Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).

Mint Security tarjoaa Splunkia käyttäville erilaisia lisäarvollisia Splunk konsultointipalveluita jolla saadaan omasta ympäristöstä kaikki irti – turvallisesti.

Configuration Health Check

  • ​Splunkin omien health check työkalujen ajaminen ja niiden pohjalta konfiguraation analysointi ja työsuunnitelman ja käytännön suositusten tekeminen
  • Yleisimpien konfiguraatiotiedostojen läpikäynti ja vertaaminen parhaimpiin käytäntöihin
    • transforms, props, limits, authorization, server, indexes, …
  • Uhkamallinnus vs. nykyarkkitehtuuri / jatkuvuus / tilatarve / klusterointitarve
  • Valtuuksien ja tunnistuksen tarkistus ja suositus
    • SSO, ldap, paikalliset tunnukset)
  • Datan säilytys – data retention
  • DMC – oletushälytykset

Migraatiot ja versiopäivitykset

  • Tarkempi suunnittelu ja vaiheittain eteneminen
  • Taustatietojen kerääminen (tunnukset, polut, muu tutustuminen nyky-ympäristöön)
  • Palautumissuunnitelma
  • Splunk varusohjelmiston asennus ja päivitys samaan major-versioon kuin lähtöversio (x.y → x.y+1)
  • Datan siirto ja mahdollinen siirron harjoittelu
  • Forwardereitten päivitys
  • Forwardereitten applikaatioiden päivitys (edellytys: deployment server tai muuten manuaalityö)
  • Uuden Splunkin testaaminen yhdessä asiakkaan kanssa
  • Käyttöönotto ja yliheitto
  • Uuden Splunkin seuranta 5 työpäivän aikana

Splunk tietoturva-auditointi

  • Uhkamallinnus tietoturvanäkökulmasta
  • Taustalla Configuration Health Check, mutta paneutuu tietoturvaan
  • Palvelimien ja arkkitehtuurin asetukset (kovennukset, iptables, segregointi ja segmentointi, proxyt, palomuurit, …)
  • Palveluiden saatavuus ja jatkuvuus
  • Datan suojaaminen (hakujen rajaukset, indeksien suojaukset)
  • Valtuudet (kirjautumiset, valtuudet, oletusoikeudet, …)
  • Hallintakäytännöt (esim. admin-käyttäjät järjestelmäympäristössä)
  • Perinteinen ympäristön tietoturvatestaus pentest-työkaluilla
  • Pilvidatan sijainti

Security Dashboard and Threat Intelligence

  • ”Top-10” tietoturvadashboardit ja tilannekuva
  • Lähtötietoja
    • Palomuuri ja DNS
    • Optio: käyttäjähakemisto (AD), ids/idp, tunnistusjärjestelmä (esim. SAML IDP), proxy, verkkoskannaukset, VPN, AWS/Azure/Google
  • Threat Intelligence
    • AlphaSOC NBA ja Obelisk Threat Intel (vaatii erillisen lisenssin)
  • Esimerkkinäkymiä
    • AlphaSOCin kautta yleiset uhat ja threat intel (liikenneanalyysi north-south, malware/politiikan vastaiset/tietovuoto/vaaralliset ja epäilyttävät kohteet)
    • Liikenneprofiilit palomuurissa (sallitut epänormaalit portit, blokattu normaalit portit, ajallisesti epäillyttävät)
    • IDS/IPS profilointi (per aliverkko)
    • Top ip/lähde/kohde
    • Käytetyt DNS-palvelimet
    • Pureutuminen palomuurilokeihin
    • Tietoturvalaitteiden audit-trail / muutosten valvonta ja seuranta
    • Verkkojen skkannaustulokset
    • Proxy (sisäänpäin) poikkeamat
Splunk header
siem

Minted by Splunk

Mint Security is a Splunk partner and a license reseller. In addition, Mint Security provides a vast range of überconsulting for Splunk. From a single server to clustered multisite setups with integrated SSO and 2FA.

Lue lisää »
Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).

contact us

Please do contact us. We most likely respond faster than you thought,