Jeder ist in der Cloud“, sagten sie, „und wenn Sie nicht da sind, wird Ihr Unternehmen sterben.

 

Das war, wann, 2010?

Wie sich herausstellte, gibt es zu viele bewegliche Teile, zu viele Anwendungen waren damals noch nicht so weit, die Bandbreite zu teuer und nicht zuverlässig, und, oh, sensible Daten außerhalb des Unternehmens zu speichern?

Gehen Sie weiter, hier gibt es nichts zu sehen.

Wir haben zehn Jahre gebraucht, das ist wie ein ganzes Jahrhundert in Technikjahren (2010: iPhone 4, irgendjemand?), um in den aktuellen Zustand zu gelangen.

 

2020 rückt näher, und alle sind in der Cloud.

 

Auf eine andere Art und Weise als erwartet und definitiv nicht tot.

Während es eine Vielzahl von Unternehmen gibt, die ausschließlich in der Cloud operieren, verfolgt die Mehrheit den hybriden Ansatz.

Hybrid ist für uns Leute hier in EMEA einfacher, wo jedes Land immer noch seine Gesetze befolgt und gleichzeitig unter dem Dach der GDPR sitzt.
Aber versuchen wir die Dinge nicht zu überkomplizieren.

Hybrid ist, einfach gesagt, das Beste aus beiden Welten.

 

Es gibt eine Vielzahl von Cloud-Anbietern, und laut einer Umfrage, die wir vor einiger Zeit in unserer THWACK® Community durchgeführt haben, ist Microsoft® Azure® der beliebteste in unserem Kundenkreis. Ungefähr 53% von euch benutzen Azure auf die eine oder andere Weise.

 

Wir haben Ende 2017 mit Server & Application Monitor (SAM) Version 6.5 die Überwachungsunterstützung für Azure in die Orion®-Plattform integriert, und seitdem ist es möglich, Server in der Cloud zu überwachen, sowie andere unterstützende Statistiken abzurufen, z.B. Storage. Übrigens war das iPhone 8 damals die neueste Technologie - nur um die Dinge ins rechte Licht zu rücken.

Etwas früher in dem gleichen Jahr haben wir Azure SQL-Unterstützung in den Database Performance Analyzer (DPA) aufgenommen, ebenso DPA war unser erstes Produkt, das auf dem Azure-Marktplatz verfügbar war - es ist schon seit geraumer Zeit da oben.

 

Die Frage nach dem Einsatz von Orion in Azure stellte sich häufig.

 

Wir haben einige interessante Geschichten gehört - wahre Pioniere, die Orion in der Cloud betreiben, völlig ohne Support und "auf eigene Gefahr", aber hey, es hat funktioniert.

Also, der Bedarf war da, und wir haben euch gehört: Deployments in Azure sind seit 2018 offiziell unterstützt, und Anfang 2019 haben wir weitere Features hinzugefügt und die Dokumentation erstellt.

 

Aber wir dachten uns „Da geht noch was“, haben uns mit Microsoft zusammengesetzt, und, nur wenige Wochen nach der Veröffentlichung des iPhone 11 Pro, Entschuldigung, seit unserer Version 2019.4, ist die Orion-Plattform auf dem Azure-Marktplatz verfügbar, und Azure SQL Managed Instances werden offiziell als Orion-Datenbank unterstützt.

Das war der nächste logische Schritt, da es schon länger keine Rolle mehr spielt, wo sich Workloads befinden, warum sollte man sich also noch mit dem Standort des Monitoring-Systems befassen?

 

Werfen wir einen Blick auf die Gegenwart...

 

Die Geschwindigkeit und Benutzerfreundlichkeit der ersten Orion-Plattform Bereitstellung wird durch den Marktplatz deutlich verbessert.

Die Anwendungen sind mit optimalen Einstellungen vorkonfiguriert und bieten dadurch viel mehr Unterstützung als eine einfache ausführbare Datei oder gar ein ISO-Image.

Es handelt sich um getestete und validierte Instanzen, die mit allen notwendigen Abhängigkeiten ausgestattet sind, aber dennoch Optionen für Anpassung und Flexibilität bieten.

 

Traditionell mussten Host-Ressourcen angefordert, eine VM geklont und angepasst werden, dann wurde sichergestellt, dass das Betriebssystem bereit ist, Abhängigkeiten wurden installiert, und schließlich Orion.

Natürlich ist nichts davon Raketenforschung, aber es kostet Zeit, und es besteht die Gefahr, dass Dinge schief gehen.

Und wir alle wissen: Wenn etwas schiefgehen kann, dann passiert es auch schon mal. Aber nicht mehr!

 

Und in der Zukunft...

 

Wenn es eine beständige Sache gibt, dann sind es Veränderungen. Und die Änderungen könnten sehr wohl bedeuten, dass Orion nach Azure migriert wird. Irgendwann.

Bisher war das eine relativ komplexe Aufgabe und begann wahrscheinlich mit dem Einsatz unseres eigenen Virtualization Managers und der Sprawl-Funktion, um sicherzustellen, dass alle beteiligten Maschinen vor der Migration die richtige Größe haben, um teure Überraschungen zu vermeiden. Der nächste Schritt ist das Vorbereiten der Infrastruktur, des Betriebssystems, und ein erneuter Doppelklick auf die ausführbare Datei... Ich würde es nicht als langweilige Routine bezeichnen, aber es ist langweilige Routine. Ehrlich.

 

Und jetzt?
Ein paar Klicks auf dem Marktplatz und das Ganze wird bereitgestellt, und eigentlich muss man sich nur noch um den Umzug der Datenbank zu kümmern.

Okay, das ist eine etwas vereinfachte Ansicht, aber es ist klar, worauf ich hinauswill: Es ist einfacher. Viel.

 

Stichwort Datenbank.
Das ist nicht gerade mein Lieblings-Thema und ich bin normalerweise froh wenn Tom da ist, um darüber zu diskutieren, aber von den aktuellen Anforderungen her ist SQL 2014 das Minimum.
Jedoch sollte man nicht außer Acht lassen, dass einige Orion-Module 2016SP1 wegen der Volltext-Suche benötigen, so dass es nicht viel Sinn macht, ältere Versionen als diese auszuführen.

Neue SQL Lizenzen zu erhalten und eine neue Version bereitzustellen, während man gleichzeitig auf mögliche Abhängigkeiten achten muss, könnte ein Hindernis für die empfohlene Aktualisierung von Orion Modulen sein, und auch das wird mit Azure verbessert.

 

Außerdem ist es einfacher, eine neue Version eine neue Funktion zu testen, oder vielleicht einmal ein anderes Modul auszuprobieren.

Warum nicht eine permanente Laborumgebung in der Cloud betreiben? Nur eine Idee!

Möchtet ihr mehr wissen? Ganz bestimmt!
Hier ist der nächste Schritt für euch, während ich auf einem Date mit meiner nächsten Tasse Kaffee bin!

Security Event Manager (SEM), das SolarWinds SIEM, ist ab sofort im Kundenportal und auf solarwinds.com in Version 2019.4 verfügbar.  Die Release Notes finden sich hier und die Schritte zum Upgrade einer bestehenden SEM-Appliance hier. Die SEM-Online-Demo wurde ebenfalls aktualisiert und kann von hier aus aufgerufen werden, und das Dashboard kann man in Aktion in diesem Video sehen.

Zuerst fällt wahrscheinlich unser neues Versionsformat ins Auge. Neue Releases für SEM werden nun im Quartal des Jahres verwendet, wobei ein ähnlicher Ansatz wie bei den Produktmodulen der Orion-Plattform verfolgt wird. SEM-Versionen werden das vierstellige Jahr sein, in dem sie veröffentlicht wurden, gefolgt vom Quartal der Veröffentlichung. Wenn zwischen den Hauptreleases eine Servicefreigabe vorliegt, erscheint diese an dritter Stelle nach dem Quartal, z.B. 2019.4.1.

Also, was ist in dieser SEM-Version enthalten? Diese Version konzentriert sich hauptsächlich auf unsere Migration von Flash, wobei unserer HTML5-Oberfläche neue Funktionen hinzugefügt wurden, darunter Dashboards, benutzerdefinierte Gruppen und E-Mail-Vorlagen.

 

DASHBOARD

 

Das Sprichwort sagt, ein Bild sagt mehr als tausend Worte - was besonders bei den Protokolldaten gilt. Die Ereignisseite in SEM ermöglicht es, mit Protokollen über Filter und Schlüsselwortsuche zu interagieren, aber es kann schwierig sein, ungewöhnliche Aktivitäten oder verdächtige Trends zu erkennen. An dieser Stelle kommt das Dashboard ins Spiel - die Möglichkeit, Tausende von Protokollen zu visualisieren und sich ein Bild davon zu machen, was im Netzwerk passiert, kann bei der Erkennung von Bedrohungen sehr hilfreich sein. Wir haben mehrere Out-of-the-Box-Diagramme hinzugefügt, die auf einigen der häufigsten Anwendungsfälle basieren, die wir von unseren Kunden erhalten, darunter Change Management, Authentifizierung und Netzwerkverkehrs-Widgets.

Benutzerdefinierte Widgets können auf jedem Event-Filter basieren, und die Diagrammoptionen umfassen Balken, Kuchen und Donut sowie Liniendiagramme für Zeitreihendaten. Das Einlesen der Protokolldaten hinter jedem Diagramm ist bei der Analyse potenzieller Bedrohungen von entscheidender Bedeutung.

Ein Klick auf das Segment eines Diagramms wird die darunterliegenden Protokolldaten anzeigen. Hier ist ein Einblick, wie unser neues Dashboard aussieht:

 

 

BENUTZERDEFINIERTE GRUPPEN

 

Es ist nun möglich, diese Gruppen über die HTML5-Schnittstelle erstellen und verwalten. Benutzerdefinierte Gruppen enthalten Daten, die spezifisch für Ihre Umgebung sind, wie Benutzer- und Computernamen, sensible Dateien, zugelassene USB-Geräte usw. Diese Gruppen können auch als Whitelists und Blacklists für die Verwendung in Korrelationsregeln und Filtern fungieren, z.B. um über den versuchten Zugriff auf eine URL zu informieren, die auf einer Blacklist sitzen. Die Gruppen können manuell erstellt oder über eine CSV-Datei importiert werden, ebenso wird der Export von Gruppenelemente zu CSV unterstützt.

Um sicherzustellen, dass unsere Out-of-the-Box-Inhalte für eine sich ständig verändernde Bedrohungslandschaft relevant bleiben, haben wir mehrere unserer vordefinierten Gruppen aktualisiert, darunter SQL Injection/XSS-Vektoren, Anonymisierungs-Websites und Remote-Desktop-Websites.

 

 

E-MAIL-VORLAGEN

 

Als Teil des Releases SEM 6.7 haben wir die Möglichkeit eingeführt, Korrelationsregeln über die neue Oberfläche zu verwalten, einschließlich der Möglichkeit, eine E-Mail-Vorlage für die Benachrichtigung auszuwählen. Die Erstellung und Anpassung dieser E-Mail-Vorlagen befand sich jedoch weiterhin in der Flash-Konsole. SEM 2019.4 bietet die Möglichkeit, diese E-Mail-Vorlagen innerhalb der neuen Oberfläche zu erstellen und anzupassen. Diese E-Mails sind wertvoll, wenn es darum geht, Kontext zu E-Mail-Warnungen hinzuzufügen und Informationen aus Protokolldaten in diese Warnungen aufzunehmen.

 

 

FILTER -> REGELN

 

Ein Netzwerk erzeugt Hunderte, wenn nicht sogar Tausende von Ereignissen pro Sekunde, und es ist eine Herausforderung, relevante Protokolle aus dieser Flut von Protokolldaten zu identifizieren. Hier kommen Filter ins Spiel. Es sind bereits viele sinnvolle, vordefinierte Filter vorhanden, die jederzeit um benutzerdefinierte Filter erweitert werden können, um bestimmte Protokolle zu optimieren. Aber was ist, wenn eine Korrelationsregel benötigt wird, die auch Reaktionen zu Ereignissen einleitet? Bisher mussten sowohl Filter als auch eine entsprechende Korrelationsregel manuell angelegt werden. Wir haben diesen Prozess vereinfacht und ermöglichen nun SEM-Filter zur Regelerstellung senden, um schnell neue Korrelationsregeln basierend auf einem Filter zu erstellen.

 

 

Weitere Informationen zu SEM gibt es im Produktforum, wo auch Feedback, gerade zur neuen Benutzeroberfläche, gerne gesehen wird.

 

Viel Spass mit der neuen Version!

SolarWinds uses cookies on its websites to make your online experience easier and better. By using our website, you consent to our use of cookies. For more information on cookies, see our cookie policy.