Übersicht
Die Eigenentwicklung von SIEM Use Cases kann eine teure und aufwendige Angelegenheit werden. Insbesondere für KMU, die sich im Zuge von KRITIS-Dachgesetz und NIS-2 mit völlig neuen Anforderungen konfrontiert sehen, aber auch für große Unternehmen, insbesondere aus der Finanztechnik-Branche (FinTec), die darüber hinaus auch noch die Anforderungen aus DORA umsetzen müssen.
Geht man davon aus, dass in vielen Unternehmen immer wieder gleiche oder zumindest sehr ähnliche SIEM Use Cases zum Einsatz kommen, ist die Möglichkeit der Nutzung von Synergieeffekten leicht erkennbar und kann einen wichtig Beitrag zur Kostensenkung bei gesteigerter Effizienz Ihrer IT-Security Maßnahmen leisten.
Salopp gesagt: Warum nicht von der Entwicklungsarbeit anderer profitieren und den Weg von der Anforderung für einen Use Case bis zum erfolgreichen Produktionseinsatz drastisch verkürzen ?
Dies ist die zentrale Idee hinter der Use Case Factory (Splunk) und mein Angebot an Sie.
Profitieren Sie von der Erfahrung aus über 8 Jahren Use Case Entwicklung unter Splunk in verschiedenen Branchen, vor allem FinTec-Unternehmen, und einem großen Fundus praxiserprobter Use Cases aus nahezu allen Bereichen moderner IT-Produktion. Egal ob MS-Windows oder Unix-Logs, zOS Anwendungsfälle oder Log-Daten gängiger Datenbanksysteme, sogar Anwendungs-Logs - z. B. SAP oder auch individuelle Anwendungen - die Use Case Factory (Splunk) wird Ihre Anforderungen kostengünstiger und schneller erfüllen, als herkömmliche Vorgehensweisen in der Individualentwicklung solcher Lösungen.
Entwicklungsumgebung
Für jeden Kunden wird im Labor auf einem mandantenfähigen Splunk nahezu aktueller Version (ohne Splunk Enterprise Security) ein eigener Mandant eingerichtet, in welchem die beauftragte Entwicklung stattfindet.
Vorgehen
Lesen auf den folgenden Seiten den Ablauf von der Angebotsanfrage bis zur Abwicklung oder nutzen Sie die nebenstehende Navigation, um einzelne Seiten direkt aufzurufen.
Angebotsanfrage
In Ihrem Unternehmen entsteht die Notwendigkeit für den Einsatz eines SIEM und den darin ablaufenden Alert Searches (Use Cases). Außerdem haben Sie sich in der Vergangheit für den Einsatz von Splunk als Ihrer SIEM Plattform entschieden. Statt Ihre wertvollen eigenen Mitarbeiter oder aber teure externe Firmen mit der Umsetzung zu betrauen, wenden Sie sich mit folgenden Informationen an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!:
- präzise funktionale Beschreibung der zu entwickelnden Alarm-Suche inkl.
- Zuordnung zu MITRE ATT@CK Tactic und Technique (z. B. "Discovery : Remote System Discovery" oder "TA0007 : T1018"
- für datenmodell-basierte Suchen ist auch eine Liste der von Ihnen definierten Felder der beteiligten Datenmodelle erforderlich
- Beschreibung der Splunk Umgebung
- Versions-Nr., Verwendung von Splunk native / Splunk Security Essentials, Splunk Enterprise Security
- verwendete Datenmodell Version (entfällt bei index-basierten Alarm Suchen)
- mindestens 2 anonymisierte Log-Beispiele (Text Dateien) für jedes Event, das von der Alert Search ausgewertet werden muss
(wenn eine Alarm Suche für Windows Events z. B. das Auftreten von 3 verschiedenen Event-IDs erfordert, benötigen Sie insgesamt 2 Text Dateien mit je 3 Testereignissen) - Beispielausprägungen für zu berücksichtigende Lookup Files, mit den erforderlichen Anreicherungen bzw. Ausschlusskriterien
- Benennung eines Ansprechpartners in Ihrem Unternehmen für Rückfragen mit Telefon-Nr. und Email Adresse
- für alle diese Daten wird eine Formular zur Verfügung gestellt, welches hier heruntergeladen werden und auch die Vertraulichkeitsvereinbarung (siehe unten) enthält
Angebotsabgabe
Nach Erhalt einer solchen Email werde ich
- auf Neu-Kunde oder Bestandskunde prüfen
- die Anforderung in eine von 4 Kategorien einordnen, die für die Preisfindung herangezogen wird
- die Kategorien sind: leicht, mittel, schwer, individuell
- die Kategorien sind: leicht, mittel, schwer, individuell
- eine Rückantwort erstellen und an die Ursprungs Email Adresse zurücksenden mit diesen Inhalten
- ein ausgefüllter Rahmenvertrag (nur bei Neu-Kunden)
- Gültigkeit: 1 Jahr ab Unterzeichnung
- enthält auch den einmaligen Set-Up Aufwand der Entwicklungsumgebung
- ein ausgefüllter Einzel-Werksvertrag für diesen Auftrag mit Auftragsnummer und Gültigkeitsdauer des Angebots, welcher rechtsverbindlich unterschrieben zurückgesendet werden muss
- die von mir festgelegte und begründete Kategorie
- ein ungefährer Fertigstellungstermin im Kalenderwochenformat, ausgehend von einer Beauftragung in der folgenden KW
- ein ausgefülltes Beauftragungsformular, welches rechtsverbindlich unterschrieben zurückgesendet werden muss
- der Austausch elektronischer Formate (PDF-Dateien) ist gegenüber körperlichen Formaten ausdrücklich bevorzugt
- ein ausgefüllter Rahmenvertrag (nur bei Neu-Kunden)
Auftragsannahme und Umsetzung
Sobald die Vertragsunterlagen rechtsgültig unterschrieben eingetroffen sind, werde ich
- deren Erhalt und
- den voraussichtlichen Liefertermin (im Kalenderwochenformat)
an die Kontakt Email-Adresse bestätigen und im Rahmen meiner internen Planung zeitnah mit der Umsetzung beginnen.
Sind die Entwicklungs-, Test- und Dokumentationsaufgaben abgeschlossen, erhält der benannte Kontaktpartner erneut eine EMail mit allen Artefakten, die zum Lieferumfang gehören:
- Alle Splunk-Artefakte, die für den Auftrag entwickelt wurden, insbesondere
- die Alert Search und ggf. die Drilldown-Search, jeweils im SPL Format und im conf Format
- ggf. erstellte Macros im SPL und conf Format
- erstellte Lookup Files im csv Format
- eine Kurz-Dokumentation in reinem Textformat
- eine Test-Dokumentation in Form von Screenshots (png Format)
Für die Integration in die eigenen Splunk-Umgebung, den Test und die entsprechende Rückmeldung (erfolgreich oder nicht erfolgreich, dann mit Fehlerbeschreibung) hat der Kunde i.d.R. 15 Arbeitstage Zeit. Im Falle von Fehlern wird ausgehend von der übersandten, detailiierten Fehlerdokumentation zügig mit der Beseitung begonnen und der Umsetzungszyklus beginnt.
Eine Zahlung wird erst durch die erfolgreiche Abnahme der erstellten Artefakte fällig. Dabei ist unabhängig, wann die erstellten Artefakte vom Kunden tatsächlich produktiv eingesetzt werden. Die Bestätigung fehlerfreier Funktionalität ist entscheidend.
Preise
Aktuell (2025) gelten die nachfolgend beschriebenen Konditionen für die Use Case Factory (Splunk). Dabei ist die Umsetzungseinheit, kurz UE. die Grundlage der Preisgestaltung.
| Kategorie | Anzahl UE |
| I - leicht | 1 |
| II - mittel | 2 |
| III - schwer | 3 |
| IV | nach Absprache |
| Preis 1 UE | € 800,-- |
(Preise verstehen sich immer zzgl. der gesetzl. Umsatzsteuer i. H. v. derzeit 19%)
Vertraulichkeitsvereinbarung
Ich sichere an dieser Stelle zu, die übermittelten Informationen ausschließlich und nur für die Umsetzung der Aufgabe und keine anderen Zwecke zu verwenden und absolut streng vertraulich zu behandeln.
Darüber hinaus werden diese Daten nur bei Zustandekommen eines Vertrages und nur solange aufgehoben, wie der Gesetzgeber es für Geschäftsunterlagen vorschreibt bzw. einschlägige Regelungen (DSGVO etc.) es erlauben. Im Anschluss an diesen Zeitraum werden alle Daten rückstandslos gelöscht.