Lokienhallinta ja SIEM – Splunk ja Sentinel
Lokienhallinta ja SIEM – Splunk ja Sentinel lyhyesti
Tilannekuva on yksi suurimmista ”hypesanoista” tällä hetkellä. Yksinkertaisimmin tilannekuva tarkoittaa parista lokilähteestä generoitua graafista esitystä. Parhaiten toteutettuna tilannekuva pitää sisällään sovelluslokeja, tietoliikennelokeja, asiakaspalautejärjestelmää, tiketöintijärjestelmää sekä julkisia uutislähteitä ja mahdollisesti paljon muutakin. Tilannekuvan rakentaminen ja ostaminen on haastavaa, tarpeiden kartoitus ja määrittely sekä ”tarpeeksi hyvän” päättäminen on hankala prosessi.
Mitä Mint Security toimittaa
Toimitamme palveluita seuraavilla osa-alueilla
- Lokienhallinnan vaatimusmäärittelyt ja suunnittelu
- Asiakaslähtöiset SOC-kilpailutukset ja -ulkoistukset
- SOC-lähtöiset SOC-teknologiakilpailutukset
- Sisäisten SOCien perustaminen
- Splunk teknologiatoteutukset ja käyttöönotot
- Sentinel käyttöönotot
- Splunk ja Sentinel integraatiot
- Kokonaistilannekuvan luominen
Autamme alkutarpeiden kartoituksessa. Suoritamme tarvittaessa asennukset myös haastaviin ja monimutkaisiin ympäristöihin. Suunnittelemme lokienhallinnan arkkitehtuurin, sekä suorituskyvyn, redundanssin että lokien suojaamisen että tietoturvan näkökulmasta. Lokien suojaamisen kannalta se, kuka pääsee mihinkin lokiin on olennaista.
Audit-lokien osalta osaamisemme perustuu finanssialan vaativiin ympäristöihin – osaamisemme skaalautuu.
Olemme teknologia-agnostisia, mutta teknisissä toteutuksissa olemme parhaimmillamme Splunk ja Sentinel -ympäristöissä. Kilpailutuksissa emme ole ennakkoluuloisia teknologioiden suhteen.
Asiakkaiden tarpeet ja ratkaistavat haasteet
Jokainen asiakasympäristö on hyvinkin erilainen ja jokaisella asiakkaalla on yksilölliset tarpeet. Ratkaisemamme haasteet voidaan kuitenkin karkeasti kategorisoida seuraavasti
- Päätelaitteiden tilannekuva
- Monitorointi ja hälytys
- Vaatimustenmukaisuus
- Tietoturvalaitteiden tilannekuva
- Infrastruktuurin tilannekuva
- SecDevOps-ympäristön tilannekuva
- Varusohjelmistojen ajonaikaiset lokit
- Vaatimustenmukaisuus ja audit-lokitus
- Sovelluskehitysympäristön ja ohjelmistoturvallisuuden mittaaminen
Sentinel
Sentinelin asema hallitussa M365 ympäristössä on kiistämätön. Entran, Defenderin, Purviewn ja Intunen sekä koko Azuressa olevan infran monitorointi ja seuranta on Sentinelillä suoraviivaista. Kokonaisuuden suunnitteluun ja budjetointiin kannattaa kuitenkin käyttää aikaa. Käyttöönoton jälkeen pitää myös olla selvät prosessit siitä, kuka tekee, mitä tekee ja milloin.
Hyvällä valmistelulla organisaatio jää omistamaan valvonnan tärkeimmän pääoman – ja voi tarvittaessa ulkoistaa tylsimmän osuuden – itse yötyön.
Splunk
Meillä on erinomaista Splunk-osaamista. Suosimme Splunkia vaativissa lokienhallintakokonaisuuksissa. Splunkilla pystymme takaamaan loistavia tuloksia sekä pystymme tukemaan asiakkaitamme kaikin mahdollisin tavoin – suunnittelussa, toteutuksessa, järjestelmän operoinnissa, sisällön luomisessa ja hälytysten ja SOC-integraatioiden luomisessa.
Meillä on jo Splunk käytössä
Mint Splunk Consulting Services
Mint Security tarjoaa Splunkia käyttäville erilaisia lisäarvollisia Splunk konsultointipalveluita jolla saadaan omasta ympäristöstä kaikki irti – turvallisesti.
Haluamme Splunkin käyttöömme
Splunk delivery models
Mint Security has a set of predefined delivery models to choose from. These are based on best practices and experience.
Splunkista ja sen tarjoamista mahdollisuuksista voisi kertoa loputtomasti. Siksi olemme päättäneet jakaa osaamistamme ja kokemuksiamme erillisten blogikirjoitusten muodossa.
Splunk 2024 Security Predictions -yhteenveto
Tämä kirjoitus on vapaasti muotoiltu yhteenveto Security Predictions 2024 by Splunk -julkaisusta, joka on Splunkilta vapaasti ladattavissa. Aiheina ovat tekoäly, CISOn roolit sekä haittaohjelmat.
Splunk on-prem 2021 – miten ja miksi
Tässä blogissa haluan fokusoida siihen, miksi on-prem Splunk-asennus on edelleen 2021 kova sana. Lisäksi avaan meidän ylimaallisen hienon toimitustavan.
Tarkemmin menetelmistämme ja työkaluistamme
Olemme kivenkovia Splunk-asiantuntijoita vuosien takaa. Olemme tätä kokemusta tuoneet ja soveltaneet myös Sentinel-ympäristöihin. Osaamisemme ei ole tuotekohtaista, vaan pystymme kokemuksemme turvin loihtimaan suuresta lokidatasta (Big Log Data) näkymiä ympäristössä kuin ympäristössä.
Alla on joitakin kuvakaappauksia todellisista (ja anonymisoiduista) lokianalyyseistä.
Splunk on yksi suosituimmista ja suurimmista lokienhallintatoimittajista tänä päivänä. Splunk on laajasti käytössä oleva ratkaisu, ja siihen on olemassa laajennuksia sekä tavallisiin että erittäin eksoottisiin käyttötarkoituksiin. Splunk laajenee valtaviin tietomääriin.
Kokonaisvaltaiseen palveluumme kuuluu myös Splunk-lisenssit.
