XDR ist derzeit eines der âheiĂenâ Themen in der Cyber Security: Anbieter ĂŒberschlagen sich in neuen Lösungen und Angeboten, und wie so oft wird die neue Technologie als der Heilsbringer schlechthin dargestellt. Grund genug, sich einmal die HintergrĂŒnde anzuschauen und zu beleuchten, wo die Grenzen zu bzw. die Möglichkeiten mit traditionellen SIEMs wie Splunk
Splunk Universal Forwarder können unter Windows auf verschiedene Arten installiert werden, u.a. ĂŒber die in der Windows-Welt gĂ€ngigen Software-Verteilungsmechanismen wie SCCM. In manchen Situationen, z.B. wĂ€hrend eines PoC, ist es aber nicht möglich oder angemessen, die Installation des UFs direkt in die regulĂ€re Software-Verteilung aufzunehmen. In so einem Fall kann die automatisierte Installation der
In manchen FĂ€llen wissen wir nicht genau, welche Form der Darstellung in einem Dashboard fĂŒr die Anwender besonders gut geeignet ist. Manchmal hĂ€ngt das davon ab, welche Vorkenntnisse die Anwender zum aktuellen Thema haben, oder aber vom gewĂ€hlten Zeitbereich. Gerade in interaktiven Dashboards mit verschiedenen Auswahlmöglichkeiten (Input-Elementen) ist oft nicht vorhersehbar, welche Daten schlieĂlich
Als Splunk PS Consultants fĂŒhren wir hĂ€ufig sogenannte Health Checks durch, bei denen wir die Splunk-Installation der Kunden prĂŒfen und die Möglichkeiten zur Optimierung dokumentieren. Einer der Punkte, der bei fast jedem Health Check auftritt ist die sub-optimale Konfiguration von Sourcetypes. Diese Sourcetype-Konfiguration definiert sehr wichtige Aspekte bei der Verarbeitung von eingehenden Daten in
Zeitzonen in Splunk Teil 1 Bei einem Splunk PS-Einsatz komme ich Montags morgens ins BĂŒro und sehe in etwa folgende beim Blick auf den Schreibtisch meines Ansprechpartners: Drei GerĂ€te, die alle mit dem Netzwerk verbunden sind, zeigen drei unterschiedliche Zeiten an Die Organisation des Kunden betreibt seine IT-Infrastruktur definitiv nur in einem Land, in
Die zentrale Aufgabe von Forwardern in einer Splunk-Infrastruktur ist es, Daten einzulesen und an die Indexer weiter zu leiten. In den meisten FĂ€llen handelt es sich dabei um mehrere Indexer und nicht nur einen einzelnen Indexer. Um die eingelesenen Daten auf die verfĂŒgbaren Indexer zu verteilen, nutzen die Forwarder einen eingebauten und Splunk-spezifischen Load-Balancing-Mechanismus.