Zurück

TrackMe App für Splunk – Ein Baustein zur Steigerung der Dateninput-Qualität

27. Januar 2021
TrackMe App für Splunk – Ein Baustein zur Steigerung der Dateninput-Qualität

Stellen Sie sich vor: das Security Team hat einen Indicator of compromise (IoC). Zur Untersuchung und Korrelation benötigen die Analysten des Security Operations Centers (SOC) die Rohdaten der Proxy- und Active Directory-Logs aus den letzten drei Monaten. Mit Erstaunen stellt das SOC Team fest, dass seit beinahe vier Wochen keine Proxy Logs mehr eingeliefert wurden. Wie sich im Nachhinein rausstellte, war ein Upgrade der Proxy Software die Ursache.

Ähnliche Probleme können beim IT Monitoring auftauchen. Wie stellt man sicher, dass bei tausenden von Quellen auch alle Daten eingeliefert werden?

Diese Beispiele zeigen, wie wichtig ein essentielles Monitoring der Daten in Splunk ist.

In der Regel haben die verschiedenen Fachabteilungen wie z.B. Security, Service-Monitoring, Applikationsbetrieb etc. Anforderungen an die Art und Inhalte der Logs. Diese Daten sind zwingend notwendig, um die Inhalte für die Auswertungen sicherzustellen.

Die kostenlose Splunk App «TrackMe» bietet Abhilfe. «TrackMe» automatisiert die Überwachung und Sichtbarkeit aller Daten in Splunk. Die übersichtliche Benutzeroberfläche erlaubt das Konfigurieren und Erstellen von Workflows für das Monitoren von Datensourcetypen, Datenhosts und Metrikhosts.

 

Desweiteren können Anomalien in den Datenmengen sowie das Überschreiten von vordefinierten Latenzen beim Einliefern von Events erkannt werden.

 

 

Anomalien in der Datenauslieferungen werden mit automatischen Berechnungen durch Standardabweichungen ermittelt. Alternativ können auch statische Werte gesetzt werden. Für Datensourcetypen, Indices und Assets lässt sich die Wichtigkeit einstellen. Vordefinierte Alerts erleichtern das schnelle Deployment.

 

 

Für die Automatisierung stellt «TrackMe» ein umfangreiches Rest API zur Verfügung. Zudem eignen sich die Daten von «TrackMe» auch für PCI- oder Compliance-Anforderungen, und eine Integration in Splunk IT Service Intelligence (ITSI) rundet das Produkt ab.

Die «TrackMe» App kann unter https://splunkbase.splunk.com/app/4621/ heruntergeladen werden.

 

LC Systems unterstützt Sie gerne bei der Ausarbeitung von Logkonzepten und deren technische Umsetzung. Zudem bieten wir Managed Services für das Data Input Management an. Sprechen Sie mit uns!