Splunk w akcji. Radosław Żak-Brodalko Solutions Architect Linux Polska Sp. z o.o.



Podobne dokumenty
Security Master Class

Monitorowanie zdarzeń w sieci bankowej w odniesieniu do Rekomendacji D. Bartłomiej Kilanowicz, ASCOMP

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

HURTOWNIE DANYCH I BUSINESS INTELLIGENCE

WIZUALNA EKSPLORACJA DANYCH I RAPORTOWANIE W SAS VISUAL ANALYTICS ORAZ WSTĘP DO SAS VISUAL STATISTICS

Aplikacja serwerowa Platformy Prezentacyjnej Opis produktu

Instalacja SQL Server Express. Logowanie na stronie Microsoftu

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

Agenda. Charakterystyka Business Intelligence. Architektura systemu. Prezentacja funkcjonalności. Podsumowanie

Organizacyjnie. Prowadzący: dr Mariusz Rafało (hasło: BIG)

Innowacyjne rozwiązania odpowiedzą na RODO

7. zainstalowane oprogramowanie zarządzane stacje robocze

OPIS PRZEDMIOTU ZAMÓWIENIA

Win Admin Replikator Instrukcja Obsługi

System zarządzania i monitoringu

NetIQ Sentinel i Rekomendacja D

Kupiliśmy SIEM (IBM QRadar) dlaczego i co dalej?

Analityka i BigData w służbie cyberbezpieczeństa

OfficeObjects e-forms

Włącz autopilota w zabezpieczeniach IT

Win Admin Replikator Instrukcja Obsługi

Platforma Cognos. Agata Tyma CMMS Department Marketing & Sales Specialist atyma@aiut.com.pl AIUT Sp. z o. o.

Wymagania dotyczące systemu analizy bezpieczeństwa sieci -

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Numeron. System ienergia

TWÓJ BIZNES. Nasz Obieg Dokumentów

Nadzorowanie stanu serwerów i ich wykorzystania przez użytkowników

ISTOTNE POSTANOWIENIA UMOWY

Opis Przedmiotu Zamówienia

OFERTA NA AUDYT ZGODNOŚCI Z REKOMENDACJĄ D WYMAGANĄ PRZEZ KNF

12 czerwca Piotr Kozłowski Dyrektor ds. Rozwoju Sektora Samorządowego

Zmiana treści Specyfikacji Istotnych Warunków Zamówienia.

Usługi analityczne budowa kostki analitycznej Część pierwsza.

The Binder Consulting

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

Proaktywny i automatyczny monitoring infrastruktury IT w świetle Rekomendacji D

ZAŁĄCZNIK NR 3 OPIS PRZEDMIOTU ZAMÓWIENIA DOTYCZĄCY WDROŻENIA PLATFORMY ZAKUPOWEJ

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Win Admin Replikator Instrukcja Obsługi

MONITOROWANIE DOSTĘPNOŚCI USŁUG IT

ZAŁĄCZNIK NR 5 - GRUPA PRODUKTÓW 5: OPROGRAMOWANIE BAZODANOWE

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Wykaz tematów prac dyplomowych w roku akademickim 2011/2012 kierunek: informatyka, studia niestacjonarne

TOPWEB Microsoft Excel 2013 i PowerBI Przygotowanie danych, analiza i efektowna prezentacja wyników raportów

Warstwa integracji. wg. D.Alur, J.Crupi, D. Malks, Core J2EE. Wzorce projektowe.

ZARZĄDZANIE FLOTĄ URZĄDZEŃ DRUKUJĄCYCH

Odpowiedź II wyjaśnienie na zapytania do Specyfikacji Istotnych Warunków Zamówienia.

Uniwersytet Mikołaja Kopernika w Toruniu Wydział Matematyki i Informatyki Wydział Fizyki, Astronomii i Informatyki Stosowanej Instytut Fizyki

Asseco CCR Comprehensive Consolidated Reporting. asseco.pl

Rozwiązanie GIS dla mniejszego. miasta: model Miasta Stalowa Wola. Janusz JEśAK. Jacek SOBOTKA. Instytut Rozwoju Miast. ESRI Polska Sp. z o. o.

Systemy obiegu informacji i Protokół SWAP "CC"

Login_R Software. Korzyści jakie może przynieść wdrożenie systemu Microsoft Business Solutions NAVISION są następujące:

risk AB ZARZĄDZANIE RYZYKIEM OPERACYJNYM Dodatkowe możliwości programu: RYZYKO BRAKU ZGODNOŚCI PRALNIA

Problemy niezawodnego przetwarzania w systemach zorientowanych na usługi

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

TWÓJ BIZNES. Nasze rozwiązanie

Katalog handlowy e-production

WF-FaKiR BUDŻET to aplikacja wspomagająca zarządzanie finansami w jednostkach budżetowych

Agenda. O firmie. Wstęp Ksavi. Opis funkcjonalności systemu Ksavi Auditor. Podsumowanie

HP Service Anywhere Uproszczenie zarządzania usługami IT

Automatyzacja Testowania w WEB 2.0

DOKUMENT INFORMACYJNY COMARCH BUSINESS INTELLIGENCE:

System Broker. Wersja 5.1

EXSO-CORE - specyfikacja

Portale raportowe, a narzędzia raportowe typu self- service

produkować, promować i sprzedawać produkty, zarządzać i rozliczać przedsięwzięcia, oraz komunikować się wewnątrz organizacji.

Dysk 20GB przestrzeni Ajax Ajax 1.0 Baza danych MS SQL 2005 lub 2008 Express Java Java 6 run time Microsoft Silverlight 3.

Część I Rozpoczęcie pracy z usługami Reporting Services

Firmowe rachunki w Banku BPH można już integrować z systemami SAP w trybie On-Line!

WDROŻENIE RSA NETWITNESS SUITE W BRANŻY E-COMMERCE

Nowe spojrzenie na systemy monitoringu i sterowania sieciami ciepłowniczymi

Zadania PCSS w Polskiej Platformie Bezpieczeństwa Wewnętrznego

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

System INTEGRYB jako zintegrowane repozytorium danych umożliwiające zaawansowaną analitykę badawczą

Produkty i artefakty architektoniczne

Rozwiązanie Compuware Data Center - Real User Monitoring

Wszystkie parametry pracy serwera konfigurujemy w poszczególnych zakładkach aplikacji, podzielonych wg zakresu funkcjonalnego.

Win Admin Replikator Instrukcja Obsługi

Jarosław Żeliński analityk biznesowy, projektant systemów

SYSTEM VILM ZARZĄDZANIE CYKLEM ŻYCIA ŚRODOWISK WIRTUALNYCH. tel: +48 (032)

Agencja Interaktywna

OBIEG INFORMACJI I WSPOMAGANIE DECYZJI W SYTUACJACH KRYZYSOWYCH

Od papierowych procedur do automatycznych procesów biznesowych w urzędzie dobre praktyki Michał Prusaczyk

ActiveXperts SMS Messaging Server

15 lat doświadczeń w budowie systemów zbierania i przetwarzania danych kontrolno-pomiarowych

Istnieje możliwość prezentacji systemu informatycznego MonZa w siedzibie Państwa firmy.

Uniwersytet Warszawski Wydział Matematyki, Informatyki i Mechaniki. Paweł Parys. Nr albumu: Aukcjomat

AE/ZP-27-16/14. Oprogramowanie do wykonywania kopii zapasowych oraz zarządzania maszynami wirtualnymi

Nowoczesne zarządzanie pracą serwisu w terenie

Włodzimierz Dąbrowski, Przemysław Kowalczuk, Konrad Markowski. Bazy danych ITA-101. Wersja 1

firmy produkty intranet handel B2B projekty raporty notatki

Zarządzanie Zapasami System informatyczny do monitorowania i planowania zapasów. Dawid Doliński

Monitorowanie aplikacji i rozwiązywanie problemów

Zmiana treści Specyfikacji Istotnych Warunków Zamówienia.

Bezpieczeństwo danych w sieciach elektroenergetycznych

Monitoring ruchu sieciowego w nk.pl w oparciu o protokół netflow oraz rozwiązania opensource

Opis systemu Oracle Business Intelligence

Usługi i narzędzia QCG

Projekt: MS i CISCO dla Śląska

Tajemnica bankowa i ochrona danych osobowych w czynnościach outsourcingowych

Transkrypt:

Splunk w akcji Radosław Żak-Brodalko Solutions Architect Linux Polska Sp. z o.o. 1

Splunk agent wiedzy o infrastrukturze czyli SIEM i coś więcej 2 Splunk gromadzi oraz integruje informacje dotyczące funkcjonowania infrastruktury i systemów IT Pozwala na łatwą analizę danych bez ich uprzedniego przetwarzania lub przygotowania Potrafi analizować dane zapisane w dowolnym formacie (nawet binarnym!) Splunk pozwala z łatwością kojarzyć informacje oraz pozwala na intuicyjne drążenie zbieranych danych

Architektura Splunk model agentowy Agent w postaci tzw. forwardera zbiera dane na poszczególnych systemach małe wymagania infrastrukturalne przenośność (wieloplatformowość) Serwer (indekser) mogący pełnić szereg funkcji 3 gromadzi i przetwarza dane z agentów podział danych na zdarzenia funkcje systemu bazy danych (własna baza) funkcje retencji i kontroli dostępu realizuje funkcje interfejsu użytkownika

Architektura Splunk modułowość Moduły techniczne (tzw. dodatki technologiczne) zestawy gotowych konfiguracji powtarzalność konfiguracji Aplikacje analityczne 4 zestawy gotowych narzędzi analitycznych raporty kokpity analizy możliwość samodzielnego tworzenia aplikacji zarządzanie wiedzą analityczną

Architektura Splunk modułowość Moduły techniczne (tzw. dodatki technologiczne) zestawy gotowych konfiguracji powtarzalność konfiguracji Aplikacje analityczne 5 zestawy gotowych narzędzi analitycznych raporty kokpity analizy możliwość samodzielnego tworzenia aplikacji zarządzanie wiedzą analityczną

Splunk UF system #1 (Linux) indeks #3 indeks #2 indeks #1 Indexer #1 aplikacja #1 Splunk UF system #2 (Windows Server) Search Head indeks #4 aplikacja #2 Indexer #2 Splunk UF system #3 (AIX) 6 SNMP Trap SYSLOG router (CISCO Catalyst)

Możliwości analizy informacji w Splunk Różne zdarzenia są organizowane w jednolity sposób Automatyczna klasyfikacja zdarzeń w indeksie 7 źródło plik, port TCP, skrypt typ źródła specyficznie dla konfiguracji host system, na którym zarejestrowano zdarzenie Automatyczna ekstrakcja danych (schematy ekstrakcji) klucz-wartość... a=1 XML... <a>1</a> JSON... a: 1 Samodzielna ekstrakcja danych

Możliwości analizy informacji w Splunk 8 Dedykowany intuicyjny język zapytań Strumieniowe przetwarzanie danych zdarzeń Zaawansowane funkcje analityczne wyszukiwanie anomalii transakcyjność mechanizmy relacyjne asocjacja agregacja

Możliwości analizy informacji w Splunk error host=webapp* >> 400 Dedykowany intuicyjny językerror zapytań error OR OR failure failure host=webapp* error 400 error chart count Strumieniowe przetwarzanie danych zdarzeń error eval eval srv=service. @.host srv=service. @.host chart count by by srv srv Zaawansowane funkcje analityczne wyszukiwanie anomalii host=web* anomalies search host=web* anomalies search unexpectedness unexpectedness >> 0.05 0.05 transakcyjność host=web* transaction host=web* transaction jsessionid jsessionid mechanizmy relacyjne sourcetype=web join cid sourcetype=web join cid [[ search search source=*/aud.log source=*/aud.log ]] asocjacja sourcetype=auth sourcetype=auth associate associate user_dept user_dept user_role user_role agregacja host=web* transaction host=web* transaction id id stats stats avg(duration) avg(duration) by by host host 9

Możliwości analizy informacji w Splunk 10 Analiza zdarzeń w trybie interaktywnym graficzny interfejs użytkownika (technologia Web) drążenie danych (drill-down) różne metody wizualizacji danych praca w czasie rzeczywistym Interakcja złożona budowanie kokpitów (dashboards) parametryzacja interaktywnych raportów analitycznych organizacja informacji w aplikacje analityczne

Możliwości analizy informacji w Splunk Bezpieczeństwo informacji model kontroli dostępu h-rbac ukrywanie danych wrażliwych zdarzeń integracja z AD, LDAP, (moduły) kontrola dostępu do danych na poziomie indeksu na poziomie zdrzenia (filtrowanie wg cech) kontrola dostępu do funkcji systemu kontrola wykorzystania zasobów (limity) kontrola dostępu do obiektów wiedzy 11

Splunk w operacjach IT Funkcje wspierające działania operacyjne alerty powiadomienia o sytuacjach wyjątkowych pre-alerty powiadomienia zanim wystąpi sytuacja wyjątkowa (funkcje analityczne predykcja) Wykonanie żądanych akcji w reakcji na sytuację wykonanie zaplanowanej operacji wysłanie powiadomienia konsola alertów w Splunk Spójność 12 alerty są definiowane dla zapytania Splunk

Rekomendacja D 13 9.6: Reguły rejestrowania zdarzeń przez narzędzia monitorujące bezpieczeństwo powinny zostać sformalizowane. Zdarzenia te powinny podlegać systematycznej analizie. 9.28: Bank powinien posiadać udokumentowane zasady zarządzania wydajnością i pojemnością komponentów infrastruktury teleinformatycznej. 9.29: W celu zwiększenia efektywności procesu zarządzania wydajnością i pojemnością, bank powinien przeanalizować zasadność zastosowania narzędzi pozwalających na automatyzację monitorowania obciążenia zasobów. 11.10: Systemy informatyczne przetwarzające dane o wysokiej istotności dla banku powinny posiadać mechanizmy pozwalające na automatyczną rejestrację zachodzących w nich zdarzeń w taki sposób, aby zapisy tych rejestrów mogły stanowić wiarygodne dowody niewłaściwego korzystania z tych systemów. 20: Bank powinien posiadać sformalizowane zasady zarządzania incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego, obejmujące ich identyfikację, rejestrowanie, analizę, priorytetyzację, wyszukiwanie powiązań podejmowanie działań naprawczych oraz usuwanie przyczyn.

Dziękujemy za uwagę Radosław Żak-Brodalko Solutions Architect Linux Polska Sp. z o.o. 14

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres