T S O L K A S
Heim / Architektur

Architektur

Architektur

ZENTRALER KERN MIT MODULAREN UND SKALIERENDEN SCHNITTSTELLEN

Unsere Wahl für Elastic fiel schon 2017 durch eine kontinuierliche Beobachtung von Roadmaps und Roadshows über Jahre hinweg, bei denen wir sahen, dass Planung und Umsetzung von neuen Zielen mit Elastic in neuen Releases viel stärker verfolgt und umgesetzt wurden, als bei allen anderen SOC-Herstellern. Diese kontinuierliche Weiterentwicklung und Innovation bei Elastic Search hat uns überzeugt, dass es die beste Plattform für OSCAR © ist. Wir verwendeten Elastic schon in der Open Source Version, und erstellten damals schon ein SOC für die DB Netz AG für den OT Bereich für die neuen digitalen Stellwerke – ESTWs im Rahmen der Projekte NeuPro und EULYNX. Dieses SOC installierte die Bahn auf der Teststrecke in Annaberg-Buchholz. OSCAR © verwendet Elastic Search als SIEM und Data Store. Diese Big Data Plattform skaliert nahezu linear, im Gegensatz zu anderen SIEM-Systemen. Elastic Search bietet aufgrund seiner Open Source Entwicklung zahlreiche Vorteile gegenüber Konkurrenzprodukten. Dazu zählt:

Skalierung: Elastic Search skaliert fast linear, was es ermöglicht, große Datenmengen effizient zu verarbeiten und zu speichern, ohne dass die Leistung stark beeinträchtigt wird. Dies ist ein entscheidender Vorteil im Vergleich zu vielen anderen SIEM-Systemen. Bei den meisten anderen Trägerplattformen gibt es massive Einbrüche, weshalb auch Hersteller von SIEM mittlerweile ihre eigene Plattform entsorgen und anstelle dessen Elastic nutzen.

Architektonische Flexibilität: Elastic bietet eine architektonische Vielfalt, die es ermöglicht, das SIEM und die darin enthaltenen Data Stores bzw. – Lakes für verschiedene Verarbeitungszwecke zu nutzen. Dies schließt die Integration anderer Datenbanken und Anwendungen mit ein, wodurch die Gesamtfunktionalität und Nutzbarkeit erheblich verbessert werden. Unterstützt durch das Elastic Language Model, OSCAR GUARD – unserer eigenen KI-Pipeline, der Anomalie-, eventbasierenden und KI-Ingestion Pipelines, unserer IT- und KI-gesteuerten OT-Sensoren, Kibana, sowie unseren auszuwählenden Zusatzprodukten wird die Architektur von OSCAR komplementiert durch extrem starke Basisdienste.

Volltextsuche: Elastic Search ermöglicht eine leistungsstarke Volltextsuche über den gesamten Inhalt. Dies erleichtert das schnelle Auffinden und Analysieren von Daten, was besonders in sicherheitskritischen Umgebungen von großer Bedeutung ist.

Kosten: Ein weiterer großer Vorteil von Elastic Search ist der Preis. Elastic Search bietet erhebliche Kostenvorteile gegenüber Konkurrenzprodukten, ohne dabei an Funktionalität oder Leistung einzubüßen.

OSCAR © liest eine Vielzahl von Daten- und Logquellen ein, die aus den verschiedenen IT- und OT-Sensoren für Datengenerierung entstehen. Diese Netzwerk-, Host-, und Application-Streams fließen in unsere persistente Queue in das Real Time Processing ein, werden normalisiert, harmonisiert und für ihren Zweck angereichert. Nach der Vorverarbeitung liegen die Daten zur weiteren Verarbeitung im SIEM. Dort generieren Sie Alerts, dienen den Abfragen per GUI oder führen durch eine KI-Pipeline weitere selbstlernende Trainingsmodelle durch, nutzen Automationstools wie z.B. Tines, Swimlane und PaloAlto und führen weitere automatisierte Prozesse durch.
OSCAR © bietet in der Basisversion eine Anomalie-, eine eventbasierte- sowie eine KI-Pipeline für Anomalien. In der erweiterten Version von OSCAR liefern wir OSCAR mit unserer eigenen KI-Pipeline, die vorwiegend selbstlernende Trainingmodelle nutzt, die das gesamte SOC automatisch steuern könnte. Sie reduziert das Incident Management extrem stark und hilft Ihnen dabei Personalkosten zu sparen.

Die Architektur von OSCAR © ist mandantenfähig und skaliert immens hoch.

Für unsere Kunden, die Infrastrukturen betreiben, die Sie kurz- oder mittelfristig von der zentralen SOC-Infrastruktur abkoppeln müssen, bieten wir ein lokales SOC in Form eines intelligenten lokalen Anomaliedetektors an. Das lokale SOC operiert autonom und schützt die Infrastruktur, als wäre diese mit dem zentralen SOC verbunden. Die Speicherung der Daten erfolgt lokal. Sobald das lokale SOC wieder an die zentrale SOC Infrastruktur angebunden wird, erfolgt die Datensynchronisation. Diese Lösung bietet unseren Kunden die notwendige Flexibilität und Sicherheit, um Ihre Infrastrukturen effektiv zu schützen und gleichzeitig die Vorteile einer zentralen SOC-Infrastruktur zu nutzen.
Das lokale SOC führt vor der Trennung von dem zentralen SOC eine spezielle Authentifizierung durch. Dazu setzen wir Silentel ein, einen NATO-Standard in der Kommunikation. Via Silentel erfolgt die Schlüsselverteilung vor der Abkopplung. Dadurch wird die Integrität der Software sichergestellt. Dieser Prozess dient der Sicherstellung, Integrität und der Sicherheit der Software und Daten während der Trennung und Wiederanbindung an das zentrale SOC.

Die Ergebnisse werden in Form KI-gesteuerter interaktiver Dashboards präsentiert, die die schnellste und intuitivste Analyse der Sicherheitslage ermöglichen. Diese Dashboards bieten grafische Darstellungen und Filtermöglichkeiten für detaillierte Einblicke in Ereignisse und Trends. Automatisch generierte Alerts werden sofort ausgelöst und können in Echtzeit über verschiedene Kanäle wie Alerts, Email, SMS oder Ticketsysteme verteilt werden. Das Analysieren der Sicherheitsvorfälle und die Reaktion darauf kann zu 100% von der KI entschieden und automatisiert werden. Dies ermöglicht eine viel schnellere Reaktion auf Sicherheitsvorfälle als herkömmliche SOCs.