Mint Security tarjoaa Splunkia käyttäville erilaisia lisäarvollisia Splunk konsultointipalveluita jolla saadaan omasta ympäristöstä kaikki irti – turvallisesti.
Configuration Health Check
- Splunkin omien health check työkalujen ajaminen ja niiden pohjalta konfiguraation analysointi ja työsuunnitelman ja käytännön suositusten tekeminen
- Yleisimpien konfiguraatiotiedostojen läpikäynti ja vertaaminen parhaimpiin käytäntöihin
- transforms, props, limits, authorization, server, indexes, …
- Uhkamallinnus vs. nykyarkkitehtuuri / jatkuvuus / tilatarve / klusterointitarve
- Valtuuksien ja tunnistuksen tarkistus ja suositus
- SSO, ldap, paikalliset tunnukset)
- Datan säilytys – data retention
- DMC – oletushälytykset
Migraatiot ja versiopäivitykset
- Tarkempi suunnittelu ja vaiheittain eteneminen
- Taustatietojen kerääminen (tunnukset, polut, muu tutustuminen nyky-ympäristöön)
- Palautumissuunnitelma
- Splunk varusohjelmiston asennus ja päivitys samaan major-versioon kuin lähtöversio (x.y → x.y+1)
- Datan siirto ja mahdollinen siirron harjoittelu
- Forwardereitten päivitys
- Forwardereitten applikaatioiden päivitys (edellytys: deployment server tai muuten manuaalityö)
- Uuden Splunkin testaaminen yhdessä asiakkaan kanssa
- Käyttöönotto ja yliheitto
- Uuden Splunkin seuranta 5 työpäivän aikana
Splunk tietoturva-auditointi
- Uhkamallinnus tietoturvanäkökulmasta
- Taustalla Configuration Health Check, mutta paneutuu tietoturvaan
- Palvelimien ja arkkitehtuurin asetukset (kovennukset, iptables, segregointi ja segmentointi, proxyt, palomuurit, …)
- Palveluiden saatavuus ja jatkuvuus
- Datan suojaaminen (hakujen rajaukset, indeksien suojaukset)
- Valtuudet (kirjautumiset, valtuudet, oletusoikeudet, …)
- Hallintakäytännöt (esim. admin-käyttäjät järjestelmäympäristössä)
- Perinteinen ympäristön tietoturvatestaus pentest-työkaluilla
- Pilvidatan sijainti
Security Dashboard and Threat Intelligence
- ”Top-10” tietoturvadashboardit ja tilannekuva
- Lähtötietoja
- Palomuuri ja DNS
- Optio: käyttäjähakemisto (AD), ids/idp, tunnistusjärjestelmä (esim. SAML IDP), proxy, verkkoskannaukset, VPN, AWS/Azure/Google
- Threat Intelligence
- AlphaSOC NBA ja Obelisk Threat Intel (vaatii erillisen lisenssin)
- Esimerkkinäkymiä
- AlphaSOCin kautta yleiset uhat ja threat intel (liikenneanalyysi north-south, malware/politiikan vastaiset/tietovuoto/vaaralliset ja epäilyttävät kohteet)
- Liikenneprofiilit palomuurissa (sallitut epänormaalit portit, blokattu normaalit portit, ajallisesti epäillyttävät)
- IDS/IPS profilointi (per aliverkko)
- Top ip/lähde/kohde
- Käytetyt DNS-palvelimet
- Pureutuminen palomuurilokeihin
- Tietoturvalaitteiden audit-trail / muutosten valvonta ja seuranta
- Verkkojen skkannaustulokset
- Proxy (sisäänpäin) poikkeamat
siem
Splunk delivery models
Mint Security has a set of predefined delivery models to choose from. These are based on best practices and experience.
siem
Minted by Splunk
Mint Security provides a vast range of überconsulting for Splunk. From a single server to clustered multisite setups with integrated SSO and 2FA.
SIEM, Splunk ja lokienhallinta
SIEM ja lokitapahtumienhallinta lyhyesti Tilannekuva on yksi suurimmista ”hypesanoista” tällä hetkellä. Yksinkertaisimmin tilannekuva tarkoittaa parista lokilähteestä generoitua graafista esitystä. Parhaiten toteutettuna tilannekuva pitää sisällään sovelluslokeja,