Leistungsstarke Sicherheitsoperationen, leistungsstarke Segmentierung

Angesichts all der leistungsstarken Tools, die ein Unternehmen als Teil eines effektiven SecOps-Arsenals einsetzen kann, fragen wir uns, ob es zu viel Gutes geben kann.

Um zu verbessern Sicherheitsoperationen Von diesen vielen Tools — und den von ihnen generierten Warnmeldungen — sind SIEMs das, worauf sich viele von uns verlassen, um die Sicherheit zentral über eine „zentrale Glasscheibe“ zu verwalten, wie das Klischee so schön sagt.

Teams verlassen sich aus mehreren wichtigen Gründen auf ihr SIEM, um Einblicke in ihre gesamte Sicherheitslage zu erhalten. Erstens identifizieren sie schnell ernsthafte Bedrohungen, denen das Unternehmen ausgesetzt sein könnte. Zweitens ermöglicht es kürzere Ermittlungszeiten, um den relevanten Kontext und die Details zu Angriffen zu ermitteln. Und drittens können Teams mit stärker automatisierten Aktionen und Workflows schneller reagieren.

Vor diesem Hintergrund müssen Anbieter eine saubere Integration mit SIEMs anbieten, um den Sicherheitsteams das Leben zu erleichtern.

Aus diesem Grund verfügt Illumio über eine tiefe Integration mit Splunk. Gemeinsame Kunden verstehen ihre Sicherheitslage besser und können mit wenigen Klicks auf Angriffe reagieren. Die Illumio-Integration verwendet intuitive und sorgfältig gestaltete Visualisierungen, sodass Teams auf einen Blick sehen und verstehen können, was passiert, und mit einem Klick reagieren können. Mit Splunk und Illumio informieren wir Teams darüber, welche Maschinen im Rechenzentrum möglicherweise kompromittiert sind oder ob es eine unzureichende Segmentierungsrichtlinie gibt.

Die Beantwortung dieser wichtigen Fragen ist jedoch erst der Anfang der Vorteile unserer Splunk-Integration:

• Erfahren Sie, wo Sie wertvolle Teamressourcen einsetzen müssen: In Ereigniswarnungen werden die eingetretenen Sicherheitsereignisse deutlich hervorgehoben, sodass die Teams wissen, welche Ressourcen möglicherweise betroffen sind — und wo sofort reagiert werden muss.
• Erfahren Sie, ob die Segmentierung sicher ist: Erfahrene Angreifer könnten versuchen, Firewalls und Segmentierungseinstellungen zu manipulieren, um Zugriff auf Daten zu erhalten. Aus diesem Grund zeigen wir Ihnen, wie sicher Ihre Segmentierung ist, indem wir die Manipulationsversuche der Firewall in iptables oder Microsoft WFP (Windows Filtering Platform) hervorheben. Dies zeigt Ihnen sofort, ob ein Server versucht, sich illegale Rechte zu verschaffen oder Sicherheitsrichtlinien zu umgehen.
• Sehen Sie sich die laufenden Angriffsversuche an: Bei einem Angriff gehen einer lateralen Bewegung häufig Port-Scans voraus. Port-Scans sind zwar nicht grundsätzlich schlecht, aber oft deuten sie darauf hin, dass jemand gerade eine Erkundung durchführt, um zu sehen, wohin er sich intern bewegen kann. Unsere Integration hebt Port-Scans hervor, um sofort zu erkennen, dass verdächtige Aktivitäten vorliegen, die auf einen bevorstehenden Angriff hindeuten.
• Sehen Sie, welche Maschinen sich verdächtig verhalten: Unsere übersichtliche Darstellung des am häufigsten blockierten Datenverkehrs nach Host, sodass Sie schnell wissen, ob ein Host angegriffen wird. Darüber hinaus kann Ihnen diese Visualisierung auch Aufschluss darüber geben, ob die Host-Segmentierungsrichtlinie falsch ist, was zu unerwartetem blockiertem Traffic führt.
• Die perfekte Verbindung zwischen Business und Secops: Auf einen Blick wissen Sie über alle potenziell blockierte den Verkehr, bevor die Richtlinien durchgesetzt wurden. Das bedeutet, dass Sie die Segmentierungsrichtlinien vor der Veröffentlichung leicht überprüfen können, um sicherzustellen, dass die Geschäftsanwendung, die Sie schützen möchten, nicht beschädigt wird.
• Ermitteln Sie schnell: Wenn Sie einen Workload untersuchen, der ein abnormales Verhalten zeigt, sollten Sie sofort herausfinden, wo das Problem liegt. Alle Workload-Details, Verkehrsereignisse und Prüfereignisse werden in einer einzigen Ansicht zusammengefasst, wodurch der Aufwand für Ermittlungen reduziert wird.
• Stoppen Sie Angriffe mit einem Klick: Unsere Integration bietet einen klaren Überblick über die Sicherheit in Splunk, aber genauso wichtig ist, dass Teams auch Maßnahmen ergreifen können. Sie können verdächtige Workloads mit einem einzigen Klick direkt von Splunk aus unter Quarantäne stellen.
• Erstellen Sie Alerts mit wenigen Klicks: Um Warnmeldungen zu erstellen, müssen Teams Syslog-Meldungen beherrschen, ihren Inhalt sowie den Kontext gründlich verstehen und dann reguläre Ausdrücke erstellen. Mit einer grafischen Oberfläche, die es Benutzern ermöglicht, neue Warnkonfigurationen für die wichtigsten von Illumio PCE generierten Meldungen zu erstellen, können Benutzer die Warnmeldungen von Splunk schnell nutzen, um sie bei der Verwaltung ihrer Illumino-Bereitstellung zu unterstützen.

Wir werden uns die Funktionen unserer Splunk-Integration in einem anderen Blogbeitrag genauer ansehen, also warten Sie ab.

Um mit unserer neuesten Version zu beginnen, gehen Sie bitte zu Splunkbase und laden Sie Folgendes herunter: https://splunkbase.splunk.com/app/3658/.