Mandantenfähigkeit mit Splunk für den öffentlichen Bereich - Splunk Public Sector Summit 2024

•

0 gefällt mir•97 views

Mandantenfähigkeit mit Splunk für den öffentlichen Bereich - Splunk Public Sector Summit 2024 in Frankfurt Vortrag von: ARD-Sternpunkt & Computacenter Sprecher: Marco Nieddu Eugen Möller

Technologie

ARD-STERNPUNKT &
COMPUTACENTER
Marco Nieddu & Eugen Möller
MANDANTENFÄHIGKEIT MIT SPLUNK FÜR DEN ÖFFENTLICHEN BEREICH

2
INHALTSVERZEICHNIS
01 ARD-Sternpunkt
02 Anforderungen
03 Umsetzung

4
ARD-STERNPUNKT
• Die ARD Zentralen Mediensysteme betreiben Dienste im Umfeld des Audioaustausches Live- wie auch Dateibasiert.
• Über das Contribution- & Playout-Center (CPoC) wird technisch der nationale und internationale Programmaustausch
abgewickelt. Darüber hinaus die Programmverbreitung des ARD-Programmbouquets über Satellit Weitersender (Kabel, IPTV,
…).
• Das ARD-Sendezentrum ist für die technische und inhaltlich organisatorische Abwicklung des ARD-Gemeinschaftsprogramms
verantwortlich. Im ARD-Sendezentrum werden aus einzelnen Sendungen und Elementen das 24-Stunden-Vollprogramm „Das
Erste“.
• Die ARD-Kommunikationsnetze verantworten den Austausch von Video und Daten zwischen den Rundfunkanstalten. Für die
komplexen Bedürfnisse entwickeln wir passende Lösungen und betreiben diese hochverfügbaren, professionellen und
abgesicherten Dienste 24/7.
• „ARD-IT-Sicherheit“: Der ARD-Sternpunkt wurde mit dem Betrieb der zentralen Instanz für ein SIEM, der Interaktion mit den
Rundfunkanstalten und einem externen Dienstleister für einen SOC-Betrieb im kooperativen Vorhaben SIEM/SOC für ARD,
ZDF und Deutschlandradio, sowie anzubindender Gemeinschaftseinrichtungen und Töchter beauftragt.

5
ARD-STERNPUNKT
• 22 Mandanten liefern Logdaten in die
SIEM-Instanz
• RfA: ZDF, DW, DRadio
• LRA: BR, HR, MDR, NDR, RB, RBB, SR,
SWR
• GSEA: ARD-HSB, ARD-Media, ARD-
Mediathek (SWR), ARD-
POC, ARD-Sternpunkt, DRA
• Dritte: ARGE RBT, Bremedia, Degeto, IVZ,
PKR, PUB

6
ARD-STERNPUNKT - COMPUTACENTER
• 2x EU-Vergabeverfahren (Splunk Lizenz & SOC-Services)
• ARD-Sternpunkt ist zentrale Instanz
• Betrieb SIEM-Infrastruktur
• Zentrale Kommunikations- und Koordinationsstelle
• Durchsetzung SLAs
• Anpassung Definition von SOC-Leistungen für die ARD
• Nachverfolgung offener Vorgänge
• Legt den zu erbringenden Leistungsumfang des SOC fest
• Gesamtheitlicher IT-Sicherheitslagebericht
• Computacenter
• erbringt SOC-Services
• Unterstützt bei Weiterentwicklung (u.a. Use-Cases)
• Erbringt Incident Response & Forensik-Dienstleistung (Unterstützung (D)eutsche (C)yber-(S)icherheits(o)rganisation)

8
ANFORDERUNGEN
· Hohe Anforderungen an Datenschutz und von Personalrat
· Jeder Mandant hat eigene Infrastruktur mit teilweise überlappenden IP-Adressbereichen
· ! IP & Hostname nicht Unique Identifier !
· Assets & Identities sind nicht eindeutig
· ARD als Arbeitsgemeinschaft mit 21 Mandanten möchte Zugriff auf eigene Daten erhalten
· Eigene Dashboards
· Eigene Reports
· Eigene Notables
· Eigene Apps
· Eigene Datenmodelle

10
TECHNISCHER AUFBAU
UMSETZUNG
Logquelle Forwarder
(Cribl)
Indexer Search
Head
Netz der Einrichtung Infrastruktur im Sternpunkt
Firewall
30 Indexer
3 Search Heads

11
HERAUSFORDERUNGEN
172.16.254.12
172.16.254.12
Überlappende IP Addressbereiche
Oder Überlappende Hostnamen
Überlappende credentials
Mandantenspezifische
Dashboards
Datentrennung Logische Trennung
Mandantenspezifische
Alarmierung
Physische Trennung
Mandantenspezifische
Whitelists

12
DATENTRENNUNG
…
…
…
stp_endpoint
stp_firewall
stp_dns
zdf_endpoint
zdf_firewall
zdf_dns
br_endpoint
br_firewall
br_dns
… … …

13
LOGISCHE TRENNUNG
i_rfa
Dashboards
Ticket
System
Alerts und Reports
Adhoc Suchen
ML-Modelle
CIM
Asset und Identity
Server & Forwarder Splunk Cluster

14
PHYSISCHE TRENNUNG
• Selbst administrierte Reports,
Dashboards und lookups
• Geteilte Apps administriert von
ARD-Sternpunkt
• Teilung von ES Daten über
Summary Indexing
• Verwaltung der Datenmodelle
• Verwaltung von Asset und
Identity Management
• Verwaltung von Notables und
Korrelationssuchen

Weitere ähnliche Inhalte

Ähnlich wie Mandantenfähigkeit mit Splunk für den öffentlichen Bereich - Splunk Public Sector Summit 2024

Mktech

TELE-satellite deu

Feature satip3

TELE-satellite deu

Diese CAN-Bus (Control Area Network) Erweiterungseinheit wurde speziell für die Didactum High End Monitoring Systeme entwickelt. Im Rahmen des allgemeinen Trends „Konvergenz der Haus- und Gebäudetechnik in die IT“, können Sie so über Netzwerk oder Internet bis zu 64 potentialfreie Kontakte / Dry Contacts rund um die Uhr überwachen. Störungen können vom Didactum Monitoring System direkt an die zuständigen Techniker oder an die Leitwarte verschickt werden.

Dry Contact Erweiterungseinheit für Didactum Monitoring Systeme

Didactum

Wlan ausleuchtung v2 automatisch gespeichert

Jennifer Knaus

Mktech

TELE-satellite deu

Dieser Vortrag gibt Einblicke in den Aufbau und die Entwicklung eines kollaborativen Workspace für die weltweit verteilt arbeitenden Teams der Solarkiosk AG. Neben den Herausforderungen für die Umsetzung einer agilen Organisationskultur und den erforderlichen Komponenten zur Unterstützung teambasierter Abläufe in einer stark wachsenden Organisation berichten Steffen Stolz und Martin Schubert von den Ergebnissen und Erfahrungen des vergangenen Jahres und geben einen Ausblick auf aktuelle Meilensteine.

Aufbau eines kollaborativen Workspace für über die Welt verteilt arbeitende T...

Univention GmbH

2016 9000 0013_pcc_integrierte_struktur_001

Ulrich Schmidt

SAP Plant Connectivity (SAP PCo)

SERKEM GmbH

Didactum hat für die Überwachung wichtiger Räume und Anlagen kombinierte Sensoreinheiten entwickelt. Diese kombinierte Sensoreinheit beinhaltet die wichtigen Sensoren für die Überwachung von Rauch, Temperatur und Luftfeuchtigkeit. Alle Sensoren sind in einem einzigen Gehäuse untergebracht. Ein mögliches Kabelgewirr aufgrund der Verkabelung einzelner Sensoren, gehört mit dieser kombinierten Rauchmelder-, Luftfeuchtigkeits- und Temperaturüberwachungseinheit der Vergangenheit an.

Kombinierte Sensoreinheit - Rauch, Temperatur und Luftfeuchtigkeit

Didactum

LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude

LeonieDelphineReschr

Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...

Splunk EMEA

'Industrie 4.0' Security

Erwin Hoffmann

Barco NRC & ClickShare: Live Demo

rAVe [PUBS]

Mit dem Produkt SERVHOUSE stellt Camdata Ihnen ein eigenes und bezahlbares Rechenzentrum zur Verfügung. Wir ermitteln in einem ersten Assessing wie Ihre Anforderungen sich gestalten und wie wir diese bedienen können. Ob Hosting oder ASP Lösung – wir bieten Ihnen ein maßgeschneidertes Konzept für ihre technischen Systeme: So entsteht eine maßgeschneiderte Lösung für das outsourcen Ihrer Daten und das zu konstanten und überschaubaren Kosten. SERVHOUSE stellt ein breites Leistungsangebot zur Verfügung: Applikationen – State Of The Art: Genutzte Applikationen werden von uns auf dem neuesten Stand gehalten, so daß Sie sich Ihrem Business zuwenden können: Uns überlassen Sie die technische Hintergrundarbeit. Im Fehlerfall schnell zurück im Business: SERVHOUSE beinhaltet ein auf Ihre Bedürfnisse zugeschnittenes Eskalations-Management, das nach festgelegten Prozessen reagiert. Wir kümmern uns und informieren die im Assessing festgelegten Personen. Maximale und garantierte IT Sicherheit: Für die sichere Übermittlung Ihrer Daten und für die Rechenzentrumsanbindung selbst nutzt SERVHOUSE unser hauseigenes Weitverkehrsnetz SafetyNet. Selbstverständlich können als Alternative zu SafetyNet auch eigene Datenleitungen genutzt werden.

ServHouse

CamData

Zentrales Logdaten-Management in der KfW - Splunk Public Sector Summit 2024

Splunk EMEA

Estrel Berlin Bankettmappe

Estrel Berlin

Die Entwicklung von individueller, genau auf den Prozess zugeschnittene Software hat im Zusammenhang mit Industrie 4.0 und IIoT stark an Bedeutung gewonnen. Die Nachfrage nach vollautomatischer Prozessdatenerfassung und Messdatenauswertung rückt immer weiter in den Vordergrund, um Konzepte wie z.B. Smart Service und Predictive Maintenance für alle möglichen Arten von Anlagen und Maschinen realisieren zu können. Standard Softwarekomponenten reichen oft nicht mehr aus, um die Prozessdaten von hochspezialisierten Anlagen automatisiert auszuwerten. Auf den Anwendungsfall angepasste und genau abgestimmte Softwarelösungen sind an dieser Stelle gefragt.

Passgenaue IoT & IIoT Lösungen mit Siincos Remote Connect

Johannes Kinzig

Der AKCP securityProbe5ES-X20 Alarm Server überwacht wichtige Umgebungen sowie Räume und alarmiert Sie zuverlässig bei Störfällen, wie Eindringlingen, Sicherheitsverletzungen, zu hohen Temperaturen, Rauch, Wasser Leckagen, Stromausfall und vieles mehr. Die AKCP securityProbe5ES-X20 vereint alle Vorteile der securityProbe5ES, verfügt jedoch zusätzlich über 20 potentialfreie Kontakte. Es ist in eine 1U Rack Mount Box eingebaut und verfügt über ein Linux-Betriebssystem. Es kann eine SD-Karte genutzt werden, um eine größere Speicherkapazität zu erhalten. Die securityProbe5ES-X20 ist TCP / IP-kompatibel und läuft mit lighttpd Webserver, einschließlich HTTPS (SSL), Bash, Perl, Telnet, PHP, E-Mail und Nagios. Der AKCP securityProbe5ES-X20 Alarm Server verfügt über eine einfach zu bedienende Web-basierte Benutzeroberfläche für die Konfiguration der Sensoren, Datenerfassung und umfangreiche Grafiken. Komplette SNMP-Funktionen, einschließlich SNMP v3 Verschlüsselung werden unterstützt. Die AKCP securityProbe5ES-X20 unterstützt auch Modbus Master / Slave, Modbus RTU und Modbus über TCP / IP und schafft somit ein einzigartiges sowie leicht zu konfigurierendes Modbus zu SNMP-Gateway. Die Web-basierte Oberfläche ist in PHP geschrieben und erlaubt dem Benutzer Änderungen wie Sprachübersetzung. Die securityProbe5ES-X20 verfügt über eine batteriegepufferte Uhrzeittaktung für genaue Aufzeichnungen.

AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...

Didactum

Rack Monitoring Einheit - Überwachung sensibler Technik- und Serverschränke

Didactum

Das AKCP E-opto16 ist ein Erweiterungsmodul, welches 16 Opto-isolierte potentialfreie Kontakte zum securityProbe 5E Alarm Server hinzufügt. E-opto16 kann an jeden der vier RJ-45 Erweiterungs-Ports an der Front der securityProbe 5E mit einem Standard-CAT5-Kabel angeschlossen werden. Die E-opto16 Erweiterungsmodule können, durch die Verwendung der E-Out / E-In-Ports anderer Erweiterungsmodule, auch verkettet werden. Eine große Menge an Geräten, welche ein Ausgangssignal oder Spannung erzeugen, können mit jedem der 2-Draht potentialfreien Kontakte an der Rückseite des AKCP E-opto16 Erweiterungsmoduls angeschlossen werden. Der LED Status der (16) potentialfreien Kontakte wird am Front Panel angezeigt. Die E-opto16 Erweiterungsmodule können bis zu 300 Meter vom AKCP securityProbe 5E Alarm Server entfernt abgesetzt werden. Es gibt keine Begrenzung wie viele Module an einer einzigen securityProbe 5E angeschlossen werden können. Es ist lediglich von der Anzahl der verbunden Sensoren abhängig. Es können maximal 600 Datenpunkte durch die securityProbe 5E überwacht werden. Erweiterungsmodule können auch verkettet werden, durch die Verwendung der E-Out / E-In-Ports anderer Erweiterungsmodule.

AKCP E-opto16 Erweiterungsmodul

Didactum

Ähnlich wie Mandantenfähigkeit mit Splunk für den öffentlichen Bereich - Splunk Public Sector Summit 2024 (20)

Mktech

Feature satip3

Dry Contact Erweiterungseinheit für Didactum Monitoring Systeme

Wlan ausleuchtung v2 automatisch gespeichert

Mktech

Aufbau eines kollaborativen Workspace für über die Welt verteilt arbeitende T...

2016 9000 0013_pcc_integrierte_struktur_001

SAP Plant Connectivity (SAP PCo)

Kombinierte Sensoreinheit - Rauch, Temperatur und Luftfeuchtigkeit

LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude

Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...

'Industrie 4.0' Security

Barco NRC & ClickShare: Live Demo

ServHouse

Zentrales Logdaten-Management in der KfW - Splunk Public Sector Summit 2024

Estrel Berlin Bankettmappe

Passgenaue IoT & IIoT Lösungen mit Siincos Remote Connect

AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...

Rack Monitoring Einheit - Überwachung sensibler Technik- und Serverschränke

AKCP E-opto16 Erweiterungsmodul

Mehr von Splunk EMEA

Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024

Splunk EMEA

Power the SOC of the Future with scale, speed and choice - Splunk Public Sect...

Splunk EMEA

Splunk als zentrale Datendrehscheibe zur Dienstleistersteuerung - Splunk Publ...

Splunk EMEA

SOC ist kein Allheilmittel! - Splunk Public Sector Summit 2024

Splunk EMEA

Private Cloud Monitoring, Security Monitoring & DevOps - Splunk Public Sector...

Splunk EMEA

Ein Umbrella Monitoring für die e-Akte Hessen - Splunk Public Sector Summit 2024

Splunk EMEA

Die Rolle von KI in der digitalen Widerstandsfähigkeit - Splunk Public Sector...

Splunk EMEA

Compliance-Anforderungen erfüllen: Von der Standardlösung zur kundenspezifisc...

Splunk EMEA

Aktuelles aus der Cybercrime Ermittlungswelt - Splunk Public Sector Summit

Splunk EMEA

Cisco & Splunk: Better Together - Splunk Public Sector Summit 2024

Splunk EMEA

Mehr von Splunk EMEA (10)