Nachbericht Anwenderkonferenz .conf 2017

Splunk erweitert Analytics- und Security-Lösungen um Machine Learning

| Autor / Redakteur: Michael Matzer / Nico Litzel

Splunk hat auf der Konferenz „.conf2017“ in Washington den Fokus auf Machine Learning gesetzt.
Splunk hat auf der Konferenz „.conf2017“ in Washington den Fokus auf Machine Learning gesetzt. (Bild: Splunk)

Auf der Anwenderkonferenz „.conf 2017“ in Washington, D.C. stellte Splunk, spezialisiert auf Maschinendaten und Datensicherheit, neue Versionen seiner Hauptprodukte sowie eine Reihe weiterer Apps und Services vor. In manchen Sessions war der Andrang so groß, dass die rund 7.200 Besucher, die aus 65 Ländern gekommen waren, stehen mussten.

Welcome Keynote mit Splunk CEO und President Doug Merritt (rechts) und Michael Ibbitson, Executive Vice President, Technology & Infrastructure, Dubai Airports.
Welcome Keynote mit Splunk CEO und President Doug Merritt (rechts) und Michael Ibbitson, Executive Vice President, Technology & Infrastructure, Dubai Airports. (Bild: Splunk)

Im vergangenen Jahr erweiterte Splunk seine Produktfamilie um Machine-Learning-Funktionen, die im Machine Learning Toolkit konzentriert sind. Dieses Jahr hat Splunk die Machine-Learning-(ML)-Möglichkeiten des Produktportfolios mit den neuen Versionen Splunk Enterprise 7.0, Splunk IT Service Intelligence (ITSI) 3.0, Splunk User Behavior Analytics (UBA) 4.0 und in Updates für Splunk Cloud deutlich ausgeweitet. Splunk stellte außerdem ein aktualisiertes Paket mit Lösungen vor, die Analytics und Machine Learning für Anwendungsfälle zur Betrugsbekämpfung, zur Ransomware-Abwehr und zum AWS-Cloud-Monitoring nutzen.

Hauptprodukte

Mit Splunk Enterprise 7.0 lassen sich Maschinendaten in Echtzeit automatisieren, sammeln, indizieren und visualisieren.
Mit Splunk Enterprise 7.0 lassen sich Maschinendaten in Echtzeit automatisieren, sammeln, indizieren und visualisieren. (Bild: Splunk)

Das Flaggschiffprodukt Splunk Enterprise 7.0 und sein Cloud-Pendant Splunk Cloud haben deutliche Verbesserungen bei der Performance und der Skalierbarkeit erfahren. Dadurch sollen sie besser in der Lage sein, Funktionen wie Überwachung von Netzwerkverkehr, Authentisierungsverfahren und ML-Verfahren auszuführen. Die Funktionen für Überwachung und Benachrichtigung sollen um den Faktor 20, die zentralen Suchfunktionen um den Faktor drei gegenüber den Vorgängerversionen beschleunigt worden sein. Einen Beitrag dazu liefern die Open Source Services StatsD und CollectD, mit denen der Nutzer Daten in Splunk laden kann.

Der Grund für diese Leistungssteigerung ist wohl auch darin zu sehen, dass die Kunden Splunk dazu verwenden, Geschäftsvorteile in den Bereichen IT, Security und Business vorherzusagen, indem sie ML-Algorithmen verwenden. Solche statistischen Methoden können, auf große Datenmengen angewandt, recht aufwendig sein und große Systemressourcen beanspruchen.

Nutzer sammeln, präparieren, transformieren, erkunden und visualisieren Daten und veröffentlichen ihre Analyseergebnisse mit ein und demselben Produkt. „Mit den Verbesserungen bei Machine Learning und Metriken“, so Richard Campione, Chief Product Officer bei Splunk, „liefern Splunk Enterprise 7.0 und Splunk Cloud wichtige unternehmenskritische Erkenntnisse – und zwar noch schneller und einfacher als bisher.“

Splunk IT Service Information

Splunk IT Service Information (ITSI), ein weiteres Hauptprodukt, wurde in der Version 3.0 durch ML dahingehend erweitert, dass es nun das bisherige Event Monitoring mit Service-Kontext kombinieren kann, um vorhandene und potenzielle Probleme ausfindig machen zu können. In den nächsten Schritten erfolgt die Priorisierung von Maßnahmen zur Wiederherstellung unternehmenskritischer Services und die Realisierung analysegestützter IT-Prozesse. ITSI 3.0 wendet Service-Kontext inklusive Abhängigkeiten auf Events an und nutzt Machine Learning, um das zu Over-Alerting führende „Rauschen“ zu reduzieren, das Admins nervt, und nur die wirklich kritischen Informationen herauszufiltern.

Security

Die Security-Lösung „User-Behavior Analytics“ (UBA), die der Hersteller erst 2015 vorgestellt hatte, hat nun bereits die Version 4.0 erreicht, was für eine hohe Nachfrage spricht. UBA 4.0 soll Kunden das Erstellen und Laden eigener ML-Modelle erlauben, um benutzerspezifische Anomalien und Bedrohungen mithilfe des neuen Splunk UBA-SDKs (Software Development Kits) aufzudecken.

Das neue SDK dürfte Splunk UBA für ein breites Publikum interessant machen, da es Benutzern mehr Möglichkeiten an die Hand gibt, individuell angepasst Insider-Bedrohungen zu erkennen und daraufhin die Korrelation anomaler Verhaltensmuster zu zuverlässigen Bedrohungsergebnissen automatisiert. Das Verfahren ist aus SIEM-Paketen vertraut, aber der Aspekt, der das Benutzerverhalten hinter der Firewall überwacht, dürfte viele Betriebsräte aufhorchen lassen. Karthik Kannan, Leiter für Verhaltensanalyse bei Splunk, versicherte, dass die Überwachung von Mitarbeitern pseudonymisiert erfolge.

Splunk Machine Learning Toolkit (MLTK) 3.0

Splunk ist die führende Plattform für Analysen von Maschinendaten. Außerdem lassen sich damit zukünftige Ereignisse vorhersagen und davon entsprechende Handlungsempfehlungen ableiten.
Splunk ist die führende Plattform für Analysen von Maschinendaten. Außerdem lassen sich damit zukünftige Ereignisse vorhersagen und davon entsprechende Handlungsempfehlungen ableiten. (Bild: Splunk)

Das für Kunden kostenlos verfügbare Splunk Machine Learning Toolkit (MLTK) ist eine Data-Science-Anwendung, mit der jeder IT-Anwender künftige IT-, Sicherheits- und Geschäftsentwicklungen prognostizieren kann. Die auf der .conf 2017 vorgestellten Updates beinhalten die Verwaltung von ML-Modellen, die Benutzerberechtigungen über eine intuitive Benutzeroberfläche integriert. Darüber hinaus enthält das MLTK jetzt öffentliche Machine Learning APIs für Open-Source- und proprietäre Algorithmen sowie ein Datenaufbereitungsmodul, mit dem Kunden ihre Daten vor der Erstellung von ML-Modellen vor- und aufbereiten können. Umfragen haben nämlich ergeben, dass viele IT-Nutzer vier Fünftel ihrer Zeit allein mit der Vorbereitung (Suche, Auswahl, Transformation usw.) der für eine Analyse nötigen Informationen verbringen. Auch das Trainieren von Modellen im MLTK soll künftig mit weniger Datentransfers ablaufen. Um eine Vielzahl von Datenquellen einzubinden, gibt es eine Guided Workbench, die für jeden Anwendertyp intuitiv verständlich sein soll.

Weitere Lösungen

Aufgrund der wachsenden Nachfrage nach Premium-Lösungspaketen stellte Splunk außerdem neue und aktualisierte Lösungen für spezifische Kundenanforderungen in den Bereichen Sicherheit und IT Operations vor.

Eine vom Publikum lautstark begrüßte Erweiterung für Enterprise Security (ES) ist das Content Update. Als Brückenschlag zwischen menschlicher Intelligenz und Maschinendaten bietet der neue Subscription Service Splunk-ES-Kunden vordefinierte Sicherheitsinhalte. Er soll Sicherheitsexperten regelmäßig dynamische neue Inhalte bereitstellen, die es ihnen erlauben, dass spezifische Bedrohungen erkannt werden, Sicherheitsteams Bedrohungen untersuchen und die Entscheidungsfindung managen sowie Abhilfemaßnahmen gezielter auswählen können.

Betrugserkennung

Besonders für die Finanzbranche ist Betrugserkennung mit Splunk interessant. Splunk Security Essentials for Fraud Detection ist eine neue, kostenlose Splunk-Anwendung, die Kunden zeigt, wie sie Splunk einsetzen können, um unterschiedliche Betrugsarten (etwa im Gesundheitswesen, bei Kredit- und Debitkarten sowie Transaktionen) festzustellen und zu untersuchen. Mit dem Splunk MLTK und einer ganzen Palette von Splunk-Funktionen für die Datenanalyse können Kunden mit der Betrugserkennungslösung einfacher Anwendungsfälle zur Betrugsbekämpfung verstehen und Maßnahmen für die eigene Umgebung anpassen.

Weitere Security-Tools

Splunk Insights for Ransomware ist eine auf Benutzerbasis berechnete (s. u.) Lösung, die Unternehmen Echtzeiteinblicke liefert, mit denen sie potenzielle Bedrohungen durch Ransomware proaktiv beurteilen und schnell untersuchen können. Die Vorführung dieses Produkts umfasste auch die Präsentation des Tools „Domain Generating Algorithm“ (DGA), einen kostenlosen Service, der im MLTK enthalten ist. In nur fünf Schritten konnte Splunk Insights for Ransomware den Übeltäter im befallenen System orten und neutralisieren.

Cyber4Sight for Splunk ist eine mittlerweile verfügbare Lösung, die Sicherheitsanalysten und Threat Huntern verlässliche Bedrohungsinformationen zur Verfügung stellen soll. Die neue Anwendung, die als Managed Service oder on-premise verfügbar ist, kombiniert Cyber-Informationen und Security Intelligence aus Booz Allens Service für Bedrohungsinformationen mit analysegestützten Sicherheitserkenntnissen aus Splunk ES.

Analytics für AWS

Der Einsatz von Splunk Insights for AWS Cloud Monitoring auf der seit diesem Jahr verfügbaren Amazon Machine Image (AMI) für Splunk ist für eine große Zahl von Nutzern derart interessant, dass ein Teil der Session-Besucher stehen musste. Das SaaS-Tool, das in der Splunk Cloud läuft, bietet Unternehmen einen analysebasierten Ansatz für das Cloud-Monitoring. Diese Lösung liefert Echtzeiteinblicke in Performance, Sicherheit, Betrieb und Kostenmanagement aus Amazon Web Services (AWS).

Damit sowie mit Splunk Analytics lässt sich beispielsweise errechnen, welche Art von S3-Storage (Elastic Storage Blocks usw.) oder EC2-Compute am kostengünstigsten für den jeweiligen Zweck realisierbar ist. So kann jeder AWS-Nutzer bares Geld sparen. Splunk-Sprecher wiesen darauf hin, dass Splunk Analytics für AWS Elastic MapReduce (EMR) auf Hadoop eine andere Lizenz erfordert.

Zukunftsmusik

Mit dem Projekt „Waitomo“ soll es in Kürze möglich sein, in Splunk Logfiles und Metriken in einer einheitlichen Konsolenansicht zu vereinen, um die Infrastruktur (IT, Maschinen, Endgeräte, IoT) zu überwachen. Zusammen mit den Algorithmen des MLTK lassen sich damit Benachrichtigungen, Trendforschung und Fehlerermittlung unter einem Dach vereinen. In die gleiche Kerbe haut das Projekt „Nova“, eine API-basierte Logging-as-a-Service-Lösung, die Entwickler und DevOps-Nutzer adressiert. Weitere Projekte wurden Kunden präsentiert, waren aber für Pressevertreter nicht zugänglich. Sie gehen Richtung Streaming Analytics und Deep Learning.

Preisgestaltung jetzt kundenorientierter

Splunk hat seine Preismodelle kundenorientierter gestaltet, also je nach Zielgruppe unterteilt. Auf der Zahl überwachter Benutzerkonten basierte Preismodelle werden beispielsweise für UBA 4.0 und auf Benutzerzahl basierende für das Ransomware-Schutzprogramm angeboten. Bei Splunk Insights for AWS Cloud Monitoring, das kleinen IT-Teams End-to-End-Cloud-Transparenz für 7.500 US-Dollar im Jahr bietet, basieren die Preise auf Benutzerzahl und Datenvolumen. Die aktuellen Splunk Insights-Angebote stehen Splunk-Bestandskunden zudem kostenlos zum Download zur Verfügung. Alle Preise sind auf der Website zu finden.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44939564 / Künstliche Intelligenz)