Splunk, profile picture
Hochgeladen vonSplunk
PDF, PPTX27 aufrufe

Nach dem SOC-Aufbau ist vor der Automatisierung (OFD Baden-Württemberg)

Splunk Public Sector Summit Germany April 2025 Präsentation: Nach dem SOC-Aufbau ist vor der Automatisierung Sprecher: Sven Beisel, Fachreferent SOC, Oberfinanzdirektion Baden-Württemberg

Präsentation einbetten

Als PDF, PPTX herunterladen
Nach dem SOC-Aufbau ist vor der Automatisierung Use Case Automatisierung mit SOAR
Zu meiner Person Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW 2 Sven Beisel, Fachreferent SOC ▪ 45 Jahre, verheiratet, 3 Kinder im Alter von 5, 12 und 19 ▪ Gelernter Energieelektroniker, nach der Ausbildung in den IT-Bereich gewechselt ▪ Studium zum IT-Betriebswirt ▪ Über 20 Jahre bei der EnBW in unterschiedlichen IT-Bereichen und Positionen ▪ 2 Jahre als IT-Projektleiter für Digitalisierungsprojekte bei großen deutschen Versicherungen ▪ Seit 4 Jahren bei der OFD Baden-Württemberg als Fachreferent SOC
Sicherheitszentrum IT in der Finanzverwaltung BW (SITiF BW) Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW 3 Der Weg für ein SOC wurde geschaffen Mit dem Kabinettsbeschluss des Finanzministeriums BW im Mai 2019 wird die OFD Karlsruhe mit dem Aufbau des Sicherheitszentrums IT in der Finanzverwaltung (SITiF BW) beim Landeszentrum für Datenverarbeitung (LZfD) beauftragt. ▪ Zusätzliches Referat für SITiF BW ▪ Beschaffung und ab Q3/2020 Aufbau SIEM-System. Hierfür wurden mehrere Tonnen an Servern und Netzwerk- komponenten geliefert, eingebaut und verkabelt.
Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW 4 Überwachung 24 x 7 mit Rufbereitschaft Unser Team besteht aus 9 Analysten sowie 3 Fachreferent*Innen und einem Referent. Wir überwachen vor Ort im Schichtbetrieb die sicherheitsrelevanten Ereignisse während unserer „bedienten Zeit“ montags bis freitags von 7:00 Uhr – 18:00 Uhr. Außerhalb dieser Zeiten stellen wir per Rufbereitschaft und Alarmierung auf die Diensthandys sicher, dass wir keine Ereignisse verpassen. Somit stellen wir im SOC des SITiF BW den 24x7 Betrieb sicher. Wie sind wir im SOC aufgestellt?
Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW 5 Logvolumen pro Tag in TB (gemittelt): ca. 1,6 TB Aktuell angebundene Systeme: ▪ > 10.000 Systeme (Server, Clients) der OFD Baden-Württemberg ▪ > 2500 Netzwerk-Komponenten ▪ > 820 Systeme der Dienststellen in der Finanzverwaltung Sicherheitsrelevante Ereignisse (Notables) im SIEM pro Tag: ▪ 2021 = 200 ▪ 2022 = 60 ▪ 2023 = 33 ▪ 2024 = 21 Seit Oktober 2024 Umstellung auf Risk Based Alerting (RBA) Zahlen, Daten, Fakten
Ausbau des SOC und SIEM 6 SOAR-System Initiale Automatisierung: VPN-Einwahl - Prüfung der Lokation Prüfung von URLs bei curl/wget Aufrufen Weiteres auf der nächsten Folie Sandbox-System Prüfung von E-Mails und Anhängen Prüfung von URLs - In Arbeit - Prüfen von Dateien über definierten Eingangskanal („Schmutziges Laufwerk“) NDR-System NDR-System mit Anbindung an das SIEM Notables (sicherheitsrelevante Ereignisse) werden direkt an das SIEM gemeldet Detektion von verdächtigem Netzwerkverkehr Datenabfluss (große Mengen, ungewöhnliche Uhrzeit) Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW
Automatisierung SOAR - Sandbox - SIEM 7 Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW Mailcheck • Dediziertes Postfach zur Prüfung von eingehenden Mails • SOAR pollt auf das Postfach • Bei eingehenden Mails werden diese abgerufen und an das Sandbox-System übergeben • Analyse in der Sandbox • Ergebnis wird nach Beendigung der Analyse an SOAR übergeben • Ergebnis wird durch SOAR per Notable im SIEM den Analysten zur Verfügung gestellt • Rückmeldung an Mailabsender per Disposition-Auswahl (Clean/Suspicious/Malicious) • Automatisierte Mailantwort nach Auswahl der Disposition Zeitersparnis pro Mail: ca. 2-5 Minuten
Automatisierung SOAR – IoCs - SIEM 8 Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW IoC Automatisierung • Abruf der IoCs aus definierten Quellen • Prüfung der IoCs auf Plausibilität • Aufteilung der IoCs in CSVs (IP, Hash, Domains, URLs) • Übertragung in das SIEM-System als Lookups • Starten der IoC-Suchen mit Rückmeldung der Ergebnisse an das SOC Zeitersparnis: ca. 5-10 Minuten
Automatisierung SIEM - SOAR – Mail 9 Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW Erstellung von Mandantenberichten für die Dienststellen Für die angebundenen Dienststellen in der Finanzverwaltung werden die Notables der Dienststellen aus dem SIEM-System wöchentlich von SOAR ausgelesen, in eine Excel-Tabelle geschrieben und automatisiert an die Dienststellen versendet. Zeitersparnis: ca. 10 Minuten
10 Herzlichen Dank für Ihre Aufmerksamkeit Sven Beisel Oberfinanzdirektion Baden-Württemberg EDV 73A | Fachreferent SOC sven.beisel@ofd.bwl.de Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW

Weitere ähnliche Inhalte

PDF
Splunk Leadership Forum Wien - 20.05.2025
vonSplunk
 
PDF
Splunk Security Update | Public Sector Summit Germany 2025
vonSplunk
 
PDF
Building Resilience with Energy Management for the Public Sector
vonSplunk
 
PDF
IT-Lagebild: Observability for Resilience (SVA)
vonSplunk
 
PDF
Monitoring einer Sicheren Inter-Netzwerk Architektur (SINA)
vonSplunk
 
PDF
Praktische Erfahrungen mit dem Attack Analyser (gematik)
vonSplunk
 
PDF
Cisco XDR & Splunk SIEM - stronger together (DATAGROUP Cyber Security)
vonSplunk
 
PDF
Security - Mit Sicherheit zum Erfolg (Telekom)
vonSplunk
 
Splunk Leadership Forum Wien - 20.05.2025
vonSplunk
 
Splunk Security Update | Public Sector Summit Germany 2025
vonSplunk
 
Building Resilience with Energy Management for the Public Sector
vonSplunk
 
IT-Lagebild: Observability for Resilience (SVA)
vonSplunk
 
Monitoring einer Sicheren Inter-Netzwerk Architektur (SINA)
vonSplunk
 
Praktische Erfahrungen mit dem Attack Analyser (gematik)
vonSplunk
 
Cisco XDR & Splunk SIEM - stronger together (DATAGROUP Cyber Security)
vonSplunk
 
Security - Mit Sicherheit zum Erfolg (Telekom)
vonSplunk
 

Mehr von Splunk

PDF
One Cisco - Splunk Public Sector Summit Germany April 2025
vonSplunk
 
PDF
.conf Go 2023 - Data analysis as a routine
vonSplunk
 
PDF
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
vonSplunk
 
PDF
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
vonSplunk
 
PDF
.conf Go 2023 - Raiffeisen Bank International
vonSplunk
 
PDF
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
vonSplunk
 
PDF
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
vonSplunk
 
PDF
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
vonSplunk
 
PDF
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
vonSplunk
 
PDF
.conf go 2023 - De NOC a CSIRT (Cellnex)
vonSplunk
 
PDF
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
vonSplunk
 
PPTX
Splunk - BMW connects business and IT with data driven operations SRE and O11y
vonSplunk
 
PDF
Splunk x Freenet - .conf Go Köln
vonSplunk
 
PPTX
Splunk Security Session - .conf Go Köln
vonSplunk
 
PPTX
Data foundations building success, at city scale – Imperial College London
vonSplunk
 
PPTX
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
vonSplunk
 
PDF
SOC, Amore Mio! | Security Webinar
vonSplunk
 
PPTX
.conf Go 2022 - Observability Session
vonSplunk
 
PPTX
.conf Go Zurich 2022 - Keynote
vonSplunk
 
PPTX
.conf Go Zurich 2022 - Platform Session
vonSplunk
 
One Cisco - Splunk Public Sector Summit Germany April 2025
vonSplunk
 
.conf Go 2023 - Data analysis as a routine
vonSplunk
 
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
vonSplunk
 
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
vonSplunk
 
.conf Go 2023 - Raiffeisen Bank International
vonSplunk
 
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
vonSplunk
 
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
vonSplunk
 
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
vonSplunk
 
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
vonSplunk
 
.conf go 2023 - De NOC a CSIRT (Cellnex)
vonSplunk
 
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
vonSplunk
 
Splunk - BMW connects business and IT with data driven operations SRE and O11y
vonSplunk
 
Splunk x Freenet - .conf Go Köln
vonSplunk
 
Splunk Security Session - .conf Go Köln
vonSplunk
 
Data foundations building success, at city scale – Imperial College London
vonSplunk
 
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
vonSplunk
 
SOC, Amore Mio! | Security Webinar
vonSplunk
 
.conf Go 2022 - Observability Session
vonSplunk
 
.conf Go Zurich 2022 - Keynote
vonSplunk
 
.conf Go Zurich 2022 - Platform Session
vonSplunk
 

Nach dem SOC-Aufbau ist vor der Automatisierung (OFD Baden-Württemberg)

  • 1.
    Nach dem SOC-Aufbau ist vorder Automatisierung Use Case Automatisierung mit SOAR
  • 2.
    Zu meiner Person Nachdem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW 2 Sven Beisel, Fachreferent SOC ▪ 45 Jahre, verheiratet, 3 Kinder im Alter von 5, 12 und 19 ▪ Gelernter Energieelektroniker, nach der Ausbildung in den IT-Bereich gewechselt ▪ Studium zum IT-Betriebswirt ▪ Über 20 Jahre bei der EnBW in unterschiedlichen IT-Bereichen und Positionen ▪ 2 Jahre als IT-Projektleiter für Digitalisierungsprojekte bei großen deutschen Versicherungen ▪ Seit 4 Jahren bei der OFD Baden-Württemberg als Fachreferent SOC
  • 3.
    Sicherheitszentrum IT in derFinanzverwaltung BW (SITiF BW) Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW 3 Der Weg für ein SOC wurde geschaffen Mit dem Kabinettsbeschluss des Finanzministeriums BW im Mai 2019 wird die OFD Karlsruhe mit dem Aufbau des Sicherheitszentrums IT in der Finanzverwaltung (SITiF BW) beim Landeszentrum für Datenverarbeitung (LZfD) beauftragt. ▪ Zusätzliches Referat für SITiF BW ▪ Beschaffung und ab Q3/2020 Aufbau SIEM-System. Hierfür wurden mehrere Tonnen an Servern und Netzwerk- komponenten geliefert, eingebaut und verkabelt.
  • 4.
    Nach dem SOC-Aufbauist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW 4 Überwachung 24 x 7 mit Rufbereitschaft Unser Team besteht aus 9 Analysten sowie 3 Fachreferent*Innen und einem Referent. Wir überwachen vor Ort im Schichtbetrieb die sicherheitsrelevanten Ereignisse während unserer „bedienten Zeit“ montags bis freitags von 7:00 Uhr – 18:00 Uhr. Außerhalb dieser Zeiten stellen wir per Rufbereitschaft und Alarmierung auf die Diensthandys sicher, dass wir keine Ereignisse verpassen. Somit stellen wir im SOC des SITiF BW den 24x7 Betrieb sicher. Wie sind wir im SOC aufgestellt?
  • 5.
    Nach dem SOC-Aufbauist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW 5 Logvolumen pro Tag in TB (gemittelt): ca. 1,6 TB Aktuell angebundene Systeme: ▪ > 10.000 Systeme (Server, Clients) der OFD Baden-Württemberg ▪ > 2500 Netzwerk-Komponenten ▪ > 820 Systeme der Dienststellen in der Finanzverwaltung Sicherheitsrelevante Ereignisse (Notables) im SIEM pro Tag: ▪ 2021 = 200 ▪ 2022 = 60 ▪ 2023 = 33 ▪ 2024 = 21 Seit Oktober 2024 Umstellung auf Risk Based Alerting (RBA) Zahlen, Daten, Fakten
  • 6.
    Ausbau des SOCund SIEM 6 SOAR-System Initiale Automatisierung: VPN-Einwahl - Prüfung der Lokation Prüfung von URLs bei curl/wget Aufrufen Weiteres auf der nächsten Folie Sandbox-System Prüfung von E-Mails und Anhängen Prüfung von URLs - In Arbeit - Prüfen von Dateien über definierten Eingangskanal („Schmutziges Laufwerk“) NDR-System NDR-System mit Anbindung an das SIEM Notables (sicherheitsrelevante Ereignisse) werden direkt an das SIEM gemeldet Detektion von verdächtigem Netzwerkverkehr Datenabfluss (große Mengen, ungewöhnliche Uhrzeit) Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW
  • 7.
    Automatisierung SOAR - Sandbox- SIEM 7 Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW Mailcheck • Dediziertes Postfach zur Prüfung von eingehenden Mails • SOAR pollt auf das Postfach • Bei eingehenden Mails werden diese abgerufen und an das Sandbox-System übergeben • Analyse in der Sandbox • Ergebnis wird nach Beendigung der Analyse an SOAR übergeben • Ergebnis wird durch SOAR per Notable im SIEM den Analysten zur Verfügung gestellt • Rückmeldung an Mailabsender per Disposition-Auswahl (Clean/Suspicious/Malicious) • Automatisierte Mailantwort nach Auswahl der Disposition Zeitersparnis pro Mail: ca. 2-5 Minuten
  • 8.
    Automatisierung SOAR – IoCs- SIEM 8 Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW IoC Automatisierung • Abruf der IoCs aus definierten Quellen • Prüfung der IoCs auf Plausibilität • Aufteilung der IoCs in CSVs (IP, Hash, Domains, URLs) • Übertragung in das SIEM-System als Lookups • Starten der IoC-Suchen mit Rückmeldung der Ergebnisse an das SOC Zeitersparnis: ca. 5-10 Minuten
  • 9.
    Automatisierung SIEM - SOAR– Mail 9 Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW Erstellung von Mandantenberichten für die Dienststellen Für die angebundenen Dienststellen in der Finanzverwaltung werden die Notables der Dienststellen aus dem SIEM-System wöchentlich von SOAR ausgelesen, in eine Excel-Tabelle geschrieben und automatisiert an die Dienststellen versendet. Zeitersparnis: ca. 10 Minuten
  • 10.
    10 Herzlichen Dank für Ihre Aufmerksamkeit SvenBeisel Oberfinanzdirektion Baden-Württemberg EDV 73A | Fachreferent SOC sven.beisel@ofd.bwl.de Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW