Im Test: Splunk SOAR 6.3.0
Splunk SOAR hilft der Informationssicherheit bei der Orchestrierung, Automatisierung sowie Strukturierung im Umgang mit Sicherheitsereignissen und potenziellen Vorfällen. IT-Administrator hat die Software in der Praxis erprobt und war von der Vielzahl an Schnittstellen sowie der Handhabung begeistert.
Zunehmend treten neben rein finanziell motivierte Angreifer auch staatliche Akteure, die Schwachstellen ausnutzen, um Lieferketten zu sabotieren oder Informationen zu erbeuten. Bedrohungen werden entsprechend nicht nur zahlreicher, sondern auch komplexer und vielfältiger. Administratoren stehen nun vor der Herausforderung, dieser verschärften Bedrohungslage zu begegnen.
Ein erster Schritt besteht üblicherweise im Aufbau eines Systems für das Security Information and Event Management (SIEM), also einer Plattform, die sämtliche Ereignisse innerhalb einer Infrastruktur sammelt, korreliert und kategorisiert, um in Echtzeit potenzielle Bedrohungen zu erkennen. Unternehmen, die ein eigenes Security Operations Center (SOC) betreiben, sind hier im Vorteil. Doch viele Firmen können sich diesen Luxus nicht leisten oder finden keine Spezialisten, denn der Markt für SOC-Analysten ist leer gefegt.
Daher bringen sich zunehmend Angebote unter dem Begriff der Security Orchestration, Automation, and Response (SOAR) in Stellung. Deren Ziel ist es, die knappen Personalressourcen möglichst von manuellen Aufgaben zu befreien, indem sie Sicherheitsoperationen orchestrieren, wiederkehrende Aufgaben automatisieren und auf Sicherheitsvorfälle strukturiert und koordiniert reagieren. An dieser Stelle kommt nun Splunk ins Spiel.
Der Softwareanbieter, der inzwischen zu Cisco gehört, hat sich mit seiner gleichnamigen Plattform für Logging, Monitoring und Reporting auf die Analyse großer Mengen unstrukturierter Daten spezialisiert. Splunk Enterprise Security (ES) basiert auf dieser Plattform und adressiert als klassisches SIEM-System die Überwachung, Erkennung und Analyse von sicherheitsrelevanten Ereignissen. Als separates Produkt hat der Hersteller darüber hinaus Splunk SOAR im Angebot. Ursprünglich trug die Software den Namen Splunk Phantom, nach dessen früherem Anbieter Phantom Cyber, den Splunk im Jahr 2018 übernommen hatte. Der Begriff Phantom findet sich auch heute noch unter der Haube und an diversen Stellen der Onlinedokumentation. Optionale Apps sorgen auf Wunsche dafür, Daten aus Splunk Enterprise, der Splunk Cloud Platform oder auch aus den Systemen von Drittanbietern in eine SOAR- Instanz einzufügen und die Produkte herstellerunabhängig zu integrieren.
In Grenzen kostenfrei
Der Hersteller betreibt Splunk SOAR (Cloud) als SaaS-Angebot und bietet alternativ Splunk SOAR (on-premises) zur in begrenztem Umfang kostenfreien Nutzung im eigenen Rechenzentrum an. Standardmäßig startet Splunk SOAR (onpremises) nach der Installation mit der integrierten Community-License. Diese ermöglicht das Kennenlernen der Umgebung und auch den produktiven Betrieb in einem Tenant mit 100 Aktionen pro Tag sowie maximal fünf Events in den Bearbeitungsstatus "New" oder "Open".
Wer diese Grenzen überwinden möchte, benötigt kostenpflichtige Lizenzen pro namentlich benanntem Benutzer. Beim Kauf als Einzelprodukt orientiert sich das Tarifmodell von Splunk SOAR an der Userzahl, also an der Anzahl der Konten in SOAR oder der Analystenarbeitsplätze. Jeder Benutzer, der sich an SOAR anmelden möchte, benötigt eine solche Lizenz. Dies gilt sowohl für lokale Konten innerhalb von SOAR als auch für Anwender, die sich per LDAP oder SAML2 über einen externen Identitätsprovider anmelden.
Fazit
Splunk SOAR vereinfacht die Arbeit von IT-Security-Teams und SOC-Analysten. Mithilfe der zahlreichen Apps verbindet die Software die Systeme verschiedener Hersteller und erlaubt das Bearbeiten von Ereignissen unter einer Haube. Die besondere Stärke liegt dabei in der Automatisierung per Playbook, aber auch bei der manuellen Bearbeitung sorgt die Verwaltung von Events mithilfe der Workbooks für mehr Struktur im Arbeitsalltag. Je größer und heterogener eine Infrastruktur, desto besser vermag SOAR seine Vorteile auszuspielen – umso schneller gelangen Administratoren aber auch an die Grenzen der kostenfreien Community-Edition, die auf lediglich fünf offene und in Bearbeitung befindliche Ereignisse sowie maximal 100 Aktionen pro Tag limitiert ist.
Den kompletten Test finden Sie in Ausgabe 01/2025 ab Seite 16 oder in unserem Heftarchiv.
ln/dr/Dr. Christian Knermann