Lokienhallinta ja SIEM – Splunk ja Sentinel
Lokienhallinta ja SIEM – Splunk ja Sentinel lyhyesti
Tilannekuva on yksi suurimmista ”hypesanoista” tällä hetkellä. Yksinkertaisimmin tilannekuva tarkoittaa parista lokilähteestä generoitua graafista esitystä. Parhaiten toteutettuna tilannekuva pitää sisällään sovelluslokeja, tietoliikennelokeja, asiakaspalautejärjestelmää, tiketöintijärjestelmää sekä julkisia uutislähteitä ja mahdollisesti paljon muutakin. Tilannekuvan rakentaminen ja ostaminen on haastavaa, tarpeiden kartoitus ja määrittely sekä ”tarpeeksi hyvän” päättäminen on hankala prosessi.
Mitä Mint Security toimittaa
Toimitamme palveluita seuraavilla osa-alueilla
- Lokienhallinnan vaatimusmäärittelyt ja suunnittelu
- Asiakaslähtöiset SOC-kilpailutukset ja -ulkoistukset
- SOC-lähtöiset SOC-teknologiakilpailutukset
- Sisäisten SOCien perustaminen
- Splunk teknologiatoteutukset ja käyttöönotot
- Sentinel käyttöönotot
- Splunk ja Sentinel integraatiot
- Kokonaistilannekuvan luominen
Autamme alkutarpeiden kartoituksessa. Suoritamme tarvittaessa asennukset myös haastaviin ja monimutkaisiin ympäristöihin. Suunnittelemme lokienhallinnan arkkitehtuurin, sekä suorituskyvyn, redundanssin että lokien suojaamisen että tietoturvan näkökulmasta. Lokien suojaamisen kannalta se, kuka pääsee mihinkin lokiin on olennaista.
Audit-lokien osalta osaamisemme perustuu finanssialan vaativiin ympäristöihin – osaamisemme skaalautuu.
Olemme teknologia-agnostisia, mutta teknisissä toteutuksissa olemme parhaimmillamme Splunk ja Sentinel -ympäristöissä. Kilpailutuksissa emme ole ennakkoluuloisia teknologioiden suhteen.
Asiakkaiden tarpeet ja ratkaistavat haasteet
Jokainen asiakasympäristö on hyvinkin erilainen ja jokaisella asiakkaalla on yksilölliset tarpeet. Ratkaisemamme haasteet voidaan kuitenkin karkeasti kategorisoida seuraavasti
- Päätelaitteiden tilannekuva
- Monitorointi ja hälytys
- Vaatimustenmukaisuus
- Tietoturvalaitteiden tilannekuva
- Infrastruktuurin tilannekuva
- SecDevOps-ympäristön tilannekuva
- Varusohjelmistojen ajonaikaiset lokit
- Vaatimustenmukaisuus ja audit-lokitus
- Sovelluskehitysympäristön ja ohjelmistoturvallisuuden mittaaminen
Sentinel
Sentinelin asema hallitussa M365 ympäristössä on kiistämätön. Entran, Defenderin, Purviewn ja Intunen sekä koko Azuressa olevan infran monitorointi ja seuranta on Sentinelillä suoraviivaista. Kokonaisuuden suunnitteluun ja budjetointiin kannattaa kuitenkin käyttää aikaa. Käyttöönoton jälkeen pitää myös olla selvät prosessit siitä, kuka tekee, mitä tekee ja milloin.
Hyvällä valmistelulla organisaatio jää omistamaan valvonnan tärkeimmän pääoman – ja voi tarvittaessa ulkoistaa tylsimmän osuuden – itse yötyön.
Splunk
Meillä on erinomaista Splunk-osaamista. Suosimme Splunkia vaativissa lokienhallintakokonaisuuksissa. Splunkilla pystymme takaamaan loistavia tuloksia sekä pystymme tukemaan asiakkaitamme kaikin mahdollisin tavoin – suunnittelussa, toteutuksessa, järjestelmän operoinnissa, sisällön luomisessa ja hälytysten ja SOC-integraatioiden luomisessa.
Meillä on jo Splunk käytössä
Mint Splunk Consulting Services
Mint Security tarjoaa Splunkia käyttäville erilaisia lisäarvollisia Splunk konsultointipalveluita jolla saadaan omasta ympäristöstä kaikki irti – turvallisesti.
Haluamme Splunkin käyttöömme
Splunk delivery models
Mint Security has a set of predefined delivery models to choose from. These are based on best practices and experience.
Splunkista ja sen tarjoamista mahdollisuuksista voisi kertoa loputtomasti. Siksi olemme päättäneet jakaa osaamistamme ja kokemuksiamme erillisten blogikirjoitusten muodossa.
Kolmas sija Splunk BOTS -kisassa 13.3.2019
Mint Securityn tiimi osallistui Helsingissä 13.3. järjestettyyn BOTS eli BOSS of the SOC -tapahtumaan. BOSS of the SOC on Splunk -teknologian ympärillä järjestettävä capture-the-flag (CTF) kisa.
Splunk Enterprise Architectural Decisions
So, you’ve got your Splunk Enterprise up and running and collecting data from some of your systems. A few dashboards have been created too and life is good. But perhaps, there could be more .
Tarkemmin menetelmistämme ja työkaluistamme
Olemme kivenkovia Splunk-asiantuntijoita vuosien takaa. Olemme tätä kokemusta tuoneet ja soveltaneet myös Sentinel-ympäristöihin. Osaamisemme ei ole tuotekohtaista, vaan pystymme kokemuksemme turvin loihtimaan suuresta lokidatasta (Big Log Data) näkymiä ympäristössä kuin ympäristössä.
Alla on joitakin kuvakaappauksia todellisista (ja anonymisoiduista) lokianalyyseistä.
Splunk on yksi suosituimmista ja suurimmista lokienhallintatoimittajista tänä päivänä. Splunk on laajasti käytössä oleva ratkaisu, ja siihen on olemassa laajennuksia sekä tavallisiin että erittäin eksoottisiin käyttötarkoituksiin. Splunk laajenee valtaviin tietomääriin.
Kokonaisvaltaiseen palveluumme kuuluu myös Splunk-lisenssit.
