Holen Sie sich hier das PDF zum Download: Vom Logging zum Managed Security Operations Center

 

1. Die Ausgangssituation

Unser Kunde – ein Full-Service-Provider im Bereich interner Ratingverfahren für das Großkundengeschäft – nutzt Splunk Enterprise seit 2019 zum Sammeln und Auswerten von Logdaten aus eigenen Applikationen.

Das Sammeln von Daten und die Verwendung von Standard-Dashboards nutzen jedoch oft nur einen Bruchteil des Potenzials dieser Daten.

Die Definition von individuellen, an die Kundenbedürfnisse angepassten Dashboards, um aus den gesammelten Daten relevante Erkenntnisse zu generieren, bringt verschiedene Herausforderungen mit sich, die sowohl technischer als auch organisatorischer Natur sein können. Die Rohdaten müssen entsprechend transformiert, gefiltert und aggregiert werden, um sinnvolle Metriken zu erzeugen.

Das beginnt bereits bei der Datenintegration. Daten stammen oft aus verschiedenen Quellen, die unterschiedliche Formate, Strukturen und Aktualisierungsintervalle haben. Die Wahl der richtigen Struktur ist entscheidend für Performance und Skalierbarkeit. Große Datenmengen erfordern effiziente Abfragen und Caching-Strategien, um Performance-Probleme zu vermeiden. Zu viele Metriken oder schlechte Anordnung von Elementen können die Lesbarkeit und Interpretation erschweren. Filter, Drilldowns und dynamische Visualisierungen müssen sinnvoll integriert werden.

Hier bedarf es einer zielgerichteten und vertrauensvollen Zusammenarbeit mit dem Kunden, um die Anforderungen zu verstehen, zu interpretieren und effektiv umzusetzen.

2. Anforderungsanalyse

Ende 2023 stimmten wir uns mit dem CISO unseres Kunden dazu ab, Splunk und Splunk Enterprise Security als SIEM im Unternehmen zu implementieren. Die Integration sollte in die bestehenden Systeme des Kunden erfolgen, die vorwiegend On-Premise betrieben werden.

Auch sollte es mit der 24/7 Alarmierung eine korrespondierende Überwachung geben, welche mit einem Managed SOC ihre zweite Ausbaustufe erreichen würde.

Wir entwickelten gemeinsam mit unserem Kunden und unserem Managed Security Team ein Konzept, um Splunk und Splunk Enterprise Security mit Cribl als “Datendrehscheibe” im Rechenzentrum des Kunden zu implementieren.

Schnell wurde klar, dass es einer sehr engen Abstimmung und Zusammenarbeit bedarf, um das Potential der gewählten Lösung zu nutzen.

Denn auch das schönste Dashboard ist nur nützlich, wenn es tatsächlich aktiv durch Anwender genutzt wird. Schulungen und Feedbackschleifen sind wichtig. Dashboards müssen regelmäßig aktualisiert und an neue Anforderungen angepasst werden.

Und an dieser Stelle kommt die NetDescribe GmbH ins Spiel. Wir unterstützen die Fachabteilungen im Rahmen von Consulting und technischen Workshops, mit dem Ziel, immer bessere Analysen, Dashboards und Reports zu generieren und damit unserem Kunden den bestmöglichen Nutzen aus seinen Software Produkten in Kombination mit seinen Daten und Prozessen zu garantieren.

3. Der Use Case

Unser Kunde unterstützt Banken und Finanzinstitute umfassend bei der Entwicklung, Implementierung, Pflege und Optimierung von internen Ratingsystemen. Diese Ratingsysteme dienen der Einschätzung der Kreditwürdigkeit von Großkunden (z. B. Unternehmen, institutionelle Investoren). Durch diese Dienstleistungen stellt ein Full-Service-Provider sicher, dass Banken effiziente, regulatorisch konforme und wettbewerbsfähige Ratingverfahren im Großkundengeschäft einsetzen können.

Core Business des Kunden ist die Sicherstellung der Datenintegrität und -verfügbarkeit und damit ist ein SOC – und besser noch ein Managed SOC – unerlässlich, um Daten zu schützen, regulatorische Vorgaben einzuhalten und Cyberangriffe frühzeitig zu erkennen. Da solche Unternehmen mit kritischen Finanzinformationen arbeiten, ist ein SOC ein zentraler Bestandteil der IT-Sicherheitsstrategie zum

  • Schutz sensibler Finanz- und Kundendaten,
  • der Einhaltung regulatorischer Anforderungen (DSGVO, DORA, BaFin…),
  • der Abwehr von Cyberangriffen auf kritische Infrastrukturen,
  • der Absicherung der IT-Infrastruktur und Cloud-Umgebungen und
  • der Vermeidung finanzieller Schäden und Reputationsverluste.

Die Lösung von NetDescribe

Implementation von Splunk und Splunk Enterprise Security als SIEM im Unternehmen. 24/7 Überwachung und stetige Optimierung mit unseren Consultants im Managed Security Service.

4. Die Umsetzung

Aufgrund der jahrelangen Erfahrung unserer Consultants konnte das Projekt zum Aufbau des SIEM in der geplanten Zeit und ohne Probleme umgesetzt werden. Nach der Implementierung wurde sukzessive der Betrieb des SIEM übernommen und die geplanten Use Cases von unserem Team als Managed Security Service betrieben und kontinuierlich weiter entwickelt.

Aktuell sind etwa 100 Use Cases aktiv, darunter:

  • Erkennung von Brute-Force-Angriffen durch Korrelation und Analyse von Authentifizierungsversuchen
  • Geobasierte Anomalieerkennung von Logins aus nicht autorisierten oder unbekannten Regionen
  • Detektion unerwarteter Treiberänderungen zur Identifizierung potenzieller Persistenz-mechanismen oder Manipulationen
  • Prozessüberwachung mittels Sysmon, einschließlich Anomalien in Prozessstarts, Parent-Child-Beziehungen und ungewöhnlichem Verhalten
  • Überwachung privilegierter und risikobehafteter Benutzerkonten, wie z. B. Office 365 Risky Users oder lokale Administratoren, zur frühzeitigen Identifikation kompromittierter Identitäten

Managed SOC – die Lösung bei fehlenden Inhouse-Ressourcen

Wie in vielen Unternehmen fehlten unserem Kunden die technischen Ressourcen und das notwendige Know-how, um das Projekt mit eigenem Fachpersonal aus- und aufzubauen. Hier bieten externe Ressourcen im Rahmen des Outsourcing an NetDescribe eine wichtige Ergänzung und eröffnen die Möglichkeit einer Betriebsunterstützung durch unsere Consultants.

SIEM-Aufbau

Die “Datendrehscheibe” bietet Ihnen eine Observability Pipeline, die Ihnen die Flexibilität gibt, Daten von jeder Quelle zu jedem Ziel innerhalb Ihrer bestehenden Dateninfrastruktur zu sammeln, zu reduzieren, anzureichern, zu normalisieren und weiterzuleiten.

 

Auszug aus dem Dashboard*

MITRE Mapping*

MITRE Mapping bezeichnet die Zuordnung von sicherheitsrelevanten Erkenntnissen, Bedrohungen oder Angriffstechniken zu den MITRE ATT&CK-Frameworks. Dabei wird eine Cyber-Bedrohung, ein Angriff oder ein Sicherheitsvorfall auf spezifische Taktiken und Techniken innerhalb der MITRE ATT&CK-Matrix abgebildet.

Lesen Sie hierzu auch unseren NetDescribe Security TAKE AWAY #3 – MITRE ATT&CK Matrix

Warum ist MITRE Mapping wichtig?

  • Erkennung von Angriffen: Sicherheitsereignisse und Bedrohungen können mit MITRE ATT&CK-Techniken abgeglichen werden, um zu verstehen, welche Angriffswege genutzt wurden.
  • Incident Response: Teams können schneller Maßnahmen ergreifen, wenn ein Angriff einer bestimmten MITRE-Taktik zugeordnet wurde.
  • Bedrohungsmodellierung: Sicherheitsstrategien können verbessert werden, indem Angriffsmuster aus der Vergangenheit analysiert und mit MITRE-Techniken verglichen werden.
  • Automatisierung & SIEM/SOAR-Integration: Viele Sicherheitsplattformen (z. B. SIEMs, EDRs) nutzen MITRE Mapping, um Ereignisse automatisch mit ATT&CK-Techniken zu verknüpfen.

*Quelle: Splunk

4. Die Ergebnisse

  • Da unser Managed Security Service Team die Alarme für unsere Kunden kontinuierlich überwacht und die Analyse der Vorfälle/Incidents vorantreibt, entlasten wir das Betriebsteam des Kunden.
  • Unser Kunde hat die Möglichkeit, seine Use Cases kontinuierlich an die aktuellen Anforderungen anzupassen und damit die optimalen Erkenntnisse aus den gesammelten Daten zu ziehen.
  • Optimaler Einsatz von Ressourcen durch NetDescribe Managed Services:
    Der Kunde kauft mit den externen Services IT-Ressourcen und Expertenwissen ein, ohne dass eigene Mitarbeiter:innen langwierig geschult und von anderen wichtigen Projekten abgezogen werden müssen.
  • Security auf höchstem Niveau:
    Gerade kleine und mittelständische Unternehmen profitieren von dem konzentrierten Know-how innerhalb des Managed Security Service Teams. Langjährige Expertise unserer SOC Analysten sorgt für den Schutz Ihrer sensiblen Daten und die Aufrechterhaltung einer starken Cybersicherheitsstruktur.
  • Unser Managed SOC erhöht die Sicherheit, senkt Risiken und sorgt für Compliance. Insbesondere Unternehmen, die im Bereich kritischer Infrastrukturen tätig sind oder mit diesen zusammenarbeiten, profitieren von einem Managed SOC, da es sensible Daten schützt und strenge regulatorische Anforderungen erfüllt.

 

Das Splunk Portfolio

Splunk Plattform.
Splunk Enterprise sammelt und indiziert in Echtzeit alle Maschinendaten, die in physikalischen, virtuellen oder Cloud-Umgebungen erzeugt werden. Dies können Daten aus Applikationen, Servern, Netzwerken, Sensoren oder Telekommunikationsgeräten sein. Die Lösung korreliert komplexe Ereignisse, ermöglicht aussagekräftige Einblicke in Maschinendaten und vereinfacht Analysen.

Splunk für Sicherheit.
Splunk Enterprise Security verbessert alle Sicherheitsprozesse und gibt Ihnen als analysegestützte SIEM-Lösung (Security Information and Event Management) die ganzheitliche Sicht, um erzeugte Maschinendaten (z. B. Angaben über Netzwerke, Endpunkte, Zugriffe, Schwachstellen und Identitätsdaten) sicher nutzen zu können und um Sicherheitsverstöße zu reduzieren.

Splunk für IT- und Business Services.
Splunk IT Service Intelligence (ITSI) visualisiert als Monitoring- und Analyselösung Zustandsdaten und Key-Performance-Indikatoren (KPIs) von kritischen IT- und Business Services. Splunk ITSI nutzt maschinengetriebene (künstliche) Intelligenz, identifiziert bestehende und potenzielle Probleme, priorisiert die schnelle Wiederherstellung geschäftskritischer Dienste und stellt analytisch betriebene IT-Operations bereit.

Die Splunk-Funktionen auf einen Blick

Sammlung und Indizierung von Maschinendaten
Eventerfassung in Echtzeit, universelle Indizierung, Adapterentfall, Verwendung von Metrikdaten, Zeitstempel für Events

Suche und Überprüfung
Echtzeitsuche, Transaktionssuche, interaktive Ergebnisse

Korrelation und Analyse
Machine-Learning-basierte KI, Korrelation komplexer Events, Ereignisanmerkungen, Mustererkennung

Visualisierung und Reporting
Dashboard-Erstellung, Automatisierung von Berichten

Überwachung und Alarmierung
Monitoring von Ereignissen und KPIs, proaktive Benachrichtigungen

Sicherheit und Verwaltung
Verschlüsselter Zugriff auf Datenströme, gesicherter Benutzerzugriff

 

Holen Sie sich hier das PDF zum Download: Vom Logging zum Managed Security Operations Center