Marc
om
V1.1
2019
© 2020 Controlware GmbH 1
Datenanreicherung mittels FNT Command in Splunk Enterprise
Steve Kalbhenn
Senior Consultant CC IT-Management
Webcast - Datenanalysen und Automatisierung
Online, 21.04.2020
Daniel Seifert
Pre-Sales Consultant Analytics CC IT-Management
Marc
om
V1.1
2019
© 2020 Controlware GmbH 2
Definitionen 1
Demo5
Datenanreicherung2
Use-Cases3
Hinweise4
Agenda
Marc
om
V1.1
2019
© 2020 Controlware GmbH 3
Definitionen
Marc
om
V1.1
2019
© 2020 Controlware GmbH 4
Configuration Management System (CMS):
• Ist eine Kombination von Tools und Daten
• wird zum Sammeln, Speichern, Managen, Aktualisieren, Analysieren und zur
Präsentation von Daten zu allen Configuration Items und deren Beziehungen
eingesetzt
• Ein CMS kann ein oder mehrere physische Configuration Management
Databases (CMDB) verwalten
• Die dem CMS zugrundeliegende Struktur wird definiert durch ein
Configuration-Model, ein logisches Modell der Service Assets einer IT-
Organisation
Definition CMDB
Marc
om
V1.1
2019
© 2020 Controlware GmbH 5
Die splunk> Platform
Custom dashboards
Report and analyze
Monitor and alert
DeveloperPlatform
Ad hoc search
On-Premises
Private Cloud
Public
Cloud
Storage
Online
Shopping Cart
Telecoms
Desktops
Security
Web
Services
Networks
Containers
Web
Clickstreams
RFID
Smartphones
and Devices
Servers
Messaging
GPS
Location
Packaged
Applications
Custom
Applications
Online
Services
DatabasesCall Detail
Records
Energy MetersFirewall
Intrusion
Prevention
Platform Support (Apps / API / SDKs)
Enterprise Scalability
Universal Indexing
Machine Data: Any Location, Type, Volume Answer Any Question
Any Amount, Any Location, Any Source
Schema on-the-fly
Universal indexing
No back-end RDBMS
No need to filter data
Marc
om
V1.1
2019
© 2020 Controlware GmbH 6
Eine Plattform für alles
Splunk Analyse Bereiche
Marc
om
V1.1
2019
© 2020 Controlware GmbH 7
Machine Data Contains Critical Insights
Order ID
Customer’s Tweet
Time Waiting On Hold
Product ID
Company’s Twitter ID
Order ID
Customer ID
Twitter ID
Customer ID
Customer ID
Sources
Order Processing
Care IVR
Middleware Error
Marc
om
V1.1
2019
© 2020 Controlware GmbH 8
Integriertes FNT Datenmodell
Marc
om
V1.1
2019
© 2020 Controlware GmbH 9
• CI betreffende Informationen aus verschiedenen Bereichen und Programmodulen werden
schnell zugänglich
• Von der Physik und der Verkabelung kommt man mit wenigen Klicks zu weiterführenden
Informationen der Geräte
Modularer Aufbau und durchgehende Informationen
Rackansicht Objektdaten Belegungsliste
Ansprechpartner
Marc
om
V1.1
2019
© 2020 Controlware GmbH 10
Die FNT Command Platform
Marc
om
V1.1
2019
© 2020 Controlware GmbH 11
Datenanreicherung
Marc
om
V1.1
2019
© 2020 Controlware GmbH 12
Warum Datenanreicherung wichtig ist?
Marc
om
V1.1
2019
© 2020 Controlware GmbH 13
• Allgemein Fehler vermeiden bzw. genauere Analyse der Daten
• Security Use-Cases weiniger False/Positive Alarme
• Schnelleres Handeln bei Alarmen und Analysen
• Security Risiken der Assets besser abschätzbar
• Was-wäre-wenn Szenarien aus Datenanalysen
• Ähnliche Fehler/Alarme schneller aufdecken
Warum Datenanreicherung wichtig ist?
Marc
om
V1.1
2019
© 2020 Controlware GmbH 14
Wie kann ein Automatisierungsprozess aussehen
Daten
splunk>
Analyse
splunk>
Alarm
Automatisierungs
ToolAktion
Marc
om
V1.1
2019
© 2020 Controlware GmbH 15
Wie kann ein Automatisierungsprozess aussehen
Daten
splunk>
Analyse
splunk>
Alarm
Automatisierungs
ToolAktion
Daten
Datenanreicherung
mit
FNT Command
Marc
om
V1.1
2019
© 2020 Controlware GmbH 16
Use-Cases
Marc
om
V1.1
2019
© 2020 Controlware GmbH 17
• Security Alert
• Angriff auf ein internes System
• Aktion -> Isolation des Ziel Systems
Mögliche Use-Cases?
Marc
om
V1.1
2019
© 2020 Controlware GmbH 18
• Security Alert
• Angriff auf ein internes System
• Aktion -> Isolation des Ziel Systems
• Welche Fragen müssen gestellt werden?
• Kritikalität des Systems
• Wer ist betroffen
• Welche Services sind betroffen
• Standort des Gerätes
• ….
Mögliche Use-Cases?
Marc
om
V1.1
2019
© 2020 Controlware GmbH 19
• Korrelation von Alarmen
• Schwachstellen Scanner liefert nur IP und Schwachstelle
• Welche Informationen werden benötigt
• Owner des Assets
• Abteilung
• Gruppe im Helpdesktool
• Betriebssystem
• Kritikalität des Systems
Mögliche Use-Cases?
Marc
om
V1.1
2019
© 2020 Controlware GmbH 20
Hinweise
Marc
om
V1.1
2019
© 2020 Controlware GmbH 21
• Es muss ein einheitliches Datenmodell geben
• Daten Step-by-Step anbinden
• Systeme definieren die Daten liefern
• Anbindung der Daten klären (vorab)
• Datenqualität!
• Weniger ist manchmal mehr
• Datenvolumen – Kosten!
Stolpersteine
Marc
om
V1.1
2019
© 2020 Controlware GmbH 22
• Anbindung an FNT Command und Splunk
Technischer Aufbau
Command DB
Command MetaschemaDevice Info
View
DB
Co
nn
ect
Marc
om
V1.1
2019
© 2020 Controlware GmbH 23
Demo
Marc
om
V1.1
2019
© 2020 Controlware GmbH 24
Vielen Dank für Ihre Aufmerksamkeit!
Thank you very much for your attention!