20 feb

Nieuw – Officiële Splunk trainingen bij SMT

Haal het maximale uit je Splunk software investering met Splunk trainingen en ontwikkel je snel tot een super-user of advanced administrator.

Training is, zeker bij eigen beheer, essentieel om het gebruik van Splunk optimaal te laten slagen. Gebruikers raken hierdoor snel bekend met de mogelijkheden en technieken, waardoor ze Splunk vervolgens direct succesvol kunnen gebruiken, verfijnen en verbreden of verdiepen.

We zijn er dan ook trots op dat we je vanaf nu van dienst kunnen zijn met de volgende officiële Splunk trainingen in ons kantoor in Zoetermeer:

Using Splunk
De Using Splunk training leert je in een halve dag te zoeken, navigeren, taggen en alerts en eenvoudige rapporten te maken. Het is aanbevolen voor iedereen die Splunk gebruikt.

Searching & Reporting with Splunk
Scenario-based voorbeelden en hands-on praktijkopdrachten stellen deelnemers na deze dag in staat om krachtige Splunk zoekopdrachten, -rapporten en -grafieken te maken.

Splunk Admin & Advanced Admin
Deze tweedaagse Splunk Admin training is aanbevolen voor systeembeheerders en leert deelnemers Splunk optimaal te configureren en te beheren.

We hopen je hiermee nog completer van dienst te kunnen zijn, met als bijkomend voordeel het lokale (tijd en taal), klassikale en daardoor persoonlijke karakter van onze Splunk trainingen. Vanzelfsprekend kunnen we de trainingen ook op locatie geven of aanpassen aan je specifieke behoefte.

Mocht je aan een van de Splunk trainingen willen deelnemen, een plaats willen reserveren of vragen hebben, dan vernemen we dat graag van je.

20 feb

Praktijktip – xMatters en Blackberry versie 6

Met de release van Blackberry versie 6 heeft RIM de wijze hoe push-informatie in de toestellen wordt verwerkt, gewijzigd. Aangezien dit consequenties had op de aflevering van berichten vanuit xMatters (Alarmpoint), heeft xMatters in samenwerking met RIM een patch ontwikkeld. Deze patch is beschikbaar voor xMatters versies 4.0 en 4.1 en is vanaf de xMatters Community website te downloaden.

Alleen de installatie van de patch zal overigens nog niet het gewenste resultaat opleveren. Hiervoor moet vanuit de User-Interface (GUI) eerst de juiste Blackberry-versie ingesteld worden. Deze staat standaard op versie 4 en 5 ingesteld. Om deze naar 6 of hoger te wijzigen moet je als Admin ingelogd zijn. Vervolgens ga je naar de tab “Admin” en naar “Protocol Provider” en naar “BES”. Onderin heeft xMatters een pull-down-menu toegevoegd waarmee de juiste versie geselecteerd kan worden.

Ik hoop je hiermee van dienst te zijn. Mocht je vragen of opmerkingen hebben, dan verneem ik dat graag.

15 feb

FireEye Advanced Threat Report 2H 2011 nu beschikbaar

Bron: FireEye Blog

FireEye’s new Advanced Threat Report for the second half of 2011 is not your typical threat report. The threats that are covered aren’t the known malware and spam you’ll find published in reports from traditional security vendors. Instead, what you’ll find is insight into advanced threats that have successfully evaded traditional lines of defense, including firewalls, IPS, gateways and antivirus.

Looking at shared threat data from global deployments of FireEye’s Malware Protection Systems (MPS), we are continuing to see a new breed of cyber-attacks emerge. These attacks are dynamic and stealthy and are extremely effective at compromising network leaving nearly every enterprise vulnerable to data theft, cyber-espionage, and intellectual property exfiltration.

Key 2011 FireEye Findings

The fastest growing malware categories in the second half of 2011 were PPI (pay per installs) and information stealers.
Of the thousands of malware families, the “Top 50” generated 80% of successful malware infections.
Over 95% of enterprise networks have a security gap despite $20B spent annually on IT security.
Spear phishing attacks increase when enterprise security operations centers are lightly staffed or understaffed, particularly during holidays.

To find out more, including what were the most prevalent malware categories in 2011 and the kinds of advanced techniques malware programs have been using to avoid detection, download the FireEye Advanced Threat Report 2H 2011.

14 feb

Splunk en gecomprimeerde log bestanden

De afgelopen periode hebben we van een aantal klanten de melding ontvangen dat Splunk de data in gecomprimeerde log bestanden steeds opnieuw indexeert.

Zie je “WARN DateParserVerbose – Failed to parse timestamp. Defaulting to timestamp of previous event” meldingen, dan kan het hiermee te maken hebben. Het resultaat is dat je veel meer data indexeert en uiteraard is dit van invloed op je licentieverbruik!

Om dit te voorkomen adviseren we je deze bestanden op de ‘blacklist’ te zetten: “blacklist = \.(gz|bz2|z|zip)$”. Zie de volgende pagina op Splunk Docs voor meer informatie.

Mocht je overigens vragen of opmerkingen over dit onderwerp hebben, dan verneem ik dat graag.

9 feb

Splunk VMware app beta release – mogelijkheid om te testen

Zoals je wellicht al vernomen hebt, heeft Splunk onlangs de beta 1.0 versie van haar VMware app gereleased. Een belangrijke stap in de ontwikkeling van de meest gevraagde, tot nu toe nog ontbrekende, Splunk app!

Waarom is de VMware app zo gewild?
Virtualisatie levert naast de voordelen van het efficiënter gebruik van resources, ook het nadeel op dat het beheer van de dynamische omgeving complexer wordt. De traditionele monitoringtools zijn vaak niet staat om hier goed mee om te gaan. Een goed voorbeeld hiervan is security monitoring (gebruikerstoegang, activiteiten van gebruikers, aanpassingen van rechten, wie is er ingelogd, etc.) wat nog steeds lastig blijkt te zijn in een virtuele omgeving.

Zie de volgende blogpost voor een overzicht van de uitdagingen en wat Splunk hierin kan betekenen.

But don’t take our word for it. Try it yourself!
We bieden je de mogelijkheid om de VMware app te proberen en je bijdrage te leveren in de verdere ontwikkeling hiervan. Mocht je daar interesse in hebben, dan vernemen we dat graag van je. Je ontvangt vervolgens de toegangsinstructies voor het beta testprogramma voor deze Splunk app.

We hopen je hiermee van dienst te zijn. Mocht je vragen hebben, dan vernemen we dat graag.

8 feb

Gartner noemt CA een APM leider en Splunk een APM innovator

In een eerdere blogpost hebben we recent al gemeld dat Forrester hoge cijfers geeft aan de CA Service Assurance oplossing voor Application Performance Management. Ook in de laatste magic quadrant van Gartner staat CA in het quadrant van de leiders.

Het Gartner rapport geeft een interessant inzicht in de 5 dimensies van APM:

End-user experience monitoring;
Application runtime architecture discovery, modeling and display;
User-defined transaction profiling;
Component deep-dive monitoring in application context;
Application performance analytics.

Als u meer wil weten over de technieken van APM dan kunt u het gehele rapport hier lezen.

Recentelijk heeft verder Gartner Splunk benoemd tot een innovator op het gebied van Applicatie Performance Management. De kracht zit hem in het feit dat de Splunk technologie zeer goed in te zetten is voor root cause analysis. Splunk kan niet alleen events over de applicatie stack correleren, maar kan dat ook met infratructuur events. Omdat Splunk met alle data werkt, kan het prima ingezet worden ter aanvulling van bestaande APM oplossingen. En verder is Splunk natuurlijk veel breder in te zetten dan alleen dit deelgebied. Klik hier voor meer informatie.

Wilt u meer weten over de oplossingen van CA en Splunk dan horen wij dat graag.

6 feb

Great Splunk Security Intelligence roundtable at TomTom

Together with Splunk and TomTom we organized a Security Intelligence round table last week with a select number of large telecom providers, financial institutes and central government customers. The idea was to share experiences and listen to the latest security and compliance trends, hosted by our special guest Mark Seward, Director of Security and Compliance Marketing at Splunk.

During the first introductions the following topics of interest where mentioned:

What techniques are available to correlate events from different sources?
How can we monitor an outsourced environment?
How can we setup a distributed security management solution?
How can non-expert users use Splunk?
What additional use cases are there?
What can do Splunk to monitor the security of a VMware environment?

What is Security Intelligence?
Mark started off by saying that the Splunk language is basicly like a mix of unix and sql. It is a bit of Google meets MS Excel. The idea of Security Intelligence is that you start with high-level questions about what risk your business has and you should start thinking like a criminal when looking at these risks. Each industry has different risks. For instance:

For an ISP the risk might be that a new user immediately setups multiple mail accounts indicating a spammer.
In a Telco environment you want to find out if there is any abuse of service plans. Watch the CDR’s to look for people that call all over the world.
In a banking environment you might want to look for ATM transactions from the same customer at different locations at the same time.

Today all data is security relevant. Security teams should work with all the other teams and companies should get rid of any boundaries. At some of the customers this is already happening: Every 6 months the team looks how hackers could get access to the banking application. This is now still a paper exercise. The latest trend is that development and security teams work together when building new apps so that the security team knows what to look for in the logging information.

Security intelligence is also about looking for unknown threats. So look more at DNS, DHCP, VPN proxy data (sources that users use every day) and less to firewall, IPS and antivirus (sources that look for known attacks).

Correlating with Splunk
Spunk has a very rich set of commands to answer these questions. There are 5 different correlation techniques where Mark has written a whitepaper about. One example is for instance nested searches to answer questions like who is using someone else’s credentials and what behavior am I seeing that looks like malware. Splunk has the idea to come up with a community where Splunk users can share searches. We all agree that this would be a great idea.

Another nice example is to find out who is accessing the servers without a VPN connection or physical access to the building. This means that someone jumped the gate or is using someone elses login credentials. Finding this out with Splunk means correlating VPN logs, active directory logs and the logs of the physical access. The different user data formats can be normalized via an external lookup.

It is also possible to anonymize data via the transform command. In this case certain users wil not be able to see user or credit card details. This data will be masked with *’s for these users.

Click here to download the Splunk datasheet for detecting Advanced Persistent Threats.

Splunk versus SIEM versus BI
A lot of questions can be answered with the traditional business intelligence (BI) tools. Normal BI tools need lot’s of time to implement and are hard to integrate. Splunk is like giving the security group a real-time BI tool. The advantage of using Splunk is that you have visibility to all the data. So for instance a spike in the traffic on the website could mean a lot of things. It could be an operational issue, the marketing department could run a promotion with generates a lot of extra customer traffic or it could be a security issue. The power of Splunk is that different teams can look at the data in realtime.

The Splunk app for enterprise security was also briefly discussed. This is one of the few payed Splunk apps (most are free) that provide SIEM like capabilities to the core Splunk platform:

This app normalizes all the sources for known threats like firewall, IDS etc. The standard Splunk functionality can already be used for looking at the unknown threats;
It supports incident handling;
It has functions to add urgency / criticality to servers and events;
It contains more than 50 predifined reports and dashboards;
It has additional correlation and workflow actions.

Click here for more information about the Splunk app for Enterprise Security

During the discussion the idea came up to install the Splunk app for Enterprise Security in the SMT lab so that customers can bring their data and see how this app would work in their environment. So watch out for more information about SMT’s Splunk CSI lab.

The result
At the end of this meeting the following (action) points were taken home by the group:

Setup hacking sessions with multiple teams
Want to get more data sources into Splunk
Get also data out of the cloud into Splunk
A lot more use cases for Splunk

A great session, with special thanks to the guests, to Mark Seward from Splunk for coming over all the way from the US and to TomTom for hosting the session!

6 feb

Splunk App for VMware 1.0 in beta

Virtualization Management: Added complexity and no visibility into virtual instances
Server virtualization is being rapidly adopted by organizations around the globe for very compelling business reasons. Unfortunately, IT staff have to deal with the added complexity. Existing tools built to manage, secure and audit relatively stable environments have not kept up. New tools to monitor the hypervisor and virtual machines become their own operational silo. This makes it difficult to correlate activity and performance at an application level with resource utilization and performance down to the bare metal.

Does lack of monitoring across your physical and virtual environments make it impossible to get visibility or proactive warning of performance errors and trends at a service level?
Do your developers have trouble getting access to all the data they need to quickly troubleshoot application outages?
Can you investigate security incidents and produce required compliance reports across your entire environment, including power-down virtual machines?
Are you able to capture transient data that’s critical for operations, security and compliance?

The Splunk for VMware solution collects and harnesses data from the virtualization layer to enable true end-to-end visibility in virtualized environments.

The benefits of the Splunk Approach?

Collects data without interfering with the normal operation of VC. Data when you want it, how you want it;
Persists data at scale – hard to do with VC or in other tools;
Allows correlation with application data, network data, storage data, security data, etc.;
Allows reporting and analysis at the summary level, with deep drilldown into details.

Should you be interested in testing this great new app and have the possibility to give your feedback to help improving the product, then please let us know. We will then send you the access instructions for the VMware app beta testing program.

1 feb

Splunk praktijktip: licentieverbruik correct in de gaten houden

Met enige regelmaat worden wij door klanten gewezen op de relatief grote hoeveelheid log data die Splunk zelf genereert en de impact die het zou hebben op het licentiegebruik.

Het moment van constatering is meestal dat Splunk vanwege een overschrijding van de licentie een violation melding geeft. Vervolgens kijkt de gebruiker met de “license usage app” om na te gaan welke databron de veroorzaker is en vaak is de conclusie dat dit de log data van Splunk zelf is. Begrijpelijk, maar ten onrechte!

De data die Splunk zelf genereert, wordt namelijk niet meegenomen in de telling. Dit is echter niet te zien in de (oude) ”license usage app”. De oorzaak is dat deze app ontwikkeld is in een tijd dat het via de log data nog niet herkenbaar was of deze de licentie belastte of niet.

Maar goed nieuws: vanaf versie 4.2 wordt automatisch de “deployment monitor app” geïnstalleerd waarmee in de optie “license usage” alleen de bronnen die ook daadwerkelijk de licentie belasten weergegeven worden. Bovendien zijn de gegevens veel duidelijker uit te lezen. Deze app is per default disabled en moet via het menu “manager/apps” eerst geactiveerd worden. Het duurt vervolgens enkele uren voordat alle tabellen voorzien zijn van data. Eventueel kan dit met de optie “backfill data” versneld worden.

Het advies is dus om vanaf nu de “deployment monitor app” te gebruiken in plaats van de verouderde “license usage app!

27 jan

xMatters kondigt versie 5.0 van haar “Relevance Engine” aan.

Een paar dagen geleden heeft xMatters de nieuwe versie van haar relevance engine officieel aangekondigd.

De nieuwe versie zal 5.0 zijn en de release vindt stapsgewijs plaats. De eerste release maakt gebruik van een nieuwe open source database onder Linux. Vervolgens zal xMatters een release uitbrengen die Linux in combinatie met Oracle ondersteunt en vervolgens zal ook Windows met MS-SQL gesupporteerd worden. Volgens xMatters zal de eerste release binnen enkele weken plaatsvinden en de laatste stap wordt in de zomer verwacht.

De veranderingen in de nieuwe release betreffen veel door bestaande gebruikers aangedragen verzoeken. Zo is de scheduler op een aantal punten verbeterd. Het is nu bijvoorbeeld mogelijk om het tijdstip van een wisseling tussen twee shifts los van de standby-intervallen in te stellen. Tevens kan exact bepaald worden wat tijdens een vakantieperiode moet gebeuren.

De gehele opmaak is sterk verbeterd en bij de specificatie van namen, groepen en teams is het typveld interactief. Er worden dus alle matches tijdens het intypen getoond. Er is nu een info-tab bijgekomen waarin de beheerder resources zoals documenten, videos, etc. onder kan brengen. Deze zijn dan voor de gebruikers beschikbaar.

xMatters heeft zich verder het probleem van het moeten responden op SMS-berichten ter harte genomen. Het is nu mogelijk om met één simpele handeling de aflevering van een bericht te bevestigen. Verder heeft xMatters veel aandacht aan de scenario-feature besteed. Zo kunnen deze nu ook worden voorzien van voicemessages en attachments en er kan zelf een conference-bridge opgezet worden. Zo kunnen de ontvangers van een scenario direct als conference-deelnemers bij elkaar geschakeld worden.

Naast een sterk verbeterde doorlooptijd van de events behoort nu de Java client tot het verleden. Deze heeft plaats gemaakt voor de Integration-Agent welke nu een legacy-mode kent.

Al met al heet xMatters veel gedaan om het product nog beter aan te laten sluiten bij de behoefte van haar gebruikers. Wij zien de daadwerkelijke release met veel belangstelling tegemoet.

SMT