Splunk Public Sector Summit Germany April 2025 Präsentation: Monitoring einer Sicheren Inter-Netzwerk Architektur (SINA) Sprecher: Alexander Hauptner - Senior Technical Consultant, NetDescribe

1. Optimized processes for a reliable
and trouble-free IT infrastructure.

2. Splunk Public Sector Summit 2025
Monitoring einer
Sicheren Inter-Netzwerk Architektur
(SINA)

3. About me
Alexander Hauptner
Senior Technical Consultant
• Splunk Certified Consultant
• Splunk Professional Services
• 1st Splunk: Version 6.x (2018)
• 1st .conf: .conf19

4. 2015-2016
Network Performance
Monitoring, Visibility
and IT-Security
come into focus
2017-2018
Focus on:
service-based
Solutions,
Consulting is growing
steadily
2010-2012
Starting signal for the
partnership with Splunk
and the NetDescribe
Consulting Team
Only the best IT
solutions for your
success. That was and
still is our mission.
2006
Foundation of
NetDescribe
Focus:
Network Monitoring
2007-2009
Launch of the technology
stack with flexible,
affordable solutions for
Network Performance
Management
2013-2014
Splunk Premier
Partnership and
continuous expansion
of our expert team
Today NetDescribe is in
Splunk ELITE Status
2019-2021
Kafka, Saas based
Solutions and Cloud
Security are important
Topics
Jubilee!
2022-2023
Relocation to München!
Multi-Cloud requires the best
solutions. With visionary
technology partners and our
Managed Security Services
NetDescribe takes
(Cloud) Security to a new level.
2024
Since August 1, 2024
NetDescribe is part of the
Xantaro Group. The aim is to
expand the Xantaro portfolio
with future proof services for
NOC, SOC and OT security from
NetDescribe.

5. YOUR PARTNER FOR
SECURE, GLOBAL DATA
COMMUNICATIONS
The 24/7 nicos Cyber Defense
Center offers year-round,
round-the-clock monitoring and
processing of security alarms,
based on standardized runbooks
OPTIMIZED PROZESSES FOR
A RELIABLE AND TROUBLE-
FREE IT INFRASTRUCTURE
Together with selected
technology partners, we offer
future-oriented solutions.
Your Trusted Advisor!
NetDescribe is part of the
INNOVATIVE NETWORK
SOLUTIONS FOR YOUR
DIGITAL TRANSFORMATION
Xantaro is one of the leading
solution providers for
high-performance networks with
over 300 customers in Germany
and the UK.

6. What you can
expect from
us. Analysis of your
IT performance needs
Checking the
CURRENT status
Weaknesses/Strengths
All from a single
source
Fast
implementation
Consulting, Service,
Support
The best Solution
Looking for the
optimal solution
Highest level of
customer satisfaction

7. SINA?
Definition:
Sichere Inter-Netzwerk Architektur 🡪 SINA
[https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Zulassung/SINA/sina_node.html]
„Die Sichere Inter-Netzwerk Architektur (SINA) ist eine vom
BSI in Zusammenarbeit mit der Firma secunet Security
Networks AG entwickelte Produktfamilie zur Übertragung und
Verarbeitung von schützenswerten Informationen in
unsicheren Netzen.
SINA umfasst eine stetig wachsende Familie von modularen
Komponenten zur Absicherung verschiedenster
Anwendungsszenarien, wie z.B. der Verbindung von
Standorten, der Nutzung mobiler Arbeitsplätze oder dem
Betrieb unterschiedlich schutzbedürftiger
Arbeitsplatzsitzungen auf nur einem Rechner.“

8. Warum SINA?
Motivation:
[https://www.secunet.com/fileadmin/user_upload/01_Seitencontent/Produkt-_und_Serviceseiten/SINA_Workstation_S/Usermanual_SINA_Workstation_S_3.5.4_en.pdf]

9. SINA
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/SINA.pdf?__blob=publicationFile&v=8]
Grundprinzipien:
• SINA-Sicherheitsfunktionen sind für den Nutzer und seine Software unsichtbar (bzw. „transparent“)
• SINA-Sicherheitsfunktionen sind durch den Nutzer und seine Software unumgehbar (Zwangssicherheit)

10. SINA Hardware
[https://www.secunet.com/loesungen]

11. SINA
[https://www.secunet.com/fileadmin/user_upload/01_Seitencontent/Produkt-_und_Serviceseiten/SINA_Workstation_S/Usermanual_SINA_Workstation_S_3.5.4_en.pdf]

12. Anforderungen
Motivation:
Herausforderung
• Ablösung einer abgekündigten Monitoring-Lösung (Auf Basis von Nagios)
• Monitoring von SINA Betriebskomponenten
• Monitoring von SINA Managementkomponenten
• Lückenhafte Dokumentation der aktuellen Monitoring Lösung
• Secunet Dokumentation zu Logmeldungen (ca. 200 Seiten pro Software Version)
• Skalierbarkeit und Erweiterbarkeit der Splunk-App
• Versionsunabhängig

13. Entwicklung einer
Splunk App
[https://dev.splunk.com/enterprise/docs/developapps/]

14. 1. Anforderungen
verstehen Anforderungen?
• „Alle Checks und Monitore wie im alten Tool“
• Kompatibilität zu verschiedenen SINA-Versionen (+ zukünftige
Versionen?)
• Zielgruppe (Welche User)
• Administratoren (Verantwortlich für SINA-Betrieb)
• Auditor (z.B. Datenschützer,…)
• Technische Anforderungen

15. Entwicklung einer
Splunk App
[https://dev.splunk.com/enterprise/docs/developapps/]

16. 2. Daten verstehen
Welche Quellen? Welche Informationen?
• Betriebskomponenten (SINA Workstation, SINA Box)
• Kein UF möglich!
• Syslog
• Script (z.B. Verfügbarkeit mit Ping)
• Managementkomponenten
• UF (Application-Logs, OS-Metriken)

17. 4. Daten sammeln
Data-Onboarding:

18. Entwicklung einer
Splunk App
[https://dev.splunk.com/enterprise/docs/developapps/]

19. 5. App erstellen
App
• Inhalte, um Mehrwert auf Grundlage von Daten zu erhalten
• Dashboards/Visualisierungen
• Reports/Alerts
• Lookups
• Workflows
• Macros
• …
Add-On
• Knowledge-Objects für die Splunk-Plattform
• Data-Onboarding
• Sourcetypes
• Macros
• ...
App vs Add-On

20. 5. App erstellen
Splunkbase
• 3100+ kostenlose Apps und Add-Ons (https://splunkbase.splunk.com/)
Config Explorer
(https://splunkbase.splunk.com/app/4353)
Splunk App for Lookup File Editing
(https://splunkbase.splunk.com/app/1724)

21. 3. App erstellen
splunkbase
Network Toolkit
(https://splunkbase.splunk.com/app/3491)

22. Entwicklung einer
Splunk App
[https://dev.splunk.com/enterprise/docs/developapps/]

23. 6. Knowledge Objects
erstellen Splunk Knowledge Objects
• Sourcetypes
• Searches, Reports, Alerts
# Example event: 2025-02-01 13:37.333 samplehost uptime: 5 d 10:30:51
EXTRACT-uptime_details = uptime:s+((?<days>d+)s+d?s+?)(?<hours>d+):(?<minutes>d+):(?<seconds>d+)
Splunk Felder:
days :: 5
hours :: 10
minutes :: 30
seconds :: 51

24. 6. Knowledge Objects
erstellen Splunk Knowledge Objects
• Lookups
• Service Mapping
• Asset-Listen
• Watchlists
Service Mapping
Beispiel Events

25. Entwicklung einer
Splunk App
[https://dev.splunk.com/enterprise/docs/developapps/]

26. 7. Monitoring App
Monitoring Framework
SPL für Zertifikats-Update:
index=* sina_service=„sina_certificate_update“
| stats latest(status) latest(_time) as last_event by host sina_service…

27. Splunk App

28. Splunk App

29. Entwicklung einer
Splunk App
[https://dev.splunk.com/enterprise/docs/developapps/]

30. 8. Testen
Motivation:
• Verifizierung von allen Checks/Alerts
• Prüfung der Dashboards und Anzeigen, abhängig vom Status
• Prüfung der Workflows (z.B. Bearbeitung von Lookups im Betrieb)
Wie testen?
• Hoffen, das zufällig Events mit den jeweiligen Inhalten (z.B. Fehlercodes) in Splunk ankommen
• Fake it: historische Events manuell anpassen und in Splunk einspielen
(z.B: 2025-04-02 10:00.000 samplehost uptime: 5 d 10:30:51)
• Systemzustände und Fehlercodes durch Echt-Systeme generieren lassen

31. Thank You
Thank you very much for your
attention.