Presentation slides from Splunk Discovery held in Köln on January 17th 2020.

1. Benjamin Wagner, wagner@comconsult.com
Security Operations mit Splunk

2. © 2020 ComConsult GmbH | +49 2408 951-0 | info@comconsult.com | www.comconsult.com
■ Kunden
Internationale Konzerne
Mittelständische Unternehmen
Bundes- und Landesbehörden
Große Verwaltungen
Universitäten
■ Gründung 1995
■ Standort Aachen
■ 90 Mitarbeiter
Das Unternehmen
IT-Beratung seit 25 Jahren – Kontinuität für Ihre IT-Zukunft

3. 2
• In unserem SecOps-Seminar stellen wir die operative Informationssicherheit
(Security Operations, kurz: SecOps) mit ihren technischen und rechtlichen
Aspekten dar.
SecOps: Operative Informationssicherheit
• Zielgruppe:
• Betreiber
• Administratoren
• Rechenzentrumsleiter
• Entscheider
• Führungskräfte
• Projektleiter
• Skill Level:
• Einsteiger
• Experten
• Fortgeschrittene

4. 3
• Auf unserem Seminar zeigen wir in einer Praxisdemonstration, wie ein Angriff
automatisiert erkannt und abgewehrt werden kann.
• Hierbei zeigen wir das Zusammenspiel von:
• Schwachstellen-Scanner
• Security Information and Event Management (SIEM)
• Network Access Control (NAC)
• Die Rolle des SIEM übernimmt dabei Splunk.
Einsatz von Splunk

5. 4
Architektur

6. 5
• Verwundbarer Server (Metasploitable2)
• Linux VM mit Schwachstellen
Target - Metasploitable
https://www.metasploit.com

7. 6
• Schwachstellen-Scanner (OpenVAS)
• Kann Systeme auf bekannte Schwachstellen überprüfen
• Meldet Befunde an Splunk
• Erhöht Awareness der eigenen Angriffsfläche
Scanner - OpenVAS
http://openvas.org/index-de.html

8. 7
• Cisco ISE – NAC-Server
• Überprüft Anfragen auf Zugang zum Netzwerk
• Teilt Switches mit, ob Zugriff zulässig
• Veranlasst dadurch Anpassungen am Switch, um Zugriff evtl. abzuschalten
• Kann über Rest-API ferngesteuert werden
NAC - Cisco ISE
https://www.cisco.com/c/de_de/products/security/identity-services-engine/index.html

9. 8
• Splunk Enterprise als SIEM-System
• Empfängt Log-Daten von allen Systemen (außer dem Angreifer)
• Führt Korrelationen durch
• Kann Aktionen ausführen
• In der Demo: Wenn Ziel verwundbar UND viele Anfragen, DANN veranlasse Entfernen
aus dem Netzwerk via NAC/ISE
SIEM - Splunk
https://www.splunk.com/de_de

10. 9
• Mit Malware infiziertes System
• Wird vom eigentlichen Angreifer ferngesteuert
• In diesem Beispiel scannt der Angreifer von hier aus sein potentielles Ziel auf
Schwachstellen
• Dient zur Planung des weiteren Vorgehens
• Zugang zum Netzwerk wird per NAC geregelt
Angreifer

11. 10
Drehbuch
• Im Vorfeld wurden bereits Schwachstellen beim Ziel erkannt. Ein entsprechender
Alarm ist im Splunk eingerichtet.
1. Der Angreifer führt seinen Scan des Netzwerks aus.
2. Splunk bemerkt, dass das schützenswerte Zielsystem angegriffen wird
Erkennung einer hohen Anzahl Anfragen,
in Kombination mit der erkannten Verwundbarkeit des Systems
3. Splunk veranlasst die Isolation des Angreifers
Via API call zum NAC wird ein „Change of Authority“ ausgeführt.
4. Der Angriff kann nicht fortgesetzt werden.

12. 11
Ablauf der Demo

13. 12
• Termine:
• 28.04.-30.04.2020 in Bonn
• 08.06.-10.06.2020 in Bad Neuenahr
• 02.09.-04.09.2020 in Köln
• 24.11.-26.11.2020 in Düsseldorf
• Weitere Informationen finden Sie unter
https://www.comconsult-akademie.de/secops/.
Unser Seminar

14. Gemeinsame Ziele verbinden
ComConsult GmbH
Pascalstraße 27, 52076 Aachen, Deutschland
Telefon: +49 2408 951-0 E-Mail: info@comconsult.com
Fax: +49 2408 951-200 Web: https://www.comconsult.com
© ComConsult GmbH, 16. Januar 2020