Nach dem SOC-Aufbau ist vor der Automatisierung (OFD Baden-Württemberg)
0 gefällt mir•22 aufrufe
Splunk Public Sector Summit Germany April 2025 Präsentation: Nach dem SOC-Aufbau ist vor der Automatisierung Sprecher: Sven Beisel, Fachreferent SOC, Oberfinanzdirektion Baden-Württemberg
Nach dem SOC-Aufbau ist vor der Automatisierung (OFD Baden-Württemberg)
- 1. Nach dem SOC-Aufbau ist vor der Automatisierung Use Case Automatisierung mit SOAR
- 2. Zu meiner Person Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW 2 Sven Beisel, Fachreferent SOC ▪ 45 Jahre, verheiratet, 3 Kinder im Alter von 5, 12 und 19 ▪ Gelernter Energieelektroniker, nach der Ausbildung in den IT-Bereich gewechselt ▪ Studium zum IT-Betriebswirt ▪ Über 20 Jahre bei der EnBW in unterschiedlichen IT-Bereichen und Positionen ▪ 2 Jahre als IT-Projektleiter für Digitalisierungsprojekte bei großen deutschen Versicherungen ▪ Seit 4 Jahren bei der OFD Baden-Württemberg als Fachreferent SOC
- 3. Sicherheitszentrum IT in der Finanzverwaltung BW (SITiF BW) Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW 3 Der Weg für ein SOC wurde geschaffen Mit dem Kabinettsbeschluss des Finanzministeriums BW im Mai 2019 wird die OFD Karlsruhe mit dem Aufbau des Sicherheitszentrums IT in der Finanzverwaltung (SITiF BW) beim Landeszentrum für Datenverarbeitung (LZfD) beauftragt. ▪ Zusätzliches Referat für SITiF BW ▪ Beschaffung und ab Q3/2020 Aufbau SIEM-System. Hierfür wurden mehrere Tonnen an Servern und Netzwerk- komponenten geliefert, eingebaut und verkabelt.
- 4. Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW 4 Überwachung 24 x 7 mit Rufbereitschaft Unser Team besteht aus 9 Analysten sowie 3 Fachreferent*Innen und einem Referent. Wir überwachen vor Ort im Schichtbetrieb die sicherheitsrelevanten Ereignisse während unserer „bedienten Zeit“ montags bis freitags von 7:00 Uhr – 18:00 Uhr. Außerhalb dieser Zeiten stellen wir per Rufbereitschaft und Alarmierung auf die Diensthandys sicher, dass wir keine Ereignisse verpassen. Somit stellen wir im SOC des SITiF BW den 24x7 Betrieb sicher. Wie sind wir im SOC aufgestellt?
- 5. Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW 5 Logvolumen pro Tag in TB (gemittelt): ca. 1,6 TB Aktuell angebundene Systeme: ▪ > 10.000 Systeme (Server, Clients) der OFD Baden-Württemberg ▪ > 2500 Netzwerk-Komponenten ▪ > 820 Systeme der Dienststellen in der Finanzverwaltung Sicherheitsrelevante Ereignisse (Notables) im SIEM pro Tag: ▪ 2021 = 200 ▪ 2022 = 60 ▪ 2023 = 33 ▪ 2024 = 21 Seit Oktober 2024 Umstellung auf Risk Based Alerting (RBA) Zahlen, Daten, Fakten
- 6. Ausbau des SOC und SIEM 6 SOAR-System Initiale Automatisierung: VPN-Einwahl - Prüfung der Lokation Prüfung von URLs bei curl/wget Aufrufen Weiteres auf der nächsten Folie Sandbox-System Prüfung von E-Mails und Anhängen Prüfung von URLs - In Arbeit - Prüfen von Dateien über definierten Eingangskanal („Schmutziges Laufwerk“) NDR-System NDR-System mit Anbindung an das SIEM Notables (sicherheitsrelevante Ereignisse) werden direkt an das SIEM gemeldet Detektion von verdächtigem Netzwerkverkehr Datenabfluss (große Mengen, ungewöhnliche Uhrzeit) Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW
- 7. Automatisierung SOAR - Sandbox - SIEM 7 Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW Mailcheck • Dediziertes Postfach zur Prüfung von eingehenden Mails • SOAR pollt auf das Postfach • Bei eingehenden Mails werden diese abgerufen und an das Sandbox-System übergeben • Analyse in der Sandbox • Ergebnis wird nach Beendigung der Analyse an SOAR übergeben • Ergebnis wird durch SOAR per Notable im SIEM den Analysten zur Verfügung gestellt • Rückmeldung an Mailabsender per Disposition-Auswahl (Clean/Suspicious/Malicious) • Automatisierte Mailantwort nach Auswahl der Disposition Zeitersparnis pro Mail: ca. 2-5 Minuten
- 8. Automatisierung SOAR – IoCs - SIEM 8 Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW IoC Automatisierung • Abruf der IoCs aus definierten Quellen • Prüfung der IoCs auf Plausibilität • Aufteilung der IoCs in CSVs (IP, Hash, Domains, URLs) • Übertragung in das SIEM-System als Lookups • Starten der IoC-Suchen mit Rückmeldung der Ergebnisse an das SOC Zeitersparnis: ca. 5-10 Minuten
- 9. Automatisierung SIEM - SOAR – Mail 9 Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW Erstellung von Mandantenberichten für die Dienststellen Für die angebundenen Dienststellen in der Finanzverwaltung werden die Notables der Dienststellen aus dem SIEM-System wöchentlich von SOAR ausgelesen, in eine Excel-Tabelle geschrieben und automatisiert an die Dienststellen versendet. Zeitersparnis: ca. 10 Minuten
- 10. 10 Herzlichen Dank für Ihre Aufmerksamkeit Sven Beisel Oberfinanzdirektion Baden-Württemberg EDV 73A | Fachreferent SOC [email protected] Nach dem SOC-Aufbau ist vor der Automatisierung | 02.04.2025 | Sven Beisel, OFD BW