SlideShare ist ein Scribd-Unternehmen logo
Benjamin Wagner, wagner@comconsult.com
Security Operations mit Splunk
© 2020 ComConsult GmbH | +49 2408 951-0 | info@comconsult.com | www.comconsult.com
■ Kunden
Internationale Konzerne
Mittelständische Unternehmen
Bundes- und Landesbehörden
Große Verwaltungen
Universitäten
■ Gründung 1995
■ Standort Aachen
■ 90 Mitarbeiter
Das Unternehmen
IT-Beratung seit 25 Jahren – Kontinuität für Ihre IT-Zukunft
2
• In unserem SecOps-Seminar stellen wir die operative Informationssicherheit
(Security Operations, kurz: SecOps) mit ihren technischen und rechtlichen
Aspekten dar.
SecOps: Operative Informationssicherheit
• Zielgruppe:
• Betreiber
• Administratoren
• Rechenzentrumsleiter
• Entscheider
• Führungskräfte
• Projektleiter
• Skill Level:
• Einsteiger
• Experten
• Fortgeschrittene
3
• Auf unserem Seminar zeigen wir in einer Praxisdemonstration, wie ein Angriff
automatisiert erkannt und abgewehrt werden kann.
• Hierbei zeigen wir das Zusammenspiel von:
• Schwachstellen-Scanner
• Security Information and Event Management (SIEM)
• Network Access Control (NAC)
• Die Rolle des SIEM übernimmt dabei Splunk.
Einsatz von Splunk
4
Architektur
5
• Verwundbarer Server (Metasploitable2)
• Linux VM mit Schwachstellen
Target - Metasploitable
https://www.metasploit.com
6
• Schwachstellen-Scanner (OpenVAS)
• Kann Systeme auf bekannte Schwachstellen überprüfen
• Meldet Befunde an Splunk
• Erhöht Awareness der eigenen Angriffsfläche
Scanner - OpenVAS
http://openvas.org/index-de.html
7
• Cisco ISE – NAC-Server
• Überprüft Anfragen auf Zugang zum Netzwerk
• Teilt Switches mit, ob Zugriff zulässig
• Veranlasst dadurch Anpassungen am Switch, um Zugriff evtl. abzuschalten
• Kann über Rest-API ferngesteuert werden
NAC - Cisco ISE
https://www.cisco.com/c/de_de/products/security/identity-services-engine/index.html
8
• Splunk Enterprise als SIEM-System
• Empfängt Log-Daten von allen Systemen (außer dem Angreifer)
• Führt Korrelationen durch
• Kann Aktionen ausführen
• In der Demo: Wenn Ziel verwundbar UND viele Anfragen, DANN veranlasse Entfernen
aus dem Netzwerk via NAC/ISE
SIEM - Splunk
https://www.splunk.com/de_de
9
• Mit Malware infiziertes System
• Wird vom eigentlichen Angreifer ferngesteuert
• In diesem Beispiel scannt der Angreifer von hier aus sein potentielles Ziel auf
Schwachstellen
• Dient zur Planung des weiteren Vorgehens
• Zugang zum Netzwerk wird per NAC geregelt
Angreifer
10
Drehbuch
• Im Vorfeld wurden bereits Schwachstellen beim Ziel erkannt. Ein entsprechender
Alarm ist im Splunk eingerichtet.
1. Der Angreifer führt seinen Scan des Netzwerks aus.
2. Splunk bemerkt, dass das schützenswerte Zielsystem angegriffen wird
Erkennung einer hohen Anzahl Anfragen,
in Kombination mit der erkannten Verwundbarkeit des Systems
3. Splunk veranlasst die Isolation des Angreifers
Via API call zum NAC wird ein „Change of Authority“ ausgeführt.
4. Der Angriff kann nicht fortgesetzt werden.
11
Ablauf der Demo
12
• Termine:
• 28.04.-30.04.2020 in Bonn
• 08.06.-10.06.2020 in Bad Neuenahr
• 02.09.-04.09.2020 in Köln
• 24.11.-26.11.2020 in Düsseldorf
• Weitere Informationen finden Sie unter
https://www.comconsult-akademie.de/secops/.
Unser Seminar
Gemeinsame Ziele verbinden
ComConsult GmbH
Pascalstraße 27, 52076 Aachen, Deutschland
Telefon: +49 2408 951-0 E-Mail: info@comconsult.com
Fax: +49 2408 951-200 Web: https://www.comconsult.com
© ComConsult GmbH, 16. Januar 2020

Weitere ähnliche Inhalte

Ähnlich wie Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk

Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
QAware GmbH
 
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
QAware GmbH
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
kuehlhaus AG
 
Private Cloud Monitoring, Security Monitoring & DevOps - Splunk Public Sector...
Private Cloud Monitoring, Security Monitoring & DevOps - Splunk Public Sector...Private Cloud Monitoring, Security Monitoring & DevOps - Splunk Public Sector...
Private Cloud Monitoring, Security Monitoring & DevOps - Splunk Public Sector...
Splunk EMEA
 
Der Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC BetriebDer Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC Betrieb
Splunk
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
Carsten Muetzlitz
 
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
Didactum
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
A. Baggenstos & Co. AG
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
A. Baggenstos & Co. AG
 
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk EMEA
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
Fraunhofer AISEC
 
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
Andreas Pelka
 
Automatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-ProzessAutomatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-Prozess
x-celerate
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)
Agenda Europe 2035
 
Internet of Dangerous Things - IoT Device Hacking
Internet of Dangerous Things - IoT Device HackingInternet of Dangerous Things - IoT Device Hacking
Internet of Dangerous Things - IoT Device Hacking
M2M Alliance e.V.
 
SplunkLive! München - Flughafen München
SplunkLive! München - Flughafen MünchenSplunkLive! München - Flughafen München
SplunkLive! München - Flughafen München
Splunk
 
Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013
NETWAYS
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren Architektur
QAware GmbH
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
Stephan Kaps
 
Living on the Edge - Microservices in der Wildnis
Living on the Edge - Microservices in der WildnisLiving on the Edge - Microservices in der Wildnis
Living on the Edge - Microservices in der Wildnis
mmeisenzahl
 

Ähnlich wie Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk (20)

Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
 
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
 
Private Cloud Monitoring, Security Monitoring & DevOps - Splunk Public Sector...
Private Cloud Monitoring, Security Monitoring & DevOps - Splunk Public Sector...Private Cloud Monitoring, Security Monitoring & DevOps - Splunk Public Sector...
Private Cloud Monitoring, Security Monitoring & DevOps - Splunk Public Sector...
 
Der Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC BetriebDer Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC Betrieb
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
 
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
 
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
 
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
 
Automatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-ProzessAutomatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-Prozess
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)
 
Internet of Dangerous Things - IoT Device Hacking
Internet of Dangerous Things - IoT Device HackingInternet of Dangerous Things - IoT Device Hacking
Internet of Dangerous Things - IoT Device Hacking
 
SplunkLive! München - Flughafen München
SplunkLive! München - Flughafen MünchenSplunkLive! München - Flughafen München
SplunkLive! München - Flughafen München
 
Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren Architektur
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
 
Living on the Edge - Microservices in der Wildnis
Living on the Edge - Microservices in der WildnisLiving on the Edge - Microservices in der Wildnis
Living on the Edge - Microservices in der Wildnis
 

Mehr von Splunk

.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routine.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routine
Splunk
 
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
Splunk
 
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica).conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
Splunk
 
.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank International.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank International
Splunk
 
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett .conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
Splunk
 
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär).conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
Splunk
 
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu....conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
Splunk
 
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever....conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
Splunk
 
.conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex).conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex)
Splunk
 
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
Splunk
 
Splunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11ySplunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk
 
Splunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go KölnSplunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go Köln
Splunk
 
Splunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go KölnSplunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go Köln
Splunk
 
Data foundations building success, at city scale – Imperial College London
 Data foundations building success, at city scale – Imperial College London Data foundations building success, at city scale – Imperial College London
Data foundations building success, at city scale – Imperial College London
Splunk
 
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk
 
SOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security WebinarSOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security Webinar
Splunk
 
.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session
Splunk
 
.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - Keynote.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - Keynote
Splunk
 
.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform Session.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform Session
Splunk
 
.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security Session.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security Session
Splunk
 

Mehr von Splunk (20)

.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routine.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routine
 
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
 
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica).conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
 
.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank International.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank International
 
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett .conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
 
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär).conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
 
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu....conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
 
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever....conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
 
.conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex).conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex)
 
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
 
Splunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11ySplunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11y
 
Splunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go KölnSplunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go Köln
 
Splunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go KölnSplunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go Köln
 
Data foundations building success, at city scale – Imperial College London
 Data foundations building success, at city scale – Imperial College London Data foundations building success, at city scale – Imperial College London
Data foundations building success, at city scale – Imperial College London
 
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
 
SOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security WebinarSOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security Webinar
 
.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session
 
.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - Keynote.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - Keynote
 
.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform Session.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform Session
 
.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security Session.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security Session
 

Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk

  • 2. © 2020 ComConsult GmbH | +49 2408 951-0 | info@comconsult.com | www.comconsult.com ■ Kunden Internationale Konzerne Mittelständische Unternehmen Bundes- und Landesbehörden Große Verwaltungen Universitäten ■ Gründung 1995 ■ Standort Aachen ■ 90 Mitarbeiter Das Unternehmen IT-Beratung seit 25 Jahren – Kontinuität für Ihre IT-Zukunft
  • 3. 2 • In unserem SecOps-Seminar stellen wir die operative Informationssicherheit (Security Operations, kurz: SecOps) mit ihren technischen und rechtlichen Aspekten dar. SecOps: Operative Informationssicherheit • Zielgruppe: • Betreiber • Administratoren • Rechenzentrumsleiter • Entscheider • Führungskräfte • Projektleiter • Skill Level: • Einsteiger • Experten • Fortgeschrittene
  • 4. 3 • Auf unserem Seminar zeigen wir in einer Praxisdemonstration, wie ein Angriff automatisiert erkannt und abgewehrt werden kann. • Hierbei zeigen wir das Zusammenspiel von: • Schwachstellen-Scanner • Security Information and Event Management (SIEM) • Network Access Control (NAC) • Die Rolle des SIEM übernimmt dabei Splunk. Einsatz von Splunk
  • 6. 5 • Verwundbarer Server (Metasploitable2) • Linux VM mit Schwachstellen Target - Metasploitable https://www.metasploit.com
  • 7. 6 • Schwachstellen-Scanner (OpenVAS) • Kann Systeme auf bekannte Schwachstellen überprüfen • Meldet Befunde an Splunk • Erhöht Awareness der eigenen Angriffsfläche Scanner - OpenVAS http://openvas.org/index-de.html
  • 8. 7 • Cisco ISE – NAC-Server • Überprüft Anfragen auf Zugang zum Netzwerk • Teilt Switches mit, ob Zugriff zulässig • Veranlasst dadurch Anpassungen am Switch, um Zugriff evtl. abzuschalten • Kann über Rest-API ferngesteuert werden NAC - Cisco ISE https://www.cisco.com/c/de_de/products/security/identity-services-engine/index.html
  • 9. 8 • Splunk Enterprise als SIEM-System • Empfängt Log-Daten von allen Systemen (außer dem Angreifer) • Führt Korrelationen durch • Kann Aktionen ausführen • In der Demo: Wenn Ziel verwundbar UND viele Anfragen, DANN veranlasse Entfernen aus dem Netzwerk via NAC/ISE SIEM - Splunk https://www.splunk.com/de_de
  • 10. 9 • Mit Malware infiziertes System • Wird vom eigentlichen Angreifer ferngesteuert • In diesem Beispiel scannt der Angreifer von hier aus sein potentielles Ziel auf Schwachstellen • Dient zur Planung des weiteren Vorgehens • Zugang zum Netzwerk wird per NAC geregelt Angreifer
  • 11. 10 Drehbuch • Im Vorfeld wurden bereits Schwachstellen beim Ziel erkannt. Ein entsprechender Alarm ist im Splunk eingerichtet. 1. Der Angreifer führt seinen Scan des Netzwerks aus. 2. Splunk bemerkt, dass das schützenswerte Zielsystem angegriffen wird Erkennung einer hohen Anzahl Anfragen, in Kombination mit der erkannten Verwundbarkeit des Systems 3. Splunk veranlasst die Isolation des Angreifers Via API call zum NAC wird ein „Change of Authority“ ausgeführt. 4. Der Angriff kann nicht fortgesetzt werden.
  • 13. 12 • Termine: • 28.04.-30.04.2020 in Bonn • 08.06.-10.06.2020 in Bad Neuenahr • 02.09.-04.09.2020 in Köln • 24.11.-26.11.2020 in Düsseldorf • Weitere Informationen finden Sie unter https://www.comconsult-akademie.de/secops/. Unser Seminar
  • 14. Gemeinsame Ziele verbinden ComConsult GmbH Pascalstraße 27, 52076 Aachen, Deutschland Telefon: +49 2408 951-0 E-Mail: info@comconsult.com Fax: +49 2408 951-200 Web: https://www.comconsult.com © ComConsult GmbH, 16. Januar 2020