Leistungsstarke Security Ops, leistungsstarke Segmentierung

Angesichts all der leistungsstarken Tools, die ein Unternehmen als Teil eines effektiven SecOps-Arsenals einsetzen kann, fragen wir uns, ob es zu viel des Guten geben kann.   

Um die Sicherheitsabläufe dieser vielen Tools – und die von ihnen generierten Warnungen – zu verbessern, sind SIEMs das, worauf sich viele von uns verlassen, um die Sicherheit zentral über eine "einzige Glasscheibe" zu verwalten, wie das Klischee sagt. 

Teams verlassen sich aus mehreren wichtigen Gründen auf ihr SIEM, um Einblicke in ihre gesamte Sicherheitslage zu erhalten. Erstens identifizieren sie schnell ernsthafte Bedrohungen, denen das Unternehmen ausgesetzt sein könnte. Zweitens ermöglicht es kürzere Untersuchungszeiten, um den relevanten Kontext und die Details zu den Angriffen zu erhalten. Und drittens können Teams mit automatisierteren Aktionen und Workflows schneller reagieren.   

Vor diesem Hintergrund müssen die Anbieter eine saubere Integration mit SIEMs anbieten, um den Sicherheitsteams das Leben zu erleichtern.  

Aus diesem Grund verfügt Illumio über eine tiefe Integration mit Splunk. Gemeinsame Kunden verstehen ihre Sicherheitslage besser und können mit wenigen Klicks auf Angriffe reagieren. Die Illumio-Integration verwendet intuitive und sorgfältig gestaltete Visualisierungen, sodass Teams auf einen Blick sehen und verstehen können, was passiert, und mit einem Klick reagieren können. Mit Splunk und Illumio teilen wir Teams mit, welche Maschinen im Rechenzentrum kompromittiert werden könnten oder ob es eine mangelhafte Segmentierungsrichtlinie gibt. 

Die Möglichkeit, diese wichtigen Fragen zu beantworten, ist jedoch nur der Anfang der Vorteile unserer Splunk-Integration: 

• Wissen, wo Sie wertvolle Teamressourcen einsetzen können: Ereigniswarnungen heben die auftretenden Sicherheitsereignisse deutlich hervor, damit Teams wissen, welche Assets betroffen sein könnten – und wo sie sofort reagieren müssen. 
• Wissen, ob die Segmentierung sicher ist: Erfahrene Angreifer können versuchen, Firewalls und Segmentierungseinstellungen zu manipulieren, um Zugriff auf Daten zu erhalten. Aus diesem Grund zeigen wir Ihnen, wie sicher Ihre Segmentierung ist, indem wir Firewall-Manipulationsversuche in iptables oder Microsoft WFP (Windows Filtering Platform) hervorheben. Dies zeigt Ihnen sofort, wenn ein Server versucht, illegale Berechtigungen zu erlangen oder Sicherheitsrichtlinien zu umgehen.  
• Sehen Sie sich laufende Angriffsversuche an: Bei einem Angriff gehen der lateralen Bewegung oft Port-Scans voraus. Obwohl sie nicht von Natur aus schlecht sind, deuten Port-Scans oft darauf hin, dass jemand Aufklärung durchführt, um zu sehen, wo er sich intern bewegen kann. Unsere Integration hebt Port-Scans hervor, um sofort zu wissen, dass es verdächtige Aktivitäten gibt, die auf einen bevorstehenden Angriff hinweisen. 
• Sehen Sie, welche Maschinen sich verdächtig verhalten: Unsere klare Visualisierung des am häufigsten blockierten Datenverkehrs nach Host, damit Sie schnell wissen, ob ein Host angegriffen wird. Darüber hinaus kann Ihnen diese Visualisierung auch mitteilen, ob die Host-Segmentierungsrichtlinie falsch ist, was zu unerwartetem blockiertem Datenverkehr führt. 
• Fädeln Sie die Nadel perfekt zwischen Business und Secops ein: Auf einen Blick wissen Sie über potenziell blockierten Datenverkehr Bescheid, bevor Sie Richtlinien durchsetzen. Das bedeutet, dass Sie Segmentierungsrichtlinien vor der Inbetriebnahme problemlos bestätigen können, um sicherzustellen, dass Sie die Geschäftsanwendung, die Sie schützen möchten, nicht beschädigen.   
• Schnelle Untersuchung: Wenn Sie eine Arbeitsauslastung untersuchen, die abnormales Verhalten aufweist, sollten Sie sofort herausfinden, was das Problem ist. Alle Workload-Details, Verkehrsereignisse und Überwachungsereignisse werden in einer einzigen Ansicht zusammengeführt, wodurch der Aufwand für die Untersuchung reduziert wird. 
• Stoppen Sie Angriffe mit einem Klick: Unsere Integration sorgt für eine klare Sicherheitstransparenz in Splunk, aber ebenso wichtig ist, dass sie es Teams ermöglicht, Maßnahmen zu ergreifen. Sie können verdächtige Workloads direkt von Splunk aus mit einem einzigen Klick unter Quarantäne stellen.   
• Erstellen Sie Benachrichtigungen mit wenigen Klicks: Das Erstellen von Warnungen erfordert, dass Teams Syslog-Meldungen beherrschen, ihren Inhalt sowie den Kontext gründlich verstehen und dann reguläre Ausdrücke erstellen. Mit einer grafischen Benutzeroberfläche, die es Benutzern ermöglicht, neue Alarmkonfigurationen für die kritischsten von Illumio PCE generierten Nachrichten zu erstellen, können Benutzer schnell Alarme von Splunk nutzen, um ihre Illumio-Bereitstellung zu verwalten.  

Wir werden uns die Funktionen unserer Splunk-Integration in einem anderen Blogbeitrag genauer ansehen, also bleiben Sie ruhig. 

Um mit unserer neuesten Version zu beginnen, gehen Sie bitte zu Splunkbase und laden Sie es herunter: https://splunkbase.splunk.com/app/3658/.