Splunk ist ein großartiges SIEM – warum sind einige Kunden unzufrieden?

Hier finden Sie einige häufige Splunk-Fehler und erfahren, wie Sie Ihr Splunk-Abonnement mit der Expertise und den Dienstleistungen von BlueVoyant maximieren können

Splunk ist seit mehr als 15 Jahren Marktführer im Bereich Security Information and Event Management (SIEM). Splunk ermöglicht es Kunden, ihre Sicherheitsabläufe angesichts der sich ändernden Anforderungen, der wachsenden Bedrohungslandschaft und der Entwicklung von Analysestrategien zu rationalisieren. Kunden können wählen, ob sie die Plattform vor Ort oder in der Cloud nutzen möchten, indem sie sich entweder für Splunk Enterprise oder Splunk Cloud Platform entscheiden. Neben diesen Plattformen bietet Splunk auch zahlreiche Sicherheits– und Observabilitäts-Tools an, die den Kunden helfen, widerstandsfähiger zu sein.

Für Kunden ist es oft schwierig, intern über das nötige Fachwissen zu verfügen, um ein SIEM ordnungsgemäß zu implementieren, zu überwachen und zu verwalten, geschweige denn es mit Hilfe von Best Practices so zu optimieren, dass es die aktuellen und zukünftigen Geschäftsanforderungen des Unternehmens erfüllt. Laut dem SumoLogic-Bericht „2020 State of SecOps and Automation“ geben 70 % der IT-Sicherheitsverantwortlichen an, dass sich das Volumen der täglich eingehenden Sicherheitswarnungen in den letzten fünf Jahren mehr als verdoppelt hat. Zusammen mit der Tatsache, dass 61 % der Unternehmen nicht über ein zentrales SOC verfügen, das rund um die Uhr Bedrohungsanalysen und -reaktionen überwacht und koordiniert, ergibt sich ein Rezept für Frustration.

Warum also sind einige Unternehmen so frustriert über ihre Splunk-Implementierungen? Weil Splunk ohne optimierte Konfiguration und fortlaufendes Management zu einem Kostenfaktor wird. Im Laufe der Jahre habe ich festgestellt, dass die Probleme der Kunden in drei Bereiche fallen:

Unkontrollierte Dateneingabe

Splunk hat eine äußerst leistungsfähige Analyse-Engine entwickelt, die es den Kunden ermöglicht, alle Arten von Daten aufzunehmen. Der Wert von Splunk liegt in seiner Flexibilität bei der Datenaufnahme. Aber die Aufnahme von Daten schlechter Qualität führt zu einem Anstieg der Datenkosten oder der Datenlast. Die verwendeten Daten enthalten keine Felder, sind schlecht geformt oder für die Analyse nicht relevant.

Wuchernde Inhalte

Der Sinn eines SIEM ist es, verwertbare Ergebnisse zu erhalten und sie in die Hände von Analysten zu geben, die schnell und mit so wenig Fehlalarmen wie möglich reagieren können. Mehrere Frameworks und Key Performance Indicators (KPIs) wie Mean-time-to-Detect, Mean-time-to-Remediate und Mean-time-to-Acknowledge gibt es schon seit Jahren und sie stehen bei den meisten SOCs immer noch im Vordergrund. Die Erstellung und Verwaltung von Inhalten, die die Reduzierung der KPIs unterstützen und gleichzeitig die Kosten nicht übersteigen, ist ein schwieriges Gleichgewicht.

Ein deutlicher Indikator für eine ausufernde Content-Verwaltung ist die Anzahl der Suchanfragen, die noch effektiv sind und qualitativ hochwertige Ergebnisse liefern. Ich habe persönlich mehr als 300 gespeicherte Suchanfragen gesehen, die mehr als 86.000 Ausführungen pro Tag generierten. Von diesen Suchvorgängen war die Hälfte funktionsfähig. In der Umgebung wurden fehlende Daten, Änderungen der Datenstruktur oder veraltete und ungültige Inhalte festgestellt. Diese Ausführungen erhöhten die Rechenkosten in der gesamten Umgebung und können dazu führen, dass Teams auf der Jagd nach Geistern in den Systemen unterwegs sind.

Schnelles Profitieren von Splunk

Die Migration von Umgebungen, die Entwicklung von Inhalten und das Onboarding von Daten sind entscheidend, um schnell den größten Nutzen aus Splunk ziehen zu können. Das bedeutet, dass man über die nötigen Talente und Mitarbeiter verfügen muss, um alle erforderlichen Aufgaben zu erfüllen und den Erfolg sicherzustellen. Auf dem heutigen Markt haben Kunden Schwierigkeiten, diese Talente zu finden und zu halten.

Die Umstellung auf Splunk Cloud kann schwierig sein, wenn Sie es nicht schon vorher getan haben. Sehen Sie sich einige der Erfahrungen an, die unser Mitarbeiter Carl Kennedy gemacht hat: Splunk Cloud Platform Migration Lessons Learned. Er zählt einige der Probleme auf, die er in den letzten Jahren bei solchen Migrationen erlebt hat.

Wie kann BlueVoyant helfen?

All dies frustriert Splunk-Kunden und lässt sie darüber nachdenken, ob sie Splunk aufgeben sollten. Das wäre ein Fehler.

BlueVoyant bringt Splunk-Expertise dorthin, wo sich Ihre Splunk-Instanzen befinden, und sorgt so für die Optimierung und Verwaltung, die Sie benötigen, um den größtmöglichen Nutzen zu erzielen. BlueVoyant konzentriert sich darauf, die Datenlast zu reduzieren, die Implementierung zu beschleunigen und die Erkennung von Bedrohungen zu rationalisieren, um die Leistung Ihrer Daten in Splunk Cloud oder Splunk Enterprise zu nutzen. Unsere Splunk-Workshops zielen darauf ab, die Kontrolle über den Content-Wildwuchs und die Datenlast zu erlangen, indem die Daten auf die wertvollen Analysen abgebildet werden. Unabhängig davon, ob Sie in der Cloud oder vor Ort arbeiten, können wir unsere MDR-Inhalte schnell auf dem Splunk-Stack Ihrer Wahl bereitstellen und so Ihr Security Operations Center mit High Fidelity Alerting versorgen. Unser Content-Management-System stellt sicher, dass nur die relevanten Inhalte in Ihrem System bereitgestellt und gepflegt werden.

Kümmern Sie sich wieder um Ihr Geschäft und überlassen Sie uns die Verwaltung Ihres Splunk-Systems, egal wo es sich befindet.

Source: BlueVoyant-Blog

Kontaktmöglichkeit für Deutschland, Österreich und die Schweiz:

Markus Auer, Security Advisor and Sales Director DACH, BlueVoyant