SD-Security: Orchestration, Automation & Response mit ......Splunk > phantom CONTAINER: Artifact 1,...

Mar

com

V1.

1 20

19

© 2019 Controlware GmbH 1Klassifizierung: intern

Automatisierte IT-Security UseCases mit Splunk Phantom

SD-Security: Orchestration, Automation & Response mit Splunk Phantom

Stuttgart, 12. Februar 2020

Roland KaiserTeamleiter CC IT-Management Integration

Mar

com

V1.

1 20

19


Was ist Phantom1

Controlware Use-Case5

Automatisierung mit Phantom – ein Beispiel2

Demo3

Use-Cases4

Agenda

Mar

com

V1.

1 20

19


Was ist Phantom

Mar

com

V1.

1 20

19


Warum braucht man Orchestrierung und Automatisierun g?

Mar

com

V1.

1 20

19


Gartner defines security orchestration, automation and response, or SOAR, as technologies that enable organizations to collect security threats data and alerts from different sources , where incident analysis and triage can be performed leveraging a combination of human and machine power to help define, prioritize and drive standardized incident response activities according to a standard workflow.

S O A R – nach Gartner

S

O

A

R

Security

Orchestrierung

Automatisierung

Response

Mar

com

V1.

1 20

19


Haben Sie eine Idee

für was

SOARSteht?

Die große Frage …

Mar

com

V1.

1 20

19


SOAR

Mar

com

V1.

1 20

19


• Das Zusammentragen aller Informationen eines Events trägt dazu bei, festzustellen, ob es sich um einen echten Sicherheitsvorfall handelt.– und wenn ja – wie muss reagiert werden.

• Nachdem alle Artefakte gesammelt sind, kann Phantom schnell mit dem automatisierten Prozess beginnen und die richtigen Aktionen/Assets orchestrieren.

• Identify � Map � Analyze

Wie arbeitet SOAR?

New Admin Account

SIEM

Notable Event

Splunk > phantom CONTAINER: Artifact 1, Artifact 2, Artifact 3 etc.

Mar

com

V1.

1 20

19


DATA PLATFORM

ANALYTICS

OPERATIONS

Wie passt Phantom in die Splunk Security Vision

Cloud Security

Endpoints

OrchestrationWAF & App

Security

Threat Intelligence

Network

Web Proxy Firewall

Identity and Access

• Advanced cyber defense Risikoreduzierung durch einen analysegesteuerten Ansatz

• Respond faster durchBeschleunigung der Incident Response

• Work smarter Personal- und Qualifikationsherausforderungen zu reduzieren

Mar

com

V1.

1 20

19


Typischer Security Operations Aufbau

Mar

com

V1.

1 20

19


Automatisierung mit Phantom – ein Beispiel

Mar

com

V1.

1 20

19


Wie sieht so ein Prozess aus?

Ein User meldet eine Phishing Mail?

Die große Frage …

Mar

com

V1.

1 20

19



Minuten oder Stunden oder Tage

Mar

com

V1.

1 20

19



Mar

com

V1.

1 20

19


Manuell:

Zeit pro Analyse: 45 Minuten

mit SOAR:

Zeit pro Analyse : 30-60 Sekunden + manuelle Verifizierung

Durchschnittliche Zeitersparnis:

ca. 40 Minuten

Wie arbeitet SOAR?

Mar

com

V1.

1 20

19


• Mehr als 300 Apps darunter• Virus Total

• Tufin

• Ansible

• Vectra

• Splunk

• Mehr als 1900 API Calls

• Möglichkeit eigene Apps einzubinden

Phantom Schnittstellen?

Mar

com

V1.

1 20

19


Hohe Standardisierung und Dynamik

Klare Prozesse und Routinetätigkeiten

Aktuelle APIs (REST, etc.)

Überwachung und Nachvollziehbarkeit

Veränderte Messgrößen

Rahmenbedingungen - Voraussetzungen - Lösungen

Mar

com

V1.

1 20

19


DEMO

Mar

com

V1.

1 20

19


• Löst keine gehäufte Anzahl von False/Positive Alarme

• Ein getuntes SIEM mit validierten Incidents sollte die Basis sein

• Threat Intelligence Systeme sollten nur relevante D aten liefern

• Verringert nicht die Anzahl von benötigten Analysten

• Schritt für Schritt Implementierung

• Nicht alles kann/sollte automatisiert werden

Stolpersteine

Mar

com

V1.

1 20

19


• Herausforderungen• Schwierigkeiten bei der Wartung von Automatisierungsskripten über eine

große Anzahl von Security Produkten

• Es war notwendig, bestehende Security-Produkte miteinander zu verknüpfen, um die Reaktions- und Lösungslücke zu verringern.

• Mehr als 30-40 Incidents pro Tag

• Lösung mit Phantom• Schnittstellen zu den Herstellern werden von Splunk gepflegt

• Ein Großteil der Incidents können automatisiert werden

• Lösungszeit erheblich reduziert (40 Sekunden statt 30 Minuten)

Use-Case Blackstone

Mar

com

V1.

1 20

19


Mar

com

V1.

1 20

19


• Herausforderungen• Eliminieren der zeitaufwändigsten Aufgaben

• Automatisieren der Incidents mit dem höchsten Aufkommen

• Langweilige Aufgaben automatisieren

• Messen des ROI

• Lösung mit Phantom• Schnittstellen zu den Herstellern werden von Splunk gepflegt

• Ein Großteil der Incidents können automatisiert werden

• Lösungszeit erheblich reduziert

Use-Case Starbucks

Mar

com

V1.

1 20

19


Controlware Use Case

Mar

com

V1.

1 20

19


• Herausforderungen• MISP Datenbank liefert IOC Daten

• Logdaten müssen 7 Tage rückwärts mit neuen IOC Daten durchsucht werden

• Lösung mit Phantom• Schnittstellen zu den Herstellern werden von Phantom bereitgestellt

• Phantom lädt IOC Daten hinein, es werden hier nur die Delta Daten verwendet

• Phantom stößt automatisch suche nach neuen IOC Daten an

• Phantom erstellt Incident wenn IOC gefunden wurde

Controlware – Use Cases – IOC Hunting Down

Mar

com

V1.

1 20

19


Mar

com

V1.

1 20

19


Fragen!

Mar

com

V1.

1 20

19


� Splunk4Rookies / Phantom4Rookies – 4 Stunden ‚Crashk urs‘

� SplunkLive!� 12. Mai – Frankfurt� 19. Mai – München

� Download – Free Edition

� Demo/Webex

� Beratung

� Proof of Concept

Phantom & Splunk – wie kann es für Sie weitergehen

Mar

com

V1.

1 20

19


Vielen Dank für Ihre Aufmerksamkeit!Thank you very much for your attention!

Mar

com

V1.

1 20

19


SD-Security: Orchestration, Automation & Response mit ......Splunk > phantom CONTAINER: Artifact 1,...

Documents

Transcript of SD-Security: Orchestration, Automation & Response mit ......Splunk > phantom CONTAINER: Artifact 1,...