Blog

Splunk expert review: Big Data analytics en Cyber Security

De voordelen van Splunk en Big Data analytics.

Om aan de managementbehoeften van bedrijven te voldoen verzamelt, indexeert en correleert Splunk sinds 2003 in real-time elk type data om grafieken, dashboards, waarschuwingen en rapporten te genereren. Splunk is in staat om machine-data te transformeren naar waardevolle inzichten. 

Als tool past Splunk dan ook perfect in de trend van Big Data. Van alle beschikbare data, is in de afgelopen twee jaar meer dan 90 procent van die data geproduceerd. Het verwerven van inzichten en benoemen van acties op basis van deze data insights is dan ook een noodzaak geworden.

Splunk Machine Data Business Value

Grote bedrijven hebben dan ook al vrij snel de voordelen van Splunk benut. In eerste instantie om, binnen een Cyber Security context, met grote hoeveelheden data afkomstig van Firewalls effectief om te gaan. Zijn we gehackt? Zijn er binnen mijn bedrijf interne bedreigingen en zo ja, waar? Hoe detecteren, blokkeren of stoppen wij een aanval en hoe snel doen wij dat?

Niet alleen voor Cyber Security management biedt Splunk voordelen. Ook informatie op het gebied van commerciële prestaties, marketingresultaten en Internet of Things connectiviteit, worden met de oplossingen van Splunk inzichtelijk. Splunk is dan ook een veelbelovend en breed toepasbaar hulpmiddel voor de manager die op basis van data beslissingen wil maken.

Splunk voor Big Data analytics en Cyber Security management

Het zijn deze veelzijdige toepassingsmogelijkheden waardoor steeds meer bedrijven het potentieel van deze revolutionaire tool ontdekken. Splunk is in staat om data van gebruikte applicaties en oplossingen te analyseren en actiepunten voor te stellen omtrent beveiligingsmaatregelen. Hetzelfde doet Splunk op het gebied van onder andere Artificial Intelligence, Machine Learning, automatisering en een grote hoeveelheid andere type data afkomstig van onder andere applicaties, servers, netwerken, sensoren, verbonden objecten, mobiele apparaten, machines en meer. Daarom zijn de ontwikkelingen van Splunk in de komende jaren veelbelovend, waarbij Splunk ervoor zal zorgen dat er steeds meer mogelijkheden bij komen, óók voor het MKB en start-ups.

De tijd is dan ook aangebroken om te kapitaliseren op grote hoeveelheden data door start-ups, het MKB en grote bedrijven. De big data-industrie zal naar verwachting in 2021 namelijk een marktomvang van 67 miljard dollar bereiken. Dankzij de geavanceerde hulpmiddelen van Splunk wordt die kapitalisatie door bedrijven mogelijk op een laagdrempelige en relatief eenvoudige manier.

Waarom heb je voor Splunk gekozen en geen andere oplossing?

Pierre-Olivier Kaplan, Network Security Engineer bij Infradata Groep (Nomios), licht toe waarom Splunk zo'n belangrijk hulpmiddel is binnen zijn vakgebied. "Persoonlijk was ik vanaf het begin al onder de indruk van de voordelen van Splunk omdat het een zeer breed spectrum van domeinen beslaat. Dat komt neer op vier belangrijke voordelen, te beginnen met de infrastructuur."

Na de behoeften van de klant te hebben gekwalificeerd en het verwachte volume van aantallen logs te hebben gedefinieerd, komt Splunk met een 'uitnodiging' ​​om zelf servers op te bouwen binnen de juiste architectuur. Het tweede voordeel draait om de verwerking van deze log-gegevens, aangezien Splunk deze van verschillende soorten databronnen ontvangt en weergeeft. Omdat elke databron in principe zijn eigen structuur heeft is er wel onderzoek nodig. Dat is uitdagend omdat het uiteindelijke doel is om uit diverse databronnen, alleen die specifieke informatie te halen die voor de klant relevant is. Splunk dwingt je er dus toe om goed voor te bereiden als het gaat om databronnen en data-flow management.

"Relevante data verzamelen is nodig om goede inzichten en antwoorden te krijgen op beveiligingsvraagstukken." - Pierre-Olivier Kaplan, Network Security Engineer bij Infradata

Het derde voordeel is dat Splunk concreet ontwikkelingswerk vereist en meer systeem georiënteerd is. Dat klinkt wellicht onaantrekkelijk, maar omdat ik een trainingsprogramma heb afgerond en mijzelf graag verder ontwikkel, moet ik zeggen dat ik van dit aspect houd. De aanpak van Splunk is dan ook zeer interessant omdat wij zelf applicaties en visualisaties moeten ontwikkelen, of zelfs scripts moeten maken, waarmee de klant relevante data kan verzamelen die nodig zijn om goede inzichten en antwoorden te krijgen op beveiligingsvraagstukken.

Het vierde en laatste element betreft ten slotte de Splunk-community. Doodat Big Data technologie een erg breed vakgebied is, wordt het noodzakelijk is om de verschillende aspecten van informatietechnologie- en op data-geörienteerde beroepen onder de knie te krijgen en hiermee vertrouwd te raken. Wat met Splunk hierbij goed van pas komt is dat zij op dit gebied een grote gemeenschap hebben van specialisten die elkaar wederzijds hulp aan willen bieden.

Dat maakt Splunk eveneens een bruikbaar hulpmiddel om eenvoudig informatie en ondersteuning te vinden. Een cruciaal aspect wat mij betreft, vooral voor een programma als Splunk dat zoveel goede oplossingen biedt voor complexe materie.

Kan je meer vertellen over het gebruiksgemak van de Splunk interface?

Ondanks de zeer geavanceerde mogelijkheden van Splunk is de interface intuïtief en gemakkelijk te gebruiken. Alternatieve oplossingen voor Splunk worden over het algemeen voorgesteld als een "black box". De klant die data verzendt ziet uiteindelijk wel mooie dashboards, maar weet nooit precies hoe het proces van dataverwerking en -visualisatie is verlopen. Met Splunk is dat juist precies het tegenovergestelde.

Splunk App Performance Interface

Alles is inzichtelijk en aanpasbaar en wat er ook gebeurt, je kan nooit plotseling geblokkeerd worden . Dat is een fundamenteel voordeel. Een additioneel voordeel is dat met de massale inzet van Splunk door steeds meer bedrijven, in toenemende mate effectieve API's aangeboden worden die direct klaar zijn voor gebruik. Inclusief alle functies die nodig zijn om data te verwerken en om specifieke informatie weer te geven die bedrijven nodig hebben, bijvoorbeeld omtrent app-performance en data-stromen.

Voor welk type bedrijf is Splunk geschikt?

Wat bedrijfssectoren betreft is Splunk erg populair bij banken, verzekeringsmaatschappijen, fabrikanten en grote bedrijven in het algemeen. Dit komt mede doordat Splunk het ook mogelijk maakt om een gehele infrastructuur te beveiligen en een groot aantal logs te ontvangen. Dankzij het licentie-model van Splunk is de tool ook geschikt voor kleinere bedrijven binnen het MKB, waar duidelijk minder gegevens verwerkt moeten worden. Dat terwijl het gebruik en de functionaliteiten van Splunk hetzelfde blijven. Ik denk daarom ook dat start-ups geïnteresseerd zullen zijn in het benutten van Splunk.

De mogelijkheden van Big Data analyse met Splunk is eveneens het benoemen waard. Data die tot nu toe onbenut bleven kunnen op grote schaal gewaardeerd worden. Splunk is in staat om aan specifieke zakelijke behoeften te voldoen, bijvoorbeeld door het verstrekken van activiteitenrapporten, gestructureerde verkoop- of marketinggegevens en meer. Als je eenmaal de data hebt, is met Splunk eigenlijk alles mogelijk voor elk type bedrijf.

Hoe worden klanten door jou begeleid bij het integreren van de Splunk oplossing?

De eerste fundamentele stap is het zorgen voor een concrete visie op de omvang van de te verzamelen data. Zodat wij de infrastructuur het beste kunnen afmeten en bouwen op basis van het aantal te installeren servers, bandbreedte eigenschappen, hoeveelheid toegepaste licenties en meer. Door vooraf te bepalen wat de klant in detail met Splunk wil doen, biedt het de veeleisende oplossing én concrete toegevoegde waarde waar de klant naar op zoek is.

Bedrijven, ongeacht de omvang, moeten in gedachten houden dat een goede voorbereiding een prioriteit is. Wij begeleiden daarbij door vragen te stellen over interne behoeften. Denk aan het verwachte volume van de te monitoren logs, gegevens om real-time te volgen zoals alle gebeurtenissen die door de firewall gelogd worden of applicatie-gebeurtenissen.

Daarna beginnen wij meestal met het implementeren van een Proof Of Concept (POC) om te testen met een eerste server die op de locatie geïnstalleerd is. Daarmee verzamelt de klant de eerste gegevens. Wij ontwikkelen gelijktijdig de eerste visualisatietoepassingen. Wanneer mogelijk werken wij binnen een bredere infrastructuur, met aanvullende servers en een cluster aan diverse type gegevens. Om performance realistisch te repliceren van  performance tijden van data-transacties, is het noodzakelijk om aanvullende vragen te beantwoorden:  Moeten de gegevens opgeslagen worden? Moeten we een retentie logboek beheren? En hoe zit het met archiveringsbeperkingen?

Zodra de infrastructuur aanwezig is, blijven we werken aan de gegevens en het maken van nieuwe applicaties, zodat de klant alle informatie krijgt die hij nodig heeft. Daarna zorgen wij voor uitgebreide documentatie en training omtrent Splunk, zodat interne teams het volledig kunnen beheren.

Dit model van Infradata zorgt ervoor dat klanten volledig autonoom zijn in termen van gebruik. Voor de meer complexe toepassingen of oplossingen, leveren wij persoonlijke technische ondersteuning en expertise. Dat is een fundamentele meerwaarde van Infradata in relatie tot Splunk. 

Wat is jouw niveau van deskundigheid op Splunk oplossingen en heb je een aantal installatie voorbeelden?

In termen van deskundigheid is Infradata de focuspartner van Splunk. Dat betekent dat wij directe toegang hebben tot het platform en nieuwe ontwikkelingen. Wij werken nauw samen met Splunk-ingenieurs en organiseren trainingssessies voor onze klanten. Wij hebben binnen Infradata 12 mensen met een technische Splunk certificering.

Onze missie ten aanzien van Splunk is helder: We leveren integratie, audits, applicatie-ontwikkeling, dataverwerking, topniveau trainingen en complete installatie van Splunk oplossingen.

Wij hebben vooralsnog Splunk geconfigureerd voor 35 verschillende bedrijven in 2017. Deze vraag neemt gestaag toe en wij merken dat bedrijven steeds meer geïnteresseerd zijn in deze technologie in combinatie met Big Data.

Op beurzen is goed te zien dat Splunk de aandacht monopoliseert door de mogelijkheden te benoemen die ver buiten het gebied van IT-beveiliging liggen. Sommige van onze klanten ontdekten Splunk via de beveiligingskant, maar realiseerden zich al snel dat er ook een enorm Big Data-potentieel is. Dat zorgde ervoor dat zij later eigen bedrijfsapplicaties ontwikkelden. Voor één van onze klanten, een grote Franse hotelgroep, was Splunk een ontdekking die hen nuin staat stelt om in real time op kaarten de werkelijke bezettingsgraad van kamers te visualiseren. Dat doen zij via verbindingslogs die verzameld zijn.

Hoe gebruik je Splunk zelf?

Het is voor bedrijven heel eenvoudig geworden om een ​​grote verscheidenheid aan gegevens te integreren om dit bedrijfsapplicaties te creëren. Intern gebruiken wij Splunk om het aantal ondersteunde tickets te volgen evenals de tijd die het duurt om deze tickets af te ronden. Daarnaast gebruiken wij Splunk om de SLA en andere statistieken die inherent zijn aan onze service te monitoren. Splunk stelt ons ook in staat om te rapporteren over wat op er op sociale netwerken gebeurt. Voor ons als bedrijf is het dan ook een lonende en fantastische tool om tot onze beschikking te hebben.

Pierre-Olivier Kaplan - 13 augustus 2018

Pagina delen:
Ontvang het laatste nieuws en relevante updates rechtstreeks in je browser. (max. één bericht per week)

Deze website maakt gebruik van cookies. Door verder te gaan op de site ga je akkoord met ons gebruik van cookies. Lees meer.