Foto: Splunk
Im Rahmen seiner online stattfindenden Splunk Conference 2021 hat der Datenplattformanbieter Splunk auch eine Reihe neuer Angebote vorgestellt. Grundsätzlich geht es darum, aus der mächtigen, aber manchmal auch schwer handhabbare Plattform schnell einsetzbare Pakete für bestimmte, gängige Anwendungsfälle zu schnüren. Schwerpunkte sind - wie von Splunk nicht anders zu erwarten - IT-Sicherheit und IT-Betrieb.
Verbesserungen kündigt das Unternehmen bei der im Juli vorgestellten Splunk Security Cloud, Splunk Enterprise Security und Splunk SOAR an. Alle drei sollen dazu beitragen, dass Unternehmen oder auch Managed Service Provider mit der dadurch bereitgestellten Intelligence-, Analyse- und Automatisierungstechnologie eine umfassende Plattform für Security Operations Center (SOC) aufbauen können.
Niedrigere Einstiegshürden für den Start mit Splunk
Die cloudbasierende SOC-Plattform soll die Hürden für den Start mit Splunk reduzieren und im Einsatz schneller zu Ergebnissen führen. Der Hersteller geht also stärker dazu über, nicht mehr nur einen vielfältigen aber großen Werkzeugkasten anzubieten, sondern Angebote zu entwickeln, die für bestimmte Aufgaben schnell einsatzbereit sind. Bereits früher gab es von Partnern dafür Appliance-basierende Ansätze. Nun schlägt auch Splunk diesen Weg ein, verzichtet aber auf die Bündelung mit der Hardware.
"Da sich viele Sicherheitsprodukte untereinander nicht integrieren lassen, wird es für Sicherheitsteams zunehmend schwierig, eine durchgängige End-to-End-Transparenz über lokale, hybride und Cloud-basierte Umgebungen hinweg aufrechtzuerhalten", teilt Splunk mit. Dadurch könnten blinde Flecken entstehen, die Cyberangreifer ausnutzen können.
"SOCs haben deshalb mitunter Schwierigkeiten, Cyberangriffe schnell zu erkennen, zu untersuchen und abzuwehren. Zur Lösung dieser Probleme bietet Splunk eine umfassende, cloudbasierte SOC-Plattform, die sich auf Analytics und Automatisierung stützt." Die soll Unternehmen auch bei zunehmender Komplexität helfen, die Kontrolle und Übersicht zu behalten. Dabei spielen Technologiepartnerschaften eine wichtige Rolle, wie die über 2.400 Integrationslösungen von Partnern belegen.
Splunk Enterprise Security 7.0 bietet Zugriff auf zusätzliche Visualisierungen, die auch der Unternehmensführung Einblick in Schlüsselmetriken und den Gesamtzustand der Cyber-Sicherheitsbemühungen des Unternehmens geben. Bei Splunk Enterprise Security wurde das Risk-Based Alerting (RBA) erweitert, um dadurch auch die Möglichkeiten zur Bedrohungserkennung zu verbessern, die Anzahl der Warnmeldungen zu reduzieren und Benachrichtigungen besser priorisieren zu können.
App Editor für Splunk SOAR
Bereits im August wurde der Visual Playbook Editor für Splunk SOAR (Security Orchestration, Automation and Response) aktualisiert. Mit ihm lassen sich automatisierte Playbooks erstellen, bearbeiten, implementieren und skalieren. Aufgaben im Bereich Sicherheit müssen dadurch nicht mehr manuell und womöglich mit deutlicher Verzögerung ausgeführt werden. Stattdessen können Unternehmen in Maschinengeschwindigkeit auf Sicherheitsvorfälle in der IT reagieren.
Jetzt kommt mit dem Splunk SOAR App Editor ein Tool hinzu, mit dem sich Apps erstellen, testen und bearbeiten, lassen. Das soll die Integration und Automatisierung zwischen Splunk SOAR und gängigen Drittanbieter-Tools erleichtern. Dazu stehen derzeit auch schon über 350 Splunk SOAR Apps in Splunkbase, dem Marktplatz für Lösungen von Partnerunternehmen oder der Splunk-Community, zurVerfügung.
Auch die Integration des Anfang des Jahres übernommenen Unternehmens Trustar hat Fortschritte gemacht. Mit dem Kauf hat Splunk das Spektrum der verfügbaren Quellen für IT-Sicherheitsinformationen erheblich erweitert. Der Bereich heißt nun Splunk Intelligence Management und kann Erkenntnisse direkt an Splunk Enterprise Security und Splunk SOAR übertragen.
Splunk Surge: "Eliteteam aus Experten für Cybersicherheit"
Wie wichtig Menschen als Teil jeder Cybersecurity-Strategie sind, zeigt die Vorstellung von Splunk Surge. Dabei handelt es sich um ein "Eliteteam aus Experten für Cybersicherheit, das bei akuten und gefährlichen Cyberangriffen rasch technische Hilfestellung gibt", teilt Splunk mit. Aufgabe dieses Teams ist es, Bedrohungen mit weltweiten Auswirkungen zu untersuchen, darauf zu reagieren und darüber zu informieren.
"Surge ist bei gefährlichen Cybersecurity-Incidents der Partner an Ihrer Seite", erklärt Ryan Kovar, Distinguished Security Strategist bei Splunk. "Bei neuen Cyberangriffen wie Kaseya oder Solarwinds unterstützt Surge die Abwehrteams, indem es Kontextbezug herstellt. Von uns erfahren Sie Einzelheiten dazu, wer hinter einem groß angelegten Cyberangriff steckt, und werden über die eingesetzten Techniken und deren Implementierung informiert." Darüber hinaus soll das Team Kunden zeigen, wie sie die Erkenntnisse aus der Sicherheitsforschung von Splunk bei der Bekämpfung von Angriffen in ihren eigenen Workflow zur Identifizierung und Unschädlichmachung von Exploits einbeziehen können.
Mehr zum Thema:
Splunk erweitert Sicherheitsportfolio
Stefan Thiel wird Regional Sales Director bei Splunk
Arrow und Splunk schließen Distributionsvertrag