3 apr

SMT Praktijktip – User capabilities in Splunk Web

Tijdens een gesprek met een nieuwe Splunk-gebruiker werd ik erop gewezen dat een wijziging in de lijst met capabilities geen effect zou hebben in Splunk.

Achtergrond:
Splunk hanteert voor de rechten van de gebruikers “roles”, zoals admin, user, power, etc. Vanuit Splunk-Web kunnen de betreffende rechten gewijzigd worden. Dit gebeurt d.m.v. het toekennen of verwijderen van “capabilities”.

Vervolgens lijkt het echter of de wijziging van de rechten geen effect heeft in Splunk.

Conclusie:
Dat dit geen effect heeft klopt niet helemaal. De wijziging wordt wel degelijk uitgevoerd maar heeft alleen invloed op de Web services; de API van Splunk waarover o.a. Splunk Web en de Splunk CLI met Splunk communiceren. In de Splunk CLI zal de wijziging zichtbaar zijn doordat de betreffende functie wel of niet uitvoerbaar is. In Splunk Web is naast de functionele ondersteuning ook de grafische ondersteuning nodig. Dit laatste is echter nog niet aan de “capabilities” gekoppeld. Een dergelijke wijziging resulteert daardoor niet tot een verandering in de grafische presentatie.

Oplossing:
Splunk is kennelijk nog bezig met de ontwikkeling van deze grafische ondersteuning. Totdat dat zover is, is het echter al mogelijk om de grafische ondersteuning van de betreffende functies “handmatig” toe te voegen.

Voorbeeld:
Je wilt met de User-role ook gebruikers kunnen toevoegen en verwijderen.

  1. Zorg dat je voor de betreffende rol (bijvoorbeeld user) de capability  ”edit_user" hebt geactiveerd.  
  2. Ga naar “/etc/apps/search/metadata” en open de file “default.meta”.
  3. Kopieer de sectie “[manager/accesscontrols]” en plak deze in de file “local.meta”.
  4. Edit deze sectie in “local.meta” door “access = read : [ admin ], write : [ admin ]“ te wijzigen in “access = read : [ admin,user ], write : [ admin,user ]“
  5. Herstart Splunk.

Hierna is in “manager” de optie “access controls” beschikbaar gekomen en kunnen wijzigingen aan de user-instellingen uitgevoerd worden. Wil je dat dezelfde gebruiker ook rollen mag bewerken dan kun je de stappen 2 t/m 4 ook met de sectie “[manager/authentication_roles]” uitvoeren.

Ik hoop dat dit je verder helpt in je gebruik van Splunk. Mochten hierover nog vragen zijn dan zijn deze meer dan welkom.

Geplaatst door Rainer Schütt op 03-04-2012, 09:57 0 reacties
Labels: , ,
2 apr

SMT wint EMEA Silver Award tijdens Splunk Partner Conference 2012

Vorige week was de eerste Splunk EMEA Partner Conference. In de voorgaande jaren werd dit wereldwijd in het zonovergoten Californië georganiseerd, echter aangezien Splunk in EMEA flink aan het uitbreiden is, is er dit jaar voor gekozen om dit ook in Europa te organiseren. De lokatie was Marriott hotel op Londen Heathrow Airport.

In ieder geval was de organisatie weer prima op orde en waren er veel interessante sprekers, zoals diverse Product Managers, SVP Sales, Marketing, Technical en de nieuwe VP EMEA. Voor ieder dus genoeg gelegenheid om te horen wat er allemaal dit jaar te verwachten is. Zo zijn er meer dan 300 gratis Splunk Apps om te downloaden, waaronder de pas beschikbaar gestelde WebSphere App, maar er kan ook meegedaan worden aan de beta-test programma’s voor de nieuwe VMWare- of MS Active Directory App.

Naast de stortvloed aan nieuwe dashboards, use cases, reports, seach engines etc. was er ook een relaxmoment tijdens de uitreiking van de jaarlijkse Partner of the Year awards. Namens het SMT team ben ik trots te vermelden dat we dit jaar de Splunk EMEA Silver Partner Award 2011 hebben gewonnen. Oftewel de een na best presterende partner in de gehele EMEA-regio. Een fantastische prestatie waar ik het hele SMT team voor wil bedanken!

Verder werd ook de datum van de volgende Splunk Worldwide User Conference bekend gemaakt. Wil je ook geïnformeerd worden over alle nieuwe mogelijkheden of met andere klanten ervaringen uitwisselen, bekijk dan de event pagina op de Splunk website voor meer informatie of om je in te schrijven.

Overigens, deze conferentie is wel gewoon in Californië :-)

Geplaatst door Mark Schwencke op 02-04-2012, 09:06 0 reacties
Labels: , ,
29 mrt

Terugblik op geslaagde SMT Security Lunchsessie met Anue, Splunk en FireEye

Afgelopen maandag hebben we een Security lunchsessie georganiseerd waarin we ingegaan zijn op hoe Splunk, Anue Systems en FireEye kunnen bijdragen aan een veiliger infrastructuur.

Splunk app voor Enterprise Security

Aangezien onze buitenlandse gastsprekers van FireEye en Anue nog onderweg waren, zijn we de ochtend begonnen met een update van de laatste versie van de Splunk app voor Enterprise Security.

In 2007 begonnen security officers van o.a. Motorola, Cisco en de US government organisaties al met de inzet van Splunk. De reden hiervoor was dat er betere tools noodzakelijk waren voor forensisch onderzoek en dat er allerlei nieuwe en onbekende bedreigingen optraden (zero-day, malware, targeted attacks). Splunk was een perfecte tool om met zijn freeform seach door massale hoeveelheid data te zoeken en invulling te geven aan deze nieuwe security uitdagingen.

In de jaren daarna hebben ruim 700 organisaties Splunk ingezet voor security use cases. Vooral de uitbreiding met real-time searching & alerting, flexibele dashboards en visualisaties, extra schaalbaarheid door de inzet van mapreduce en uitgebreide statistische en correlatiefuncties hebben hiervoor gezorgd.

De grote vraag in het verleden was waarom heeft Splunk niet meer out-of-the-box security mogelijkheden biedt. Goed nieuws is dat Splunk dit nu sinds een jaar heeft met haar app voor Enterprise Security.

Splunk app for Enterprise Security

Tijdens deze sessie werd benadrukt dat de traditionele SIEMs werken als een zeef en hierdoor moeizaam in te zetten zijn bij forensisch onderzoek van onbekende bedreigingen. Belangrijke beperkingen zijn:

  • het bijhouden van de normalisaties kost veel tijd,
  • gebrek aan schaalbaarheid,
  • gebrek aan flexibiliteit,
  • het niet kunnen gebruiken van oude security events bij nieuwe analyses.

Onbekende bedreigingen hebben duidelijk een nieuwe architectuur nodig om specifiek gedrag van mensen en machines uit de security events te halen:

  • zonder “up front” normalisatie,
  • met het kunnen analyseren van patronen,
  • met correlatiemogelijkheden,
  • met de mogelijkheid om grote hoeveelheden time indexed data te analyseren.

Zie de Splunk website voor meer informatie en een demo over de Splunk app voor Enterprise Security.

Network monitoring switch van Anue Systems

Paul O’Reilly van Anue Systems heeft een goed verhaal gehouden over de uitdagingen in de huidige datacenters door de inzet van allerlei monitoring tools voor security, troubleshooting en applicatie performance.  Belangrijke uitdagingen zijn:

  • niet genoeg zichtbaarheid door een gebrek aan SPAN poorten en TAPs,
  • hoge kosten door dure monitoring tools,
  • overbezette medewerkers.

De monitoring switch van Anue is een flexible hardware oplossing om ervoor te zorgen dat het juiste netwerkverkeer bij de juiste monitoringtool komt. Belangrijke voordelen van de Anue oplossing zijn:

  • meerdere niveaus van filtering,
  • mogelijkheid to loadbalancing (10GB backbone naar meerdere 1GB tools),
  • het verwijderen van dubbele packets,
  • protocol striping.

Zie de Anue website voor een video-impressie en voor een gratis te downloaden simulatie demo.

FireEye – Next generation Threat Protection

De laatste sessie werd verzorgt door Ashar Aziz, de CEO en Founder van FireEye. Ashar gaf een indrukwekkende presentatie over de huidige security trends. Waar het vroeger ging om vandalen die gezien wilden worden, zijn het nu dieven en spionnen met als doel het stelen van belangrijke data waarbij ze met nieuwe onbekende methodes ongezien willen blijven.

Bestaande tools als Next Generation Firewalls, IPS, web/mail gateways zijn allemaal gericht op bekende aanvallen. De FireEye oplossing is geheel gericht op het opsporen en stoppen van onbekende dreigingen. Deze bedreigingen starten bijna allemaal via het klikken op een verkeerde internet link (Google hack) die via email (RSA hack) of socal media verspreid worden.

Volgens onderzoek van FireEye zijn meer dan 95% van de bedrijven besmet. Het is duidelijk dat er een andere aanpak noodzakelijk is die ook het verkeer naar buiten in de gaten houdt.

FireEye heeft oplossingen om het webverkeer, het mailverkeer en de filesystemen in de gaten te houden. Alle drie zijn noodzakelijk om goed beschermd te zijn. Wereldwijd worden treats nu door de FireEye appliances gedetecteerd en worden nieuwe threats doorgestuurd naar de FireEye Malware Protection Cloud. Deze wereldwijde cloud oplossing deelt malware security intelligence zoals callback channels en nieuwe bedreigingen vanuit het FireEye Malware Intelligence lab.

Een korte introductie video van de FireEye oplossing is te vinden op http://www.fireeye.com/resources/videos/intro.html

Mocht je meer informatie willen ontvangen over het bovenstaande, dan verneem ik dat graag. Rest me nog Paul O’Reilly van Anue Systems, Johan Straten en Ashar Aziz van FireEye en alle deelnemers hartelijk te bedanken voor hun deelname en waardevolle bijdrage aan dit wat mij betreft geslaagde evenement!

29 mrt

Overheidsinstelling kiest Splunk als nieuwe Business Analytics oplossing

Ons eerste contact met deze nationale overheidsinstelling was tijdens Infosecurity.nl 2011. De uitdaging waar ze tegen aan liepen, was dat ze hun business rapportage omgeving bij een externe partij belegd hadden waardoor er geen helder zicht was hoe rapportages tot stand kwamen en ontbrak flexibiliteit.

Zij gingen daarom op zoek naar een opvolger die zij, gezien de cruciale aard van de informatie, in eigen beheer wilden nemen. Na een uitvoerige Proof of Concept heeft deze overheidsinstelling vervolgens voor Splunk gekozen als tool voor hun Business Analytics rapportages.

Belangrijke redenen voor de keuze van Splunk voor Business Analytics waren:

  • Beter inzicht in de vertaling van machine data naar rapportages en de juistheid hiervan. Splunk is uiterst flexibel en kan goed omgaan met verschillende notaties in ongestructureerde loginformatie.
  • Splunk heeft veel meer mogelijkheden dan de alternatieven.
  • Minder afhankelijk van derden.
  • De dashboards van Splunk zien er erg goed uit.
  • De TCO van Splunk was lager dan andere oplossingen (inclusief open source alternatieven).

Over Splunk voor Business Analytics

De IT applicaties, systemen en netwerken waar de business van afhankelijk is, generen elke miliseconde van de dag data. Deze data bevat informatie over gebruikerstransacties, klantgedrag, machinegedrag, beveiligingsincidenten, frauduleuze activiteiten en nog veel meer.

Conventionele business intelligence tools en data warehouses zijn ontworpen voor de traditionele business data. Deze gegevens zijn normaal gesproken gestructureerd en worden opgeslagen in relationele databases. Vragen die gesteld willen worden, moeten van te voren worden begrepen.

Splunk lost een ander probleem op: het verzamelen, indexeren, en het beschikbaar stellen van het enorme volumes van machine data. Splunk heeft de unieke mogelijkheid om alle soorten machine data te begrijpen, gestructureerd of ongestructureerd, en deze te kunnen combineren met andere traditionele business data voor een volledig real-time inzicht en operationele intelligentie.

Van het klantgedrag en gebruikersstatistieken  tot analyse van veiligheidsincidenten en operationele analyse, Splunk heeft de flexibiliteit om elke vorm van real-time en historische analyse uit te voeren, en de kracht om aangepaste weergaven, rapporten en dashboards te leveren aan de belanghebbenden in uw organisatie.

Wilt u meer weten over de inzet van Splunk als Business Analytics tool (in het algemeen of bij deze overheidsorganisatie) dan hoor ik dat graag. Of bekijk de Business Analytics solution guide op de Splunk website.

27 mrt

SMT Praktijktip – Wijzigen van permissions voor de User-role in Splunk

Tijdens een evaluatie van Splunk werd door de Splunk-gebruiker geconstateerd dat wanneer hij als gebruiker met alleen de User-role ingelogd is, hij de link voor het wijzigen van de permissions mist. Dit was ook het geval bij onder anderen zijn eigen opgeslagen zoekopdrachten.

De reden hiervoor is dat Splunk de items van de gebruiker in zijn / haar directory en die van de betreffende app opslaat. In dit geval was dit de Search-app. Standaard zijn de apps zo geconfigureerd dan de User-role alleen leesrechten heeft. Weliswaar kan de gebruiker de items op de genoemde locatie opslaan maar niet wijzigen.

Wil men echter dat de User-role ook de zelf opgeslagen items mag wijzigen dan moet ook deze rol in de betreffende app schrijf-rechten verkrijgen. Degene met de Admin-role kan dit via Manager > Apps en via de Permissions van de betreffende app aanpassen.

Ik hoop dat dit je helpt in je gebruik van Splunk. Mocht je hierover vragen of opmerkingen  hebben, dan hoor ik dat graag.

22 mrt

CA Infrastructure Management (CA Spectrum) webcast recording

Mocht je de CA Infrastructure Management webcast van 20 maart jl. gemist hebben (of nog een keer willen bekijken), dan heb ik goed nieuws. Je kunt hem namelijk terugkijken via de volgende link.

Het onderwerp is de nieuwe CA Spectrum release 9.2.2. met code naam Keeneland. De webcast behandelt high level capabilities en features zoal deze voor deze release gepland staan. Interessante verbeterpunten zijn onder andere:

  • Verbeterde support voor system management via MS Active Directory en Exchange Server (ADES).
  • Ondersteuning voor Fujitsu’s Single Cloud Hypervisor platform.
  • Verbeterde CA Spectrum Device certificering.

Zeker als je gebruiker bent van CA Spectrum, is dit denk ik interessant om te bekijken. Mocht je naar aanleiding hiervan overigens vragen hebben, dan verneem ik dat graag.

19 mrt

Splunk praktijktip – Ongedaan maken van een Search-Head-verbinding

Wanneer een Splunk-deployment uit meerdere Indexers bestaat en het de bedoeling is dat deze als één database gezien worden, dan is de toepassing van een Search-Head noodzakelijk. Op deze Search-Head worden de zoekopdrachten uitgevoerd en opgeslagen. Omdat het bij de opgeslagen data vaak om gevoelige data gaat is het belangrijk dat de verbinding tussen de Search-Head en de Indexers veilig is.

Tijdens de uitvoering van een project liep ik tegen een kleine security-issue aan:

Wanneer voor het eerst een Search-Head met een Search-Peer (Search-Head op de Indexer) verbonden moet worden, dan moeten hiervoor credentials van de Admin opgegeven worden. Wordt de verbinding weer verbroken en vervolgens weer opnieuw opgezet dan is het voldoende om zomaar iets als credentials in te vullen. Ook al zijn de credentials fout, toch zal de verbinding tot stand komen. Dit komt omdat de Search-Peer de verbinding als “Trusted” heeft geregistreerd en deze status blijft bestaan, ook al heeft de Search-Head de verbinding verbroken.

Wil je er zeker van zijn dat na het verbreken van de verbinding de credentials voor het opnieuw opzetten moeten kloppen, dan moet het volgende bestand verwijderd worden:

/etc/auth/disServerKeys//trusted.pem

Ik hoop je hiermee van dienst te zijn. Mochten hierover vragen en/of opmerkingen zijn dan hoor ik dat graag.

Geplaatst door Rainer Schütt op 19-03-2012, 15:30 0 reacties
Labels: ,
13 mrt

xMatters praktijktip – Instellingen van “Delays”

Speciaal voor gebruikers van xMatters Alarmpoint wat handige informatie over “delays”. xMatters kent twee soorten:

  1. De tijd tussen het notificeren van teams in een rotation;
  2. De tijd tussen het aansturen van het ene user device en het volgende.

Uit ervaring blijkt dat deze instelling soms niet helemaal begrepen wordt. Echter is dit vrij simpel. Bij de delays tussen de teams staat de ingestelde tijd links van de teamnamen, dus ervoor. Deze instelling betekent dus dat het aantal seconden de wachttijd is voordat het betreffende team genotificeerd zal worden. De regel in de tabel moet dus van links naar rechts worden gelezen: eerst de delay, dan het team.

Bij de delays van de user devices is het juist andersom. De instelling van het aantal seconden wachttijd staat rechts naast de naam van het device. De regel moet dus zo worden gelezen, dat het device eerst aangestuurd wordt en vervolgens gaat de wachttijd in. Is deze wachttijd verstreken dan komt de volgende regel in aanmerking. Ook in dit geval moet iedere regel weer van links naar rechts worden gelezen.

Ik hoop dat dit je helpt. Mocht je vragen of feedback hebben, dan verneem ik dat graag.

6 mrt

SMT Security Management Lunchsessie – Bescherm je IT Infrastuctuur tegen bekende en onbekende bedreigingen

Op maandagochtend 26 maart aanstaande organiseren we bij de Burggolf in Zoetermeer een security ochtend/lunch sessie, waarvoor we jou en je collega’s van harte willen uitnodigen.

Neem deel en leer in een inspirerende ochtend wat SplunkFireEye en Anue Systems voor je kunnen betekenen in de bescherming tegen- en het beheer van bekende en onbekende bedreigingen.

Speciale spreker is Ashar Aziz, oprichter en CEO van FireEye. We zijn er trots op dat hij speciaal overkomt vanuit de VS om te vertellen over de continue staat van cyber-onzekerheid waar we tegenwoordig in leven en hoe te verdedigen tegen geavanceerde (unknown) malware, zero-day en targeted APT attacks.

Verder behandelen we het cruciale belang van goed log management en een praktische SIEM-oplossing voor snelle security forensics en monitoring. En de interessante rol die Splunk hierin kan spelen, o.a. met haar apps voor Enterprise Security (SIEM) en FireEye.

Afsluitend leer je hoe de Anue netwerk monitoring switch ingezet kan worden om een tekort aan SPAN en TAPs in het netwerk te verhelpen en toegang te geven tot de data in virtuele omgevingen. Een slimme oplossing als je meerdere monitoring tools (IPS, sniffer, APM, security monitoring) wilt inzetten voor inzicht in je datastromen.

Ik verneem graag of je er de 26e er bij bent. Overigens is het aantal plaatsen beperkt, dus meld je snel aan als je dit niet wilt missen.

29 feb

Financiële dienstverlener selecteert CA SPECTRUM voor beheer van haar wereldwijde netwerk

Voor financiële dienstverleners zijn de bedrijfsnetwerken enorm kritisch om wereldwijd te kunnen handelen. Beschikbaarheid en responsetijden zijn erg belangrijk en hebben directe en mogelijke enorme impact op de bedrijfsresultaten.

Voor deze internationale SMT-klant is dat ook zeker van toepassing. Tot voor kort werd het beheer daar vooral gedaan met een grote collectie van losse (open source) tools. De operatie is dusdanig gegroeid dat een professionalisering noodzakelijk was.

Na een uitvoerige evaluatie van de CA SPECTRUM hebben ze besloten om wereldwijd gebruik te gaan maken van deze oplossing. De volgende redenen hebben bijgedragen aan deze keuze:

  • Meer direct inzicht in de netwerken over de hele wereld vanuit één scherm.
  • Een uniform beeld van alle netwerken. Regio’s kunnen supporttaken makkelijk van elkaar over nemen.
  • Sublieme performance door de gedistribueerde architectuur.
  • Goede integratie met Cisco en Riverbed.
  • De mogelijkheid om automatisch trouble tickets te kunnen genereren.

Mocht je meer willen weten over CA SPECTRUM voor infrastructuurbeheer, bij deze klant of in het algemeen, dan verneem ik dat graag.