Ergebnisse auf einen Blick
Herausforderung
Die kollektive Unterstützung der Cloud-Infrastruktur für Zehntausende von Kunden und HashiCorp selbst erzeugt riesige Mengen verschiedener Ereignisse.
Das Durchsuchen dieser Telemetriedaten zur Durchführung einer einzelnen Sicherheitsuntersuchung sowie einer Suche nach verschiedenen zusammenhängenden Ereignissen war für das Sicherheitsteam ein zeitraubender Vorgang, der mit quälend langsamen Suchergebnissen einherging.
„Unsere schiere Masse an Daten machte alles langsam. Ob es um die Sammlung aller benötigten Ereignisse, die Erfassung des Kontexts von Warnmeldungen oder die Erkennung der aktuellen Lage ging – es war uns nicht möglich, in Echtzeit nachzuvollziehen, ob etwas relevant war, oder bedeutende Dinge zu finden“, sagte Ryan Breed, leitender Sicherheitsingenieur bei HashiCorp. Weiterhin sagte er: „Die Durchführung einer großen Suche dauerte so lange, dass sie die Konzentration eines Analysten beeinträchtigte und den Untersuchungsprozess verlangsamte.“
Lösung
HashiCorp ist für seine kontinuierliche Innovationstätigkeit berüchtigt, daher benötigt das Unternehmen ein Sicherheitssystem, das mithalten kann. Dazu hat es Sumo Logic ausgewählt.
Um die Sicherheit von HashiCorp transparent zu machen, musste die komplexe Betriebsumgebung des Unternehmens in Echtzeit überwacht werden. Diese umfasst drei Infrastructure-as-a-Service (IaaS)-Cloud-Umgebungen und API-Integrationen in die gesamte Produktpalette der einzelnen Cloud-Anbieter.
Als Cloud-native Lösung bietet Sumo Logic HashiCorp zentralisierte und skalierbare Sicherheitsprotokolle sowie ein Cloud-SIEM (Security Information and Event Management) in den Multi-Cloud-Umgebungen des Unternehmens sowie seiner Kunden.
Ryan Breed sagte dazu: „Sumo Logic hilft uns, unsere Sicherheitstransparenz zu erhöhen und mit dem Geschäft Schritt zu halten, wenn wir neue Produkte einführen, Kunden hinzufügen und neue Tools implementieren“. Wenn wir wachsen, sind die Grenzkosten für die Erweiterung der Transparenz und die Verbesserung dessen, was wir haben, minimal. Dies versetzt uns wiederum in die Lage, einige ziemlich grundlegende Änderungen vorzunehmen und das Geschäft viel schneller zu skalieren.“
„Sumo Logic hilft uns proaktiv dabei, eine Warnung zu verstehen, unabhängig davon, ob sie wichtig ist oder nicht, und beseitigt die Warnmeldung in manchen Fällen automatisch.“
– Ryan Breed, leitender Sicherheitsingenieur
Ergebnisse
Geringe Latenzzeit, aufschlussreiche Sicherheitsuntersuchungen – in Echtzeit
Nach dem Einsatz von Sumo Logic Cloud SIEM zur Integration und Aufnahme von Telemetriedaten aus allen Aspekten der Unternehmensinfrastruktur erlebte HashiCorp den ersten Wendepunkt bei der Verwaltung von Sicherheitsuntersuchungen: die Möglichkeit, eine Suche mit niedriger Latenz durchzuführen.
Die Cloud-Fähigkeit von Sumo Logic ermöglicht es den Sicherheitsexperten von HashiCorp, in Echtzeit zu suchen und Untersuchungen durchzuführen. Darüber hinaus konnte das Team des Security Operations Center (SOC) dank der gestrafften Workflows von Cloud SIEM ein System implementieren, bei dem Warnmedungen automatisch eine Suche auslösen.
„Sumo Logic hilft uns proaktiv dabei, eine Warnmeldung zu verstehen, unabhängig davon, ob sie wichtig ist oder nicht, und beseitigt diese in manchen Fällen automatisch“, sagte Breed und fügte hinzu: „Ein Suchsystem mit geringer Latenz und Sumo Logic macht diese Art der Workflow-Automatisierung in Echtzeit möglich.“
Wendet ADS (Alerting and Detection Strategy) an, um Sicherheitsuntersuchungen zu optimieren
Cloud SIEM analysiert, kartiert und erstellt normalisierte Datensätze aus den strukturierten und unstrukturierten Daten von HashiCorp und triagiert die Warnmeldungen dann automatisch, um den Sicherheitsexperten verwertbare Erkenntnisse zu liefern. Um die Leistung von Cloud SIEM bei der Destillation von Zehntausenden von täglichen Alarmen weiter zu optimieren, wendet das SOC-Team das ADS-Rahmenwerk von Palantir an.
Das Rahmenwerk hilft dem Sicherheitsteam, Theorien zu entwickeln und gründlich darüber nachzudenken, wie Cloud SIEM bei Untersuchungen am besten eingesetzt werden kann. So hat das Team beispielsweise Suchvorgänge für die Bedrohungserkennung festgelegt, um Spuren zu finden, die ein Bedrohungsakteur in der Infrastruktur hinterlassen könnte, sowie Arbeitsabläufe, die die nächsten Maßnahmen unterstützen, die der Analyst unternehmen sollte, wenn er eine dieser Spuren findet.
„Indem wir die ADS anwenden, können wir uns wirklich auf die Leistungsseite der Nutzung von Cloud SIEM konzentrieren. Wenn wir eine Vorstellung davon haben, wonach wir suchen, bevor wir uns auf die Suche machen, können wir Dinge wie Feldextraktionen optimieren und die häufigsten Suchmuster sehr schnell finden. Das hilft dem Analysten, den Überblick zu behalten, wenn eine Untersuchung mehrere Abstraktionsebenen hat und Cloud SIEM alle unterstützenden Informationen im Voraus zur Verfügung stellt”, sagt Breed.
Verkürzte Zeit bis zur Entscheidungsfindung mit interaktiven Dashboards
Die Sicherheitsanalysen und Dashboards von Sumo Logic bieten dem Sicherheitsteam einen einheitlichen Überblick über die umfangreichen Cloud-Umgebungen von HashiCorp. Das SOC hat zudem mehrere benutzerdefinierte Dashboards implementiert, um die Playbooks und Prozesse des Teams für die Durchführung der täglichen Untersuchungen zu verbessern.
Wenn ein Analyst verdächtige Login-Aktivitäten untersucht, kann er wichtige Parameter in das Dashboard eingeben, z. B. die Benutzer-ID und eine Zeitspanne. Das Dashboard liefert dann eine interaktive Anzeige, auf welche der Analyst „klicken“ kann, um bestimmte Daten weiter zu untersuchen.
„Interaktive Dashboards geben uns den Kontext und die Detailtiefe, die unseren Sicherheitsanalysten helfen, die Zeit bis zur Entscheidung zu minimieren. Sie können die Parameter eingeben und erhalten die Informationen sehr schnell, sodass sie ihre Arbeit nicht unterbrechen müssen, um eine Entscheidung zu treffen und zu handeln”, sagte Breed.
