SlideShare ist ein Scribd-Unternehmen logo
ARD-STERNPUNKT &
COMPUTACENTER
Marco Nieddu & Eugen Möller
MANDANTENFÄHIGKEIT MIT SPLUNK FÜR DEN ÖFFENTLICHEN BEREICH
2
INHALTSVERZEICHNIS
01 ARD-Sternpunkt
02 Anforderungen
03 Umsetzung
01 ARD-STERNPUNKT –
COMPUTACENTER
4
ARD-STERNPUNKT
• Die ARD Zentralen Mediensysteme betreiben Dienste im Umfeld des Audioaustausches Live- wie auch Dateibasiert.
• Über das Contribution- & Playout-Center (CPoC) wird technisch der nationale und internationale Programmaustausch
abgewickelt. Darüber hinaus die Programmverbreitung des ARD-Programmbouquets über Satellit Weitersender (Kabel, IPTV,
…).
• Das ARD-Sendezentrum ist für die technische und inhaltlich organisatorische Abwicklung des ARD-Gemeinschaftsprogramms
verantwortlich. Im ARD-Sendezentrum werden aus einzelnen Sendungen und Elementen das 24-Stunden-Vollprogramm „Das
Erste“.
• Die ARD-Kommunikationsnetze verantworten den Austausch von Video und Daten zwischen den Rundfunkanstalten. Für die
komplexen Bedürfnisse entwickeln wir passende Lösungen und betreiben diese hochverfügbaren, professionellen und
abgesicherten Dienste 24/7.
• „ARD-IT-Sicherheit“: Der ARD-Sternpunkt wurde mit dem Betrieb der zentralen Instanz für ein SIEM, der Interaktion mit den
Rundfunkanstalten und einem externen Dienstleister für einen SOC-Betrieb im kooperativen Vorhaben SIEM/SOC für ARD,
ZDF und Deutschlandradio, sowie anzubindender Gemeinschaftseinrichtungen und Töchter beauftragt.
5
ARD-STERNPUNKT
• 22 Mandanten liefern Logdaten in die
SIEM-Instanz
• RfA: ZDF, DW, DRadio
• LRA: BR, HR, MDR, NDR, RB, RBB, SR,
SWR
• GSEA: ARD-HSB, ARD-Media, ARD-
Mediathek (SWR), ARD-
POC, ARD-Sternpunkt, DRA
• Dritte: ARGE RBT, Bremedia, Degeto, IVZ,
PKR, PUB
6
ARD-STERNPUNKT - COMPUTACENTER
• 2x EU-Vergabeverfahren (Splunk Lizenz & SOC-Services)
• ARD-Sternpunkt ist zentrale Instanz
• Betrieb SIEM-Infrastruktur
• Zentrale Kommunikations- und Koordinationsstelle
• Durchsetzung SLAs
• Anpassung Definition von SOC-Leistungen für die ARD
• Nachverfolgung offener Vorgänge
• Legt den zu erbringenden Leistungsumfang des SOC fest
• Gesamtheitlicher IT-Sicherheitslagebericht
• Computacenter
• erbringt SOC-Services
• Unterstützt bei Weiterentwicklung (u.a. Use-Cases)
• Erbringt Incident Response & Forensik-Dienstleistung (Unterstützung (D)eutsche (C)yber-(S)icherheits(o)rganisation)
02 ANFORDERUNGEN
8
ANFORDERUNGEN
· Hohe Anforderungen an Datenschutz und von Personalrat
· Jeder Mandant hat eigene Infrastruktur mit teilweise überlappenden IP-Adressbereichen
· ! IP & Hostname nicht Unique Identifier !
· Assets & Identities sind nicht eindeutig
· ARD als Arbeitsgemeinschaft mit 21 Mandanten möchte Zugriff auf eigene Daten erhalten
· Eigene Dashboards
· Eigene Reports
· Eigene Notables
· Eigene Apps
· Eigene Datenmodelle
03 UMSETZUNG
10
TECHNISCHER AUFBAU
UMSETZUNG
Logquelle Forwarder
(Cribl)
Indexer Search
Head
Netz der Einrichtung Infrastruktur im Sternpunkt
Firewall
30 Indexer
3 Search Heads
11
HERAUSFORDERUNGEN
172.16.254.12
172.16.254.12
Überlappende IP Addressbereiche
Oder Überlappende Hostnamen
Überlappende credentials
Mandantenspezifische
Dashboards
Datentrennung Logische Trennung
Mandantenspezifische
Alarmierung
Physische Trennung
Mandantenspezifische
Whitelists
12
DATENTRENNUNG
…
…
…
stp_endpoint
stp_firewall
stp_dns
zdf_endpoint
zdf_firewall
zdf_dns
br_endpoint
br_firewall
br_dns
… … …
13
LOGISCHE TRENNUNG
i_rfa
Dashboards
Ticket
System
Alerts und Reports
Adhoc Suchen
ML-Modelle
CIM
Asset und Identity
Server & Forwarder Splunk Cluster
14
PHYSISCHE TRENNUNG
• Selbst administrierte Reports,
Dashboards und lookups
• Geteilte Apps administriert von
ARD-Sternpunkt
• Teilung von ES Daten über
Summary Indexing
• Verwaltung der Datenmodelle
• Verwaltung von Asset und
Identity Management
• Verwaltung von Notables und
Korrelationssuchen
05 HABEN SIE FRAGEN?
VIELEN DANK

Weitere ähnliche Inhalte

Ähnlich wie Mandantenfähigkeit mit Splunk für den öffentlichen Bereich - Splunk Public Sector Summit 2024

Dry Contact Erweiterungseinheit für Didactum Monitoring Systeme
Dry Contact Erweiterungseinheit für Didactum Monitoring SystemeDry Contact Erweiterungseinheit für Didactum Monitoring Systeme
Dry Contact Erweiterungseinheit für Didactum Monitoring Systeme
Didactum
 
Wlan ausleuchtung v2 automatisch gespeichert
Wlan ausleuchtung v2 automatisch gespeichertWlan ausleuchtung v2 automatisch gespeichert
Wlan ausleuchtung v2 automatisch gespeichert
Jennifer Knaus
 
Aufbau eines kollaborativen Workspace für über die Welt verteilt arbeitende T...
Aufbau eines kollaborativen Workspace für über die Welt verteilt arbeitende T...Aufbau eines kollaborativen Workspace für über die Welt verteilt arbeitende T...
Aufbau eines kollaborativen Workspace für über die Welt verteilt arbeitende T...
Univention GmbH
 
2016 9000 0013_pcc_integrierte_struktur_001
2016 9000 0013_pcc_integrierte_struktur_0012016 9000 0013_pcc_integrierte_struktur_001
2016 9000 0013_pcc_integrierte_struktur_001
Ulrich Schmidt
 
SAP Plant Connectivity (SAP PCo)
SAP Plant Connectivity (SAP PCo)SAP Plant Connectivity (SAP PCo)
SAP Plant Connectivity (SAP PCo)
SERKEM GmbH
 
Kombinierte Sensoreinheit - Rauch, Temperatur und Luftfeuchtigkeit
Kombinierte Sensoreinheit - Rauch, Temperatur und LuftfeuchtigkeitKombinierte Sensoreinheit - Rauch, Temperatur und Luftfeuchtigkeit
Kombinierte Sensoreinheit - Rauch, Temperatur und Luftfeuchtigkeit
Didactum
 
LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für BestandsgebäudeLineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LeonieDelphineReschr
 
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk EMEA
 
'Industrie 4.0' Security
'Industrie 4.0' Security 'Industrie 4.0' Security
'Industrie 4.0' Security
Erwin Hoffmann
 
Barco NRC & ClickShare: Live Demo
Barco NRC & ClickShare: Live DemoBarco NRC & ClickShare: Live Demo
Barco NRC & ClickShare: Live Demo
rAVe [PUBS]
 
ServHouse
ServHouseServHouse
ServHouse
CamData
 
Zentrales Logdaten-Management in der KfW - Splunk Public Sector Summit 2024
Zentrales Logdaten-Management in der KfW - Splunk Public Sector Summit 2024Zentrales Logdaten-Management in der KfW - Splunk Public Sector Summit 2024
Zentrales Logdaten-Management in der KfW - Splunk Public Sector Summit 2024
Splunk EMEA
 
Estrel Berlin Bankettmappe
Estrel Berlin BankettmappeEstrel Berlin Bankettmappe
Estrel Berlin Bankettmappe
Estrel Berlin
 
Passgenaue IoT & IIoT Lösungen mit Siincos Remote Connect
Passgenaue IoT & IIoT Lösungen mit Siincos Remote ConnectPassgenaue IoT & IIoT Lösungen mit Siincos Remote Connect
Passgenaue IoT & IIoT Lösungen mit Siincos Remote Connect
Johannes Kinzig
 
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
Didactum
 
Rack Monitoring Einheit - Überwachung sensibler Technik- und Serverschränke
Rack Monitoring Einheit - Überwachung sensibler Technik- und ServerschränkeRack Monitoring Einheit - Überwachung sensibler Technik- und Serverschränke
Rack Monitoring Einheit - Überwachung sensibler Technik- und Serverschränke
Didactum
 
AKCP E-opto16 Erweiterungsmodul
AKCP E-opto16 ErweiterungsmodulAKCP E-opto16 Erweiterungsmodul
AKCP E-opto16 Erweiterungsmodul
Didactum
 

Ähnlich wie Mandantenfähigkeit mit Splunk für den öffentlichen Bereich - Splunk Public Sector Summit 2024 (20)

Mktech
MktechMktech
Mktech
 
Feature satip3
Feature satip3Feature satip3
Feature satip3
 
Dry Contact Erweiterungseinheit für Didactum Monitoring Systeme
Dry Contact Erweiterungseinheit für Didactum Monitoring SystemeDry Contact Erweiterungseinheit für Didactum Monitoring Systeme
Dry Contact Erweiterungseinheit für Didactum Monitoring Systeme
 
Wlan ausleuchtung v2 automatisch gespeichert
Wlan ausleuchtung v2 automatisch gespeichertWlan ausleuchtung v2 automatisch gespeichert
Wlan ausleuchtung v2 automatisch gespeichert
 
Mktech
MktechMktech
Mktech
 
Aufbau eines kollaborativen Workspace für über die Welt verteilt arbeitende T...
Aufbau eines kollaborativen Workspace für über die Welt verteilt arbeitende T...Aufbau eines kollaborativen Workspace für über die Welt verteilt arbeitende T...
Aufbau eines kollaborativen Workspace für über die Welt verteilt arbeitende T...
 
2016 9000 0013_pcc_integrierte_struktur_001
2016 9000 0013_pcc_integrierte_struktur_0012016 9000 0013_pcc_integrierte_struktur_001
2016 9000 0013_pcc_integrierte_struktur_001
 
SAP Plant Connectivity (SAP PCo)
SAP Plant Connectivity (SAP PCo)SAP Plant Connectivity (SAP PCo)
SAP Plant Connectivity (SAP PCo)
 
Kombinierte Sensoreinheit - Rauch, Temperatur und Luftfeuchtigkeit
Kombinierte Sensoreinheit - Rauch, Temperatur und LuftfeuchtigkeitKombinierte Sensoreinheit - Rauch, Temperatur und Luftfeuchtigkeit
Kombinierte Sensoreinheit - Rauch, Temperatur und Luftfeuchtigkeit
 
LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für BestandsgebäudeLineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
 
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
 
'Industrie 4.0' Security
'Industrie 4.0' Security 'Industrie 4.0' Security
'Industrie 4.0' Security
 
Barco NRC & ClickShare: Live Demo
Barco NRC & ClickShare: Live DemoBarco NRC & ClickShare: Live Demo
Barco NRC & ClickShare: Live Demo
 
ServHouse
ServHouseServHouse
ServHouse
 
Zentrales Logdaten-Management in der KfW - Splunk Public Sector Summit 2024
Zentrales Logdaten-Management in der KfW - Splunk Public Sector Summit 2024Zentrales Logdaten-Management in der KfW - Splunk Public Sector Summit 2024
Zentrales Logdaten-Management in der KfW - Splunk Public Sector Summit 2024
 
Estrel Berlin Bankettmappe
Estrel Berlin BankettmappeEstrel Berlin Bankettmappe
Estrel Berlin Bankettmappe
 
Passgenaue IoT & IIoT Lösungen mit Siincos Remote Connect
Passgenaue IoT & IIoT Lösungen mit Siincos Remote ConnectPassgenaue IoT & IIoT Lösungen mit Siincos Remote Connect
Passgenaue IoT & IIoT Lösungen mit Siincos Remote Connect
 
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
 
Rack Monitoring Einheit - Überwachung sensibler Technik- und Serverschränke
Rack Monitoring Einheit - Überwachung sensibler Technik- und ServerschränkeRack Monitoring Einheit - Überwachung sensibler Technik- und Serverschränke
Rack Monitoring Einheit - Überwachung sensibler Technik- und Serverschränke
 
AKCP E-opto16 Erweiterungsmodul
AKCP E-opto16 ErweiterungsmodulAKCP E-opto16 Erweiterungsmodul
AKCP E-opto16 Erweiterungsmodul
 

Mehr von Splunk EMEA

Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
Splunk EMEA
 
Power the SOC of the Future with scale, speed and choice - Splunk Public Sect...
Power the SOC of the Future with scale, speed and choice - Splunk Public Sect...Power the SOC of the Future with scale, speed and choice - Splunk Public Sect...
Power the SOC of the Future with scale, speed and choice - Splunk Public Sect...
Splunk EMEA
 
Splunk als zentrale Datendrehscheibe zur Dienstleistersteuerung - Splunk Publ...
Splunk als zentrale Datendrehscheibe zur Dienstleistersteuerung - Splunk Publ...Splunk als zentrale Datendrehscheibe zur Dienstleistersteuerung - Splunk Publ...
Splunk als zentrale Datendrehscheibe zur Dienstleistersteuerung - Splunk Publ...
Splunk EMEA
 
SOC ist kein Allheilmittel! - Splunk Public Sector Summit 2024
SOC ist kein Allheilmittel! - Splunk Public Sector Summit 2024SOC ist kein Allheilmittel! - Splunk Public Sector Summit 2024
SOC ist kein Allheilmittel! - Splunk Public Sector Summit 2024
Splunk EMEA
 
Private Cloud Monitoring, Security Monitoring & DevOps - Splunk Public Sector...
Private Cloud Monitoring, Security Monitoring & DevOps - Splunk Public Sector...Private Cloud Monitoring, Security Monitoring & DevOps - Splunk Public Sector...
Private Cloud Monitoring, Security Monitoring & DevOps - Splunk Public Sector...
Splunk EMEA
 
Ein Umbrella Monitoring für die e-Akte Hessen - Splunk Public Sector Summit 2024
Ein Umbrella Monitoring für die e-Akte Hessen - Splunk Public Sector Summit 2024Ein Umbrella Monitoring für die e-Akte Hessen - Splunk Public Sector Summit 2024
Ein Umbrella Monitoring für die e-Akte Hessen - Splunk Public Sector Summit 2024
Splunk EMEA
 
Die Rolle von KI in der digitalen Widerstandsfähigkeit - Splunk Public Sector...
Die Rolle von KI in der digitalen Widerstandsfähigkeit - Splunk Public Sector...Die Rolle von KI in der digitalen Widerstandsfähigkeit - Splunk Public Sector...
Die Rolle von KI in der digitalen Widerstandsfähigkeit - Splunk Public Sector...
Splunk EMEA
 
Compliance-Anforderungen erfüllen: Von der Standardlösung zur kundenspezifisc...
Compliance-Anforderungen erfüllen: Von der Standardlösung zur kundenspezifisc...Compliance-Anforderungen erfüllen: Von der Standardlösung zur kundenspezifisc...
Compliance-Anforderungen erfüllen: Von der Standardlösung zur kundenspezifisc...
Splunk EMEA
 
Aktuelles aus der Cybercrime Ermittlungswelt - Splunk Public Sector Summit
Aktuelles aus der Cybercrime Ermittlungswelt - Splunk Public Sector SummitAktuelles aus der Cybercrime Ermittlungswelt - Splunk Public Sector Summit
Aktuelles aus der Cybercrime Ermittlungswelt - Splunk Public Sector Summit
Splunk EMEA
 
Cisco & Splunk: Better Together - Splunk Public Sector Summit 2024
Cisco & Splunk: Better Together - Splunk Public Sector Summit 2024Cisco & Splunk: Better Together - Splunk Public Sector Summit 2024
Cisco & Splunk: Better Together - Splunk Public Sector Summit 2024
Splunk EMEA
 

Mehr von Splunk EMEA (10)

Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
 
Power the SOC of the Future with scale, speed and choice - Splunk Public Sect...
Power the SOC of the Future with scale, speed and choice - Splunk Public Sect...Power the SOC of the Future with scale, speed and choice - Splunk Public Sect...
Power the SOC of the Future with scale, speed and choice - Splunk Public Sect...
 
Splunk als zentrale Datendrehscheibe zur Dienstleistersteuerung - Splunk Publ...
Splunk als zentrale Datendrehscheibe zur Dienstleistersteuerung - Splunk Publ...Splunk als zentrale Datendrehscheibe zur Dienstleistersteuerung - Splunk Publ...
Splunk als zentrale Datendrehscheibe zur Dienstleistersteuerung - Splunk Publ...
 
SOC ist kein Allheilmittel! - Splunk Public Sector Summit 2024
SOC ist kein Allheilmittel! - Splunk Public Sector Summit 2024SOC ist kein Allheilmittel! - Splunk Public Sector Summit 2024
SOC ist kein Allheilmittel! - Splunk Public Sector Summit 2024
 
Private Cloud Monitoring, Security Monitoring & DevOps - Splunk Public Sector...
Private Cloud Monitoring, Security Monitoring & DevOps - Splunk Public Sector...Private Cloud Monitoring, Security Monitoring & DevOps - Splunk Public Sector...
Private Cloud Monitoring, Security Monitoring & DevOps - Splunk Public Sector...
 
Ein Umbrella Monitoring für die e-Akte Hessen - Splunk Public Sector Summit 2024
Ein Umbrella Monitoring für die e-Akte Hessen - Splunk Public Sector Summit 2024Ein Umbrella Monitoring für die e-Akte Hessen - Splunk Public Sector Summit 2024
Ein Umbrella Monitoring für die e-Akte Hessen - Splunk Public Sector Summit 2024
 
Die Rolle von KI in der digitalen Widerstandsfähigkeit - Splunk Public Sector...
Die Rolle von KI in der digitalen Widerstandsfähigkeit - Splunk Public Sector...Die Rolle von KI in der digitalen Widerstandsfähigkeit - Splunk Public Sector...
Die Rolle von KI in der digitalen Widerstandsfähigkeit - Splunk Public Sector...
 
Compliance-Anforderungen erfüllen: Von der Standardlösung zur kundenspezifisc...
Compliance-Anforderungen erfüllen: Von der Standardlösung zur kundenspezifisc...Compliance-Anforderungen erfüllen: Von der Standardlösung zur kundenspezifisc...
Compliance-Anforderungen erfüllen: Von der Standardlösung zur kundenspezifisc...
 
Aktuelles aus der Cybercrime Ermittlungswelt - Splunk Public Sector Summit
Aktuelles aus der Cybercrime Ermittlungswelt - Splunk Public Sector SummitAktuelles aus der Cybercrime Ermittlungswelt - Splunk Public Sector Summit
Aktuelles aus der Cybercrime Ermittlungswelt - Splunk Public Sector Summit
 
Cisco & Splunk: Better Together - Splunk Public Sector Summit 2024
Cisco & Splunk: Better Together - Splunk Public Sector Summit 2024Cisco & Splunk: Better Together - Splunk Public Sector Summit 2024
Cisco & Splunk: Better Together - Splunk Public Sector Summit 2024
 

Mandantenfähigkeit mit Splunk für den öffentlichen Bereich - Splunk Public Sector Summit 2024

  • 1. ARD-STERNPUNKT & COMPUTACENTER Marco Nieddu & Eugen Möller MANDANTENFÄHIGKEIT MIT SPLUNK FÜR DEN ÖFFENTLICHEN BEREICH
  • 4. 4 ARD-STERNPUNKT • Die ARD Zentralen Mediensysteme betreiben Dienste im Umfeld des Audioaustausches Live- wie auch Dateibasiert. • Über das Contribution- & Playout-Center (CPoC) wird technisch der nationale und internationale Programmaustausch abgewickelt. Darüber hinaus die Programmverbreitung des ARD-Programmbouquets über Satellit Weitersender (Kabel, IPTV, …). • Das ARD-Sendezentrum ist für die technische und inhaltlich organisatorische Abwicklung des ARD-Gemeinschaftsprogramms verantwortlich. Im ARD-Sendezentrum werden aus einzelnen Sendungen und Elementen das 24-Stunden-Vollprogramm „Das Erste“. • Die ARD-Kommunikationsnetze verantworten den Austausch von Video und Daten zwischen den Rundfunkanstalten. Für die komplexen Bedürfnisse entwickeln wir passende Lösungen und betreiben diese hochverfügbaren, professionellen und abgesicherten Dienste 24/7. • „ARD-IT-Sicherheit“: Der ARD-Sternpunkt wurde mit dem Betrieb der zentralen Instanz für ein SIEM, der Interaktion mit den Rundfunkanstalten und einem externen Dienstleister für einen SOC-Betrieb im kooperativen Vorhaben SIEM/SOC für ARD, ZDF und Deutschlandradio, sowie anzubindender Gemeinschaftseinrichtungen und Töchter beauftragt.
  • 5. 5 ARD-STERNPUNKT • 22 Mandanten liefern Logdaten in die SIEM-Instanz • RfA: ZDF, DW, DRadio • LRA: BR, HR, MDR, NDR, RB, RBB, SR, SWR • GSEA: ARD-HSB, ARD-Media, ARD- Mediathek (SWR), ARD- POC, ARD-Sternpunkt, DRA • Dritte: ARGE RBT, Bremedia, Degeto, IVZ, PKR, PUB
  • 6. 6 ARD-STERNPUNKT - COMPUTACENTER • 2x EU-Vergabeverfahren (Splunk Lizenz & SOC-Services) • ARD-Sternpunkt ist zentrale Instanz • Betrieb SIEM-Infrastruktur • Zentrale Kommunikations- und Koordinationsstelle • Durchsetzung SLAs • Anpassung Definition von SOC-Leistungen für die ARD • Nachverfolgung offener Vorgänge • Legt den zu erbringenden Leistungsumfang des SOC fest • Gesamtheitlicher IT-Sicherheitslagebericht • Computacenter • erbringt SOC-Services • Unterstützt bei Weiterentwicklung (u.a. Use-Cases) • Erbringt Incident Response & Forensik-Dienstleistung (Unterstützung (D)eutsche (C)yber-(S)icherheits(o)rganisation)
  • 8. 8 ANFORDERUNGEN · Hohe Anforderungen an Datenschutz und von Personalrat · Jeder Mandant hat eigene Infrastruktur mit teilweise überlappenden IP-Adressbereichen · ! IP & Hostname nicht Unique Identifier ! · Assets & Identities sind nicht eindeutig · ARD als Arbeitsgemeinschaft mit 21 Mandanten möchte Zugriff auf eigene Daten erhalten · Eigene Dashboards · Eigene Reports · Eigene Notables · Eigene Apps · Eigene Datenmodelle
  • 10. 10 TECHNISCHER AUFBAU UMSETZUNG Logquelle Forwarder (Cribl) Indexer Search Head Netz der Einrichtung Infrastruktur im Sternpunkt Firewall 30 Indexer 3 Search Heads
  • 11. 11 HERAUSFORDERUNGEN 172.16.254.12 172.16.254.12 Überlappende IP Addressbereiche Oder Überlappende Hostnamen Überlappende credentials Mandantenspezifische Dashboards Datentrennung Logische Trennung Mandantenspezifische Alarmierung Physische Trennung Mandantenspezifische Whitelists
  • 13. 13 LOGISCHE TRENNUNG i_rfa Dashboards Ticket System Alerts und Reports Adhoc Suchen ML-Modelle CIM Asset und Identity Server & Forwarder Splunk Cluster
  • 14. 14 PHYSISCHE TRENNUNG • Selbst administrierte Reports, Dashboards und lookups • Geteilte Apps administriert von ARD-Sternpunkt • Teilung von ES Daten über Summary Indexing • Verwaltung der Datenmodelle • Verwaltung von Asset und Identity Management • Verwaltung von Notables und Korrelationssuchen
  • 15. 05 HABEN SIE FRAGEN?