Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 1Klassifizierung: intern
Automatisierte IT-Security UseCases mit Splunk Phantom
SD-Security: Orchestration, Automation & Response mit Splunk Phantom
Stuttgart, 12. Februar 2020
Roland KaiserTeamleiter CC IT-Management Integration
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 2Klassifizierung: intern
Was ist Phantom1
Controlware Use-Case5
Automatisierung mit Phantom – ein Beispiel2
Demo3
Use-Cases4
Agenda
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 3Klassifizierung: intern
Was ist Phantom
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 4Klassifizierung: intern
Warum braucht man Orchestrierung und Automatisierun g?
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 5Klassifizierung: intern
Gartner defines security orchestration, automation and response, or SOAR, as technologies that enable organizations to collect security threats data and alerts from different sources , where incident analysis and triage can be performed leveraging a combination of human and machine power to help define, prioritize and drive standardized incident response activities according to a standard workflow.
S O A R – nach Gartner
S
O
A
R
Security
Orchestrierung
Automatisierung
Response
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 6Klassifizierung: intern
Haben Sie eine Idee
für was
SOARSteht?
Die große Frage …
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 7Klassifizierung: intern
SOAR
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 8Klassifizierung: intern
• Das Zusammentragen aller Informationen eines Events trägt dazu bei, festzustellen, ob es sich um einen echten Sicherheitsvorfall handelt.– und wenn ja – wie muss reagiert werden.
• Nachdem alle Artefakte gesammelt sind, kann Phantom schnell mit dem automatisierten Prozess beginnen und die richtigen Aktionen/Assets orchestrieren.
• Identify � Map � Analyze
Wie arbeitet SOAR?
New Admin Account
SIEM
Notable Event
Splunk > phantom CONTAINER: Artifact 1, Artifact 2, Artifact 3 etc.
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 9Klassifizierung: intern
DATA PLATFORM
ANALYTICS
OPERATIONS
Wie passt Phantom in die Splunk Security Vision
Cloud Security
Endpoints
OrchestrationWAF & App
Security
Threat Intelligence
Network
Web Proxy Firewall
Identity and Access
• Advanced cyber defense Risikoreduzierung durch einen analysegesteuerten Ansatz
• Respond faster durchBeschleunigung der Incident Response
• Work smarter Personal- und Qualifikationsherausforderungen zu reduzieren
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 10Klassifizierung: intern
Typischer Security Operations Aufbau
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 11Klassifizierung: intern
Automatisierung mit Phantom – ein Beispiel
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 12Klassifizierung: intern
Wie sieht so ein Prozess aus?
Ein User meldet eine Phishing Mail?
Die große Frage …
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 13Klassifizierung: intern
Typischer Security Operations Aufbau
Minuten oder Stunden oder Tage
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 14Klassifizierung: intern
Typischer Security Operations Aufbau
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 15Klassifizierung: intern
Manuell:
Zeit pro Analyse: 45 Minuten
mit SOAR:
Zeit pro Analyse : 30-60 Sekunden + manuelle Verifizierung
Durchschnittliche Zeitersparnis:
ca. 40 Minuten
Wie arbeitet SOAR?
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 16Klassifizierung: intern
• Mehr als 300 Apps darunter• Virus Total
• Tufin
• Ansible
• Vectra
• Splunk
• Mehr als 1900 API Calls
• Möglichkeit eigene Apps einzubinden
Phantom Schnittstellen?
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 17Klassifizierung: intern
Hohe Standardisierung und Dynamik
Klare Prozesse und Routinetätigkeiten
Aktuelle APIs (REST, etc.)
Überwachung und Nachvollziehbarkeit
Veränderte Messgrößen
Rahmenbedingungen - Voraussetzungen - Lösungen
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 18Klassifizierung: intern
DEMO
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 19Klassifizierung: intern
• Löst keine gehäufte Anzahl von False/Positive Alarme
• Ein getuntes SIEM mit validierten Incidents sollte die Basis sein
• Threat Intelligence Systeme sollten nur relevante D aten liefern
• Verringert nicht die Anzahl von benötigten Analysten
• Schritt für Schritt Implementierung
• Nicht alles kann/sollte automatisiert werden
Stolpersteine
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 20Klassifizierung: intern
• Herausforderungen• Schwierigkeiten bei der Wartung von Automatisierungsskripten über eine
große Anzahl von Security Produkten
• Es war notwendig, bestehende Security-Produkte miteinander zu verknüpfen, um die Reaktions- und Lösungslücke zu verringern.
• Mehr als 30-40 Incidents pro Tag
• Lösung mit Phantom• Schnittstellen zu den Herstellern werden von Splunk gepflegt
• Ein Großteil der Incidents können automatisiert werden
• Lösungszeit erheblich reduziert (40 Sekunden statt 30 Minuten)
Use-Case Blackstone
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 21Klassifizierung: intern
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 22Klassifizierung: intern
• Herausforderungen• Eliminieren der zeitaufwändigsten Aufgaben
• Automatisieren der Incidents mit dem höchsten Aufkommen
• Langweilige Aufgaben automatisieren
• Messen des ROI
• Lösung mit Phantom• Schnittstellen zu den Herstellern werden von Splunk gepflegt
• Ein Großteil der Incidents können automatisiert werden
• Lösungszeit erheblich reduziert
Use-Case Starbucks
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 23Klassifizierung: intern
Controlware Use Case
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 24Klassifizierung: intern
• Herausforderungen• MISP Datenbank liefert IOC Daten
• Logdaten müssen 7 Tage rückwärts mit neuen IOC Daten durchsucht werden
• Lösung mit Phantom• Schnittstellen zu den Herstellern werden von Phantom bereitgestellt
• Phantom lädt IOC Daten hinein, es werden hier nur die Delta Daten verwendet
• Phantom stößt automatisch suche nach neuen IOC Daten an
• Phantom erstellt Incident wenn IOC gefunden wurde
Controlware – Use Cases – IOC Hunting Down
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 25Klassifizierung: intern
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 26Klassifizierung: intern
Fragen!
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 27Klassifizierung: intern
� Splunk4Rookies / Phantom4Rookies – 4 Stunden ‚Crashk urs‘
� SplunkLive!� 12. Mai – Frankfurt� 19. Mai – München
� Download – Free Edition
� Demo/Webex
� Beratung
� Proof of Concept
Phantom & Splunk – wie kann es für Sie weitergehen
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 28Klassifizierung: intern
Vielen Dank für Ihre Aufmerksamkeit!Thank you very much for your attention!
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 29Klassifizierung: intern
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 30Klassifizierung: intern
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 31Klassifizierung: intern
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 32Klassifizierung: intern
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 33Klassifizierung: intern
Mar
com
V1.
1 20
19
© 2019 Controlware GmbH 34Klassifizierung: intern