Porsche, Wacker Chemie, DHL
So ziehen Splunk-Anwender Nutzen aus ihren Log Files
Wacker Chemie startete im IT-Security-Bereich
Ein zweiter Vorzeigekunde, der sich auf der Splunk Live präsentierte, war Wacker Chemie aus Burghausen. Das Unternehmen entschied sich 2016 dafür, bei der IT-Sicherheit aufzurüsten und im Zuge dessen nicht nur mehr Geld für Tools auszugeben, sondern auch den Personalstamm in diesem Bereich von zwei auf acht Personen aufzustocken. "Bei uns ist Splunk aus der IT-Security heraus ins Unternehmen hineingewachsen", sagte Wolfgang Plank, Senior IT Security Engineer. Die Architektur sei daher so geplant worden, dass ein Ausbau in andere Bereiche möglich blieb.
Wacker ChemieWacker Chemie begann klein, mit dem Auswerten von Firewall-Logs, was nicht so schwierig gewesen sei, weil Splunk die meisten Firewalls out of the box unterstütze. Man habe dann den Scope nach und nach ausgeweitet: "Wir haben E-Mail-Security-Appliances reingeholt, auch die Netzwerk-Linux-Server - das war so ein Beifang, den haben sich unsere Netzwerker gewünscht." 2017 sei es dann in die nächste Ausbaustufe gegangen mit einer Web-Application Firewall, einem Vulnerability Scanner und einer OT-Firewall. "Auch die Produktion spricht ja mit dem Internet", so Plank, "da macht es viel Sinn zu schauen, was dort passiert." Top-500-Firmenprofil für Wacker Chemie AG
Im vergangenen Jahr ging Wacker Chemie dann mit der Analyse von Active-Directory- und- Antivirus-Logs noch weiter in die Breite: "Gerade das Active Directory ist ein schöner Informationstopf, ich kann jedem nur empfehlen, das mit einzusammeln", sagte Plank. Inzwischen sei man mit den Splunk-Vorhaben in der bislang interessantesten Ausbaustufe angelangt, in der es gelte, "den Daten Kontext zu geben". Diesen Kontext bekomme man aus einer gut gepflegten, aktuellen Configuration Management Database (CMDB). Nun könne man Datenbank-Server, SAP-Systeme, Gateways oder auch Cluster identifizieren und eine bestimmte Kritikalität zuweisen.
Wacker Chemie wolle noch einen Schritt weiter gehen in Richtung proaktiver Analyse und automatisierter Problembeseitigung. Incident Response oder das Handling von Phishing-Attacken sind laut Plank geeignete Einsatzgebiete. Ein Framework dafür sei geschaffen worden, jetzt komme es auf die Fähigkeit an zu korrelieren, also beispielsweise Muster in niedrig priorisierten Alarmen zu erkennen, weil diese im großen Zusammenhang möglicherweise ein anderes Bild ergeben.
Ähnlich wie Porsche hat auch Wacker Chemie klein angefangen mit dem Sammeln, Ordnen und Auswerten von Log-Dateien. Doch nun soll die Plattform wachsen, immer mehr Use Cases sollen mit Splunk abgebildet werden. "Ich musste aufpassen, nicht zu sehr zu missionieren", nennt Plank eine Lektion, die er gelernt hat. Man laufe Gefahr, die Kollegen zu überrennen, was dann Ablehnung zur Folge haben könne. Deswegen biete er manchen Abteilungen an, ihre bestehende Tool-Welt nicht zu verlassen und den Splunk-Spezialisten einfach die gesammelten Log-Daten zwecks Auswertung zuzusenden. Dann könnten die Datenprofis damit arbeiten und die - hoffentlich überzeugenden - Ergebnisse in die Teams zurücksenden.
Deutsche Post DHL ordnet Paketlogistik in Fernost
Last, but not least gab auch Peter Schulz-Rittich, Vice-President Product Management bei der Deutschen Post DHLDeutschen Post DHL, seine Eindrücke vom Splunk-Einsatz wieder - diesmal aus der Perspektive eines großen Konzerns. Hier entstand der Use Case nicht aus der IT heraus, sondern aus dem Business. Es ging um den Neuaufbau der Paketlogistik in den fernöstlichen Ländern Thailand, Malaysia und Vietnam, wo die Deutsche Post DHL 2016 praktisch auf der grünen Wiese angefangen und dann sehr schnell gewachsen sei. Top-500-Firmenprofil für Deutsche Post AG
Der Paketdienst lebt grundsätzlich von transparenten und datengestützten Prozessen, hat hier also eigentlich kein Problem, zumal viele Daten schon mit der Aufgabe eines Pakets vorhanden sind: Gewicht, Versendeverfahren, gegebenenfalls Inhaltsinformationen etc. "Dadurch, dass wir bei Null anfingen, waren die Prozesse in diesen neuen Regionen aber teilweise noch handgestrickt und wurden nicht vernünftig unterstützt. Wir hatten anfangs keine besonders gute Transparenz und keine Kennzahlen, die man braucht, um eine hochqualitativen Logistikprozess möglich zu machen." Schulz-Rittich blickt mit einem Schmunzeln auf die Pionierphase zurück: "Ein Kollege sagte mal, was wir dort machen ist Excel-Weitwurf."
"Wir brauchten eine Lösung, die uns das Ganze auf saubere Füße stellt und automatisiert. Außerdem sollte sie skalierbar sein und hochgranular. So sind wir zu Splunk gekommen." Der Mann von der Post berichtete, wie ein crossfunktional zusammengesetztes Team klein und schnell startete, "orientiert am Business Value." Heute sei man viel weiter, bilde laufend lokal Power-User aus und verfolge einen Community-Ansatz, um das Wissen schnell zu skalieren. Die Splunk-Plattform hat die Post DHL an einen Dienstleister outgesourct, der Datensicherheit und -schutz gewährleisten könne. "Wir wollen uns darauf konzentrieren, mehr Use Cases zu entwickeln. Das machen unsere Operations Analysts, Finance Analysts und Sales-Experten direkt vor Ort in den Regionen."
Schulz-Rittich zeigte sich zufrieden damit, wie weit der Konzern inzwischen mit der "Demokratisierung von Daten" gekommen sei. "Ich habe 15 Power User in Thailand ausgebildet, das hat gut funktioniert. Schon nach vier Tagen konnten zwei Drittel einfache Dashboards bauen." Splunk werde jetzt intern zur Skalierung bereitgestellt, um das Data-driven Unternehmen voranzutreiben. Die Geschäftsbereiche könnten damit ihren eigenen Business Case entwickeln. Über die Community nehme das Ganze Fahrt auf. "Wir konnten die Kollegen von der Plattform und auch von der Search Processing Language überzeugen - vor allem von der Geschwindigkeit in der Umsetzung."