine massive Belastung für die finanziellen Ressourcen eines Unternehmens und des IT-Sicherheitspersonals.”

 

Ponemon Institute Studie

 

Vorteile
Wie wir gesehen haben, bietet Pandion einen einfachen Workflow. Durch das Anklicken eines beliebigen Ereignisses in Splunk kann der Benutzer unmittelbar eine komplette Netzwerkpaketverfolgung erhalten, die mit dem Splunk-Ereignis übereinstimmt. Dank seiner Branchen führenden Suchgeschwindigkeit bietet Pandion in nur wenigen Sekunden eine Lösung, die es dem Splunk-Benutzer ermöglicht, den vollen Umfang des Ereignisses zu ermitteln und sofort die notwendigen Gegenmaßnahmen bereitzustellen. Pandion kann nahtlos in jede bestehende Splunk-Lösung integriert werden, sodass Unternehmen frühere Investitionen nutzen und erhebliche Einsparungen erzielen können.

Wir beraten Sie gerne und freuen uns über Ihre Kontaktaufnahme!

NEOX - Standort

Unsere Partner

IT Security made in Germany TeleTrusT Quality Seal


Kontakt zu uns!

NEOX NETWORKS GmbH
Otto-Hahn Strasse 8
63225 Langen / Frankfurt am Main
Tel: +49 6103 37 215 910
Fax: +49 6103 37 215 919
Email: info@neox-networks.com
Web: http://www.neox-networks.com
Anfahrt >>