SlideShare a Scribd company logo

SplunkLive! Milan 2015 - UNIBO

Splunk
Splunk

Splunk for IT operations at UNIBO.

Technology
1 of 20
Download to read offline
Copyright © 2014 Splunk Inc. Alma Mater Studiorum Università di Bologna
2 Riccardo Dodi Francesco Sinopoli
3 Chi siamo Alma Mater Studiorum Università di Bologna la più antica università del mondo occidentale Area Sistemi Informativi e Applicazioni – Cesia Settore Reti e Sicurezza
4 Di cosa ci occupiamo L’ Area Sistemi Informativi e Applicazioni si occupa di progettare, realizzare, gestire e presidiare i principali servizi informatici dell’Ateneo: • Infrastruttura di rete dati • Server Farm di Ateneo • Sistemi di Identity • Servizi applicativi • Helpdesk e assistenza • Presidio della sicurezza informatica • Telefonia
5 Di cosa si occupa il settore Progettazione infrastruttura rete dati di Ateneo, sia cablata che wireless Configurazione e gestione dell'infrastruttura di rete e della sicurezza informatica Manutenzione dell’infrastruttura Gestione degli incidenti informatici
6 Alcuni numeri • 84.200 Studenti • 5.900 persone (docenti, tecnici-amministrativi) • Struttura Multicampus con sedi distribuite pricipalmente su 5 città del territorio emiliano-romagnolo • 600 Apparati di rete (diversi vendor) • 900 Apparati wireless in infrastruttura centralizzata • 10.000 computer joinati e circa 100.000 utenti attivi
7 Esigenze • Trouble shooting – Ambito sistemistico • Rispetto delle normative vigenti – Controllo degli accessi • Amministratori • Utenti
8 Requisiti Architettura ridondata Livello di prestazioni elevato Scalabilità Flessibilità Profilazione dell’utente
9 Architettura (Splunk v.6) Syslog Heavy Forwarder Indexer Search Head Cluster Manager Load Balancer Legenda 41 x
10 Casi d’uso  Monitoraggio attività porte degli Switch  Monitoraggio Assegnamento indirizzi dinamici (DHCP)  Attività di individuazione di incidenti informatici
11 Monitoraggio attività porte degli Switch Consultazione log su ogni apparato # show logging $ grep …..
12 Monitoraggio attività porte degli Switch (2) Dashboard che mostra le attivà delle porte per una sottorete
13 Monitoraggio DHCP Centinaia di VM richiedono un IP <190>CP_FireWall: 19Feb2015 19:46:58 10.192.1.248 > default_device_message: <30>dhcpd: DHCPINFORM from 10.201.230.124 via bond40.3801(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network; <190>CP_FireWall: 19Feb2015 19:46:58 10.192.1.248 > default_device_message: <30>dhcpd: DHCPREQUEST for 10.201.188.208 from 00:50:56:bf:41:48 (ECONOMIALAB-15) via bond40.3801(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network; <190>CP_FireWall: 19Feb2015 19:46:58 10.192.1.248 > default_device_message: <30>dhcpd: DHCPACK to 10.205.227.225 (00:50:56:a6:73:02) via bond40.3805(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network; <190>CP_FireWall: 19Feb2015 19:46:57 10.192.1.248 > default_device_message: <30>dhcpd: DHCPINFORM from 10.205.253.243 via bond40.3805(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network; <190>CP_FireWall: 19Feb2015 19:46:56 10.192.1.248 > default_device_message: <30>dhcpd: DHCPREQUEST for 10.201.191.230 from 00:50:56:bf:3b:c6 (STR51000-VIEW70) via bond40.3801(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network; <190>CP_FireWall: 19Feb2015 19:46:56 10.192.1.248 > default_device_message: <30>dhcpd: DHCPINFORM from 10.205.253.247 via bond40.3805(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network; <190>CP_FireWall: 19Feb2015 19:46:55 10.192.1.248 > default_device_message: <30>dhcpd: DHCPINFORM from 10.205.239.202 via bond40.3805(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network;
14 Monitoraggio DHCP (2) Diagramma che rappresenta il processo di assegnazione dinamica degli indirizzi IP DON'T PANIC!
15 Monitoraggio DHCP (3) Evidenti anomalie OK, PANIC!
16 Incidente informatico • Individuazione incidente informatico Time src(nat) srcport dst dstport 23-03-15 10:15:26 137.204.256.100 5555 213.256.100.123 8080 Log Firewall Log Dhcp Server Log Radius Server Durata ~1 ora User NameIP privato Mac Address
17 Incidente informatico (2) Ricerca salvata con parametri 2 m | savedsearch who_is time= srcip= srcport= dstip= dstport= 2 minuti
18 Who_is index=ias [search $d$ $t$ | convert timeformat=%H:%M:%S mktime(time) AS reftime | eval earliest=reftime-21600 | eval latest=reftime+21600 | return earliest latest] granted [search index=fw [search $d$ $t$ | convert timeformat=%H:%M:%S mktime(time) AS reftime | eval earliest=reftime- (60*$timeoffset$) | eval latest=reftime+(60*$timeoffset$) | return earliest latest] dhcp_msg="ACK" [search index=fw [search $d$ $t$ | convert timeformat=%H:%M:%S mktime(time) AS reftime | eval earliest=reftime-180 | eval latest=reftime+180 | return earliest latest] (tran_ip=$src$ AND tran_port=$src_p$) OR (tran_sip=$src$ AND tran_sport=$src_p$) dst=$dst$ dst_port=$dst_p$| rename src AS search] | table mac | dedup mac | stats count(mac) AS n_MAC, values(mac) AS mac | eval MAC=CASE(n_MAC=="0","Warning: Ip non assegnato",n_MAC=="1",mac,n_MAC>"1","Warning: Più mac associati all'ip") | rex field=MAC mode=sed "s/://1" | rex field=MAC mode=sed "s/://2" | rex field=MAC mode=sed "s/://3" | rex field=MAC mode=sed "s/:/./g"| rename MAC AS search ] | rex field=Message "[uU]ser (?<UserID>.*) was " | table UserID,Calling_Station_Identifier,_time | rename Calling_Station_Identifier as Mac | sort - _time
19 Conclusione Utilizzo anche in altri settori Portale Sviluppo Identity Sistemi
Grazie per l’attenzione Domande?

Recommended

Getting Started with Splunk Enterprise
Getting Started with Splunk EnterpriseGetting Started with Splunk Enterprise
Getting Started with Splunk EnterpriseSplunk
 
Servizio di Connettività d'Ateneo - Network and services provisioning automation
Servizio di Connettività d'Ateneo - Network and services provisioning automationServizio di Connettività d'Ateneo - Network and services provisioning automation
Servizio di Connettività d'Ateneo - Network and services provisioning automationDigital Transformation Team - Italian Government
 
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017Agenda digitale Umbria
 
VIRTUALENERGY - Sviluppo di sistemi per l'aggregazione, il coordinamento e l'...
VIRTUALENERGY - Sviluppo di sistemi per l'aggregazione, il coordinamento e l'...VIRTUALENERGY - Sviluppo di sistemi per l'aggregazione, il coordinamento e l'...
VIRTUALENERGY - Sviluppo di sistemi per l'aggregazione, il coordinamento e l'...Sardegna Ricerche
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS Imola Informatica
 
Crouzet Automation - em4 Ethernet opuscolo, versione italiana
Crouzet Automation - em4 Ethernet opuscolo, versione italiana Crouzet Automation - em4 Ethernet opuscolo, versione italiana
Crouzet Automation - em4 Ethernet opuscolo, versione italiana Crouzet
 
Evolution Farm Company Overview
Evolution Farm Company OverviewEvolution Farm Company Overview
Evolution Farm Company OverviewAlessandro Ometto
 
SENECA Connectivity Day alla fiera SAVE 2015
SENECA Connectivity Day alla fiera SAVE 2015SENECA Connectivity Day alla fiera SAVE 2015
SENECA Connectivity Day alla fiera SAVE 2015SENECA
 

Recommended

Getting Started with Splunk Enterprise
Getting Started with Splunk EnterpriseGetting Started with Splunk Enterprise
Getting Started with Splunk EnterpriseSplunk
 
Servizio di Connettività d'Ateneo - Network and services provisioning automation
Servizio di Connettività d'Ateneo - Network and services provisioning automationServizio di Connettività d'Ateneo - Network and services provisioning automation
Servizio di Connettività d'Ateneo - Network and services provisioning automationDigital Transformation Team - Italian Government
 
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017Agenda digitale Umbria
 
VIRTUALENERGY - Sviluppo di sistemi per l'aggregazione, il coordinamento e l'...
VIRTUALENERGY - Sviluppo di sistemi per l'aggregazione, il coordinamento e l'...VIRTUALENERGY - Sviluppo di sistemi per l'aggregazione, il coordinamento e l'...
VIRTUALENERGY - Sviluppo di sistemi per l'aggregazione, il coordinamento e l'...Sardegna Ricerche
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS Imola Informatica
 
Crouzet Automation - em4 Ethernet opuscolo, versione italiana
Crouzet Automation - em4 Ethernet opuscolo, versione italiana Crouzet Automation - em4 Ethernet opuscolo, versione italiana
Crouzet Automation - em4 Ethernet opuscolo, versione italiana Crouzet
 
Evolution Farm Company Overview
Evolution Farm Company OverviewEvolution Farm Company Overview
Evolution Farm Company OverviewAlessandro Ometto
 
SENECA Connectivity Day alla fiera SAVE 2015
SENECA Connectivity Day alla fiera SAVE 2015SENECA Connectivity Day alla fiera SAVE 2015
SENECA Connectivity Day alla fiera SAVE 2015SENECA
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSLa nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSMorlini Gabriele
 
VMUGIT UC 2013 - 05b Telecom Italia View
VMUGIT UC 2013 - 05b Telecom Italia ViewVMUGIT UC 2013 - 05b Telecom Italia View
VMUGIT UC 2013 - 05b Telecom Italia ViewVMUG IT
 
VMUGIT UC 2013 - 05b Telecom Italia View
VMUGIT UC 2013 - 05b Telecom Italia ViewVMUGIT UC 2013 - 05b Telecom Italia View
VMUGIT UC 2013 - 05b Telecom Italia ViewVMUG IT
 
Milano Meetups XIII - Official.pdf
Milano Meetups XIII - Official.pdfMilano Meetups XIII - Official.pdf
Milano Meetups XIII - Official.pdfFlorence Consulting
 
7° CLOUD WEBINAR - 20141218 - Servizi Cloud Gestiti su piattaforma Softlayer
7° CLOUD WEBINAR - 20141218 - Servizi Cloud Gestiti su piattaforma Softlayer7° CLOUD WEBINAR - 20141218 - Servizi Cloud Gestiti su piattaforma Softlayer
7° CLOUD WEBINAR - 20141218 - Servizi Cloud Gestiti su piattaforma SoftlayerServiceCloud - Esprinet
 
Presentazione Netportal1
Presentazione Netportal1Presentazione Netportal1
Presentazione Netportal1guest92d4f237
 
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...Team per la Trasformazione Digitale
 
Soluzioni per la difesa da attacchi DoS nelle reti SDN
Soluzioni per la difesa da attacchi DoS nelle reti SDNSoluzioni per la difesa da attacchi DoS nelle reti SDN
Soluzioni per la difesa da attacchi DoS nelle reti SDNMatteo D'Amore
 
MySQL Day Milano 2018 - MySQL e le architetture a microservizi
MySQL Day Milano 2018 - MySQL e le architetture a microserviziMySQL Day Milano 2018 - MySQL e le architetture a microservizi
MySQL Day Milano 2018 - MySQL e le architetture a microserviziPar-Tec S.p.A.
 
Monitoraggio della rete con cacti
Monitoraggio della rete con cactiMonitoraggio della rete con cacti
Monitoraggio della rete con cactidalegiuseppe
 
L'impatto dei Servizi Applicativi
L'impatto dei Servizi ApplicativiL'impatto dei Servizi Applicativi
L'impatto dei Servizi Applicativimichelemanzotti
 
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniS.info Srl
 
Sentinet3 ver4.0
Sentinet3 ver4.0 Sentinet3 ver4.0
Sentinet3 ver4.0 Antonio Capobianco
 
Realizzare l'infrastruttura digitale
Realizzare l'infrastruttura digitaleRealizzare l'infrastruttura digitale
Realizzare l'infrastruttura digitaleAgenda digitale Umbria
 
Workshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity Solutions
Workshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity SolutionsWorkshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity Solutions
Workshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity SolutionsSENECA
 
Cloudup, cloud server al minuto
Cloudup, cloud server al minutoCloudup, cloud server al minuto
Cloudup, cloud server al minutoENTER S.r.l.
 
Cloud computing 101
Cloud computing 101Cloud computing 101
Cloud computing 101Eduard Roccatello
 
IoT: protocolli, dispositivi, architetture
IoT: protocolli, dispositivi, architettureIoT: protocolli, dispositivi, architetture
IoT: protocolli, dispositivi, architettureStefano Valle
 
Continuità operativa e disaster recovery, Team Quality, Comune di Alzano L.
Continuità operativa e disaster recovery, Team Quality, Comune di Alzano L.Continuità operativa e disaster recovery, Team Quality, Comune di Alzano L.
Continuità operativa e disaster recovery, Team Quality, Comune di Alzano L.Sergio Primo Del Bello
 
VIRTUALENERGY - Tecnologie per il controllo a distanza dei carichi elettrici ...
VIRTUALENERGY - Tecnologie per il controllo a distanza dei carichi elettrici ...VIRTUALENERGY - Tecnologie per il controllo a distanza dei carichi elettrici ...
VIRTUALENERGY - Tecnologie per il controllo a distanza dei carichi elettrici ...Sardegna Ricerche
 
.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routine.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routineSplunk
 
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTVSplunk
 

More Related Content

Similar to SplunkLive! Milan 2015 - UNIBO

La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSLa nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSMorlini Gabriele
 
VMUGIT UC 2013 - 05b Telecom Italia View
VMUGIT UC 2013 - 05b Telecom Italia ViewVMUGIT UC 2013 - 05b Telecom Italia View
VMUGIT UC 2013 - 05b Telecom Italia ViewVMUG IT
 
VMUGIT UC 2013 - 05b Telecom Italia View
VMUGIT UC 2013 - 05b Telecom Italia ViewVMUGIT UC 2013 - 05b Telecom Italia View
VMUGIT UC 2013 - 05b Telecom Italia ViewVMUG IT
 
Milano Meetups XIII - Official.pdf
Milano Meetups XIII - Official.pdfMilano Meetups XIII - Official.pdf
Milano Meetups XIII - Official.pdfFlorence Consulting
 
7° CLOUD WEBINAR - 20141218 - Servizi Cloud Gestiti su piattaforma Softlayer
7° CLOUD WEBINAR - 20141218 - Servizi Cloud Gestiti su piattaforma Softlayer7° CLOUD WEBINAR - 20141218 - Servizi Cloud Gestiti su piattaforma Softlayer
7° CLOUD WEBINAR - 20141218 - Servizi Cloud Gestiti su piattaforma SoftlayerServiceCloud - Esprinet
 
Presentazione Netportal1
Presentazione Netportal1Presentazione Netportal1
Presentazione Netportal1guest92d4f237
 
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...Team per la Trasformazione Digitale
 
Soluzioni per la difesa da attacchi DoS nelle reti SDN
Soluzioni per la difesa da attacchi DoS nelle reti SDNSoluzioni per la difesa da attacchi DoS nelle reti SDN
Soluzioni per la difesa da attacchi DoS nelle reti SDNMatteo D'Amore
 
MySQL Day Milano 2018 - MySQL e le architetture a microservizi
MySQL Day Milano 2018 - MySQL e le architetture a microserviziMySQL Day Milano 2018 - MySQL e le architetture a microservizi
MySQL Day Milano 2018 - MySQL e le architetture a microserviziPar-Tec S.p.A.
 
Monitoraggio della rete con cacti
Monitoraggio della rete con cactiMonitoraggio della rete con cacti
Monitoraggio della rete con cactidalegiuseppe
 
L'impatto dei Servizi Applicativi
L'impatto dei Servizi ApplicativiL'impatto dei Servizi Applicativi
L'impatto dei Servizi Applicativimichelemanzotti
 
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniS.info Srl
 
Workshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity Solutions
Workshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity SolutionsWorkshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity Solutions
Workshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity SolutionsSENECA
 
Cloudup, cloud server al minuto
Cloudup, cloud server al minutoCloudup, cloud server al minuto
Cloudup, cloud server al minutoENTER S.r.l.
 
IoT: protocolli, dispositivi, architetture
IoT: protocolli, dispositivi, architettureIoT: protocolli, dispositivi, architetture
IoT: protocolli, dispositivi, architettureStefano Valle
 
Continuità operativa e disaster recovery, Team Quality, Comune di Alzano L.
Continuità operativa e disaster recovery, Team Quality, Comune di Alzano L.Continuità operativa e disaster recovery, Team Quality, Comune di Alzano L.
Continuità operativa e disaster recovery, Team Quality, Comune di Alzano L.Sergio Primo Del Bello
 
VIRTUALENERGY - Tecnologie per il controllo a distanza dei carichi elettrici ...
VIRTUALENERGY - Tecnologie per il controllo a distanza dei carichi elettrici ...VIRTUALENERGY - Tecnologie per il controllo a distanza dei carichi elettrici ...
VIRTUALENERGY - Tecnologie per il controllo a distanza dei carichi elettrici ...Sardegna Ricerche
 

Similar to SplunkLive! Milan 2015 - UNIBO (20)

La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSLa nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
 
VMUGIT UC 2013 - 05b Telecom Italia View
VMUGIT UC 2013 - 05b Telecom Italia ViewVMUGIT UC 2013 - 05b Telecom Italia View
VMUGIT UC 2013 - 05b Telecom Italia View
 
VMUGIT UC 2013 - 05b Telecom Italia View
VMUGIT UC 2013 - 05b Telecom Italia ViewVMUGIT UC 2013 - 05b Telecom Italia View
VMUGIT UC 2013 - 05b Telecom Italia View
 
Milano Meetups XIII - Official.pdf
Milano Meetups XIII - Official.pdfMilano Meetups XIII - Official.pdf
Milano Meetups XIII - Official.pdf
 
7° CLOUD WEBINAR - 20141218 - Servizi Cloud Gestiti su piattaforma Softlayer
7° CLOUD WEBINAR - 20141218 - Servizi Cloud Gestiti su piattaforma Softlayer7° CLOUD WEBINAR - 20141218 - Servizi Cloud Gestiti su piattaforma Softlayer
7° CLOUD WEBINAR - 20141218 - Servizi Cloud Gestiti su piattaforma Softlayer
 
Presentazione Netportal1
Presentazione Netportal1Presentazione Netportal1
Presentazione Netportal1
 
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
 
Soluzioni per la difesa da attacchi DoS nelle reti SDN
Soluzioni per la difesa da attacchi DoS nelle reti SDNSoluzioni per la difesa da attacchi DoS nelle reti SDN
Soluzioni per la difesa da attacchi DoS nelle reti SDN
 
MySQL Day Milano 2018 - MySQL e le architetture a microservizi
MySQL Day Milano 2018 - MySQL e le architetture a microserviziMySQL Day Milano 2018 - MySQL e le architetture a microservizi
MySQL Day Milano 2018 - MySQL e le architetture a microservizi
 
Monitoraggio della rete con cacti
Monitoraggio della rete con cactiMonitoraggio della rete con cacti
Monitoraggio della rete con cacti
 
L'impatto dei Servizi Applicativi
L'impatto dei Servizi ApplicativiL'impatto dei Servizi Applicativi
L'impatto dei Servizi Applicativi
 
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioni
 
Sentinet3 ver4.0
Sentinet3 ver4.0 Sentinet3 ver4.0
Sentinet3 ver4.0
 
Realizzare l'infrastruttura digitale
Realizzare l'infrastruttura digitaleRealizzare l'infrastruttura digitale
Realizzare l'infrastruttura digitale
 
Workshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity Solutions
Workshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity SolutionsWorkshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity Solutions
Workshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity Solutions
 
Cloudup, cloud server al minuto
Cloudup, cloud server al minutoCloudup, cloud server al minuto
Cloudup, cloud server al minuto
 
Cloud computing 101
Cloud computing 101Cloud computing 101
Cloud computing 101
 
IoT: protocolli, dispositivi, architetture
IoT: protocolli, dispositivi, architettureIoT: protocolli, dispositivi, architetture
IoT: protocolli, dispositivi, architetture
 
Continuità operativa e disaster recovery, Team Quality, Comune di Alzano L.
Continuità operativa e disaster recovery, Team Quality, Comune di Alzano L.Continuità operativa e disaster recovery, Team Quality, Comune di Alzano L.
Continuità operativa e disaster recovery, Team Quality, Comune di Alzano L.
 
VIRTUALENERGY - Tecnologie per il controllo a distanza dei carichi elettrici ...
VIRTUALENERGY - Tecnologie per il controllo a distanza dei carichi elettrici ...VIRTUALENERGY - Tecnologie per il controllo a distanza dei carichi elettrici ...
VIRTUALENERGY - Tecnologie per il controllo a distanza dei carichi elettrici ...
 

More from Splunk

.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routine.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routineSplunk
 
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTVSplunk
 
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica).conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica)Splunk
 
.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank International.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank InternationalSplunk
 
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett .conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett Splunk
 
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär).conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)Splunk
 
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu....conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...Splunk
 
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever....conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...Splunk
 
.conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex).conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex)Splunk
 
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)Splunk
 
Splunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11ySplunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11ySplunk
 
Splunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go KölnSplunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go KölnSplunk
 
Splunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go KölnSplunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go KölnSplunk
 
Data foundations building success, at city scale – Imperial College London
Data foundations building success, at city scale – Imperial College London Data foundations building success, at city scale – Imperial College London
Data foundations building success, at city scale – Imperial College LondonSplunk
 
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...Splunk
 
SOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security WebinarSOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security WebinarSplunk
 
.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session.conf Go 2022 - Observability Session
.conf Go 2022 - Observability SessionSplunk
 
.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - Keynote.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - KeynoteSplunk
 
.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform Session.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform SessionSplunk
 
.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security Session.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security SessionSplunk
 

More from Splunk (20)

.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routine.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routine
 
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
 
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica).conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
 
.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank International.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank International
 
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett .conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
 
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär).conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
 
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu....conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
 
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever....conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
 
.conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex).conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex)
 
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
 
Splunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11ySplunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11y
 
Splunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go KölnSplunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go Köln
 
Splunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go KölnSplunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go Köln
 
Data foundations building success, at city scale – Imperial College London
Data foundations building success, at city scale – Imperial College London Data foundations building success, at city scale – Imperial College London
Data foundations building success, at city scale – Imperial College London
 
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
 
SOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security WebinarSOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security Webinar
 
.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session
 
.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - Keynote.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - Keynote
 
.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform Session.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform Session
 
.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security Session.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security Session
 

SplunkLive! Milan 2015 - UNIBO

  • 1. Copyright © 2014 Splunk Inc. Alma Mater Studiorum Università di Bologna
  • 3. 3 Chi siamo Alma Mater Studiorum Università di Bologna la più antica università del mondo occidentale Area Sistemi Informativi e Applicazioni – Cesia Settore Reti e Sicurezza
  • 4. 4 Di cosa ci occupiamo L’ Area Sistemi Informativi e Applicazioni si occupa di progettare, realizzare, gestire e presidiare i principali servizi informatici dell’Ateneo: • Infrastruttura di rete dati • Server Farm di Ateneo • Sistemi di Identity • Servizi applicativi • Helpdesk e assistenza • Presidio della sicurezza informatica • Telefonia
  • 5. 5 Di cosa si occupa il settore Progettazione infrastruttura rete dati di Ateneo, sia cablata che wireless Configurazione e gestione dell'infrastruttura di rete e della sicurezza informatica Manutenzione dell’infrastruttura Gestione degli incidenti informatici
  • 6. 6 Alcuni numeri • 84.200 Studenti • 5.900 persone (docenti, tecnici-amministrativi) • Struttura Multicampus con sedi distribuite pricipalmente su 5 città del territorio emiliano-romagnolo • 600 Apparati di rete (diversi vendor) • 900 Apparati wireless in infrastruttura centralizzata • 10.000 computer joinati e circa 100.000 utenti attivi
  • 7. 7 Esigenze • Trouble shooting – Ambito sistemistico • Rispetto delle normative vigenti – Controllo degli accessi • Amministratori • Utenti
  • 8. 8 Requisiti Architettura ridondata Livello di prestazioni elevato Scalabilità Flessibilità Profilazione dell’utente
  • 9. 9 Architettura (Splunk v.6) Syslog Heavy Forwarder Indexer Search Head Cluster Manager Load Balancer Legenda 41 x
  • 10. 10 Casi d’uso  Monitoraggio attività porte degli Switch  Monitoraggio Assegnamento indirizzi dinamici (DHCP)  Attività di individuazione di incidenti informatici
  • 11. 11 Monitoraggio attività porte degli Switch Consultazione log su ogni apparato # show logging $ grep …..
  • 12. 12 Monitoraggio attività porte degli Switch (2) Dashboard che mostra le attivà delle porte per una sottorete
  • 13. 13 Monitoraggio DHCP Centinaia di VM richiedono un IP <190>CP_FireWall: 19Feb2015 19:46:58 10.192.1.248 > default_device_message: <30>dhcpd: DHCPINFORM from 10.201.230.124 via bond40.3801(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network; <190>CP_FireWall: 19Feb2015 19:46:58 10.192.1.248 > default_device_message: <30>dhcpd: DHCPREQUEST for 10.201.188.208 from 00:50:56:bf:41:48 (ECONOMIALAB-15) via bond40.3801(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network; <190>CP_FireWall: 19Feb2015 19:46:58 10.192.1.248 > default_device_message: <30>dhcpd: DHCPACK to 10.205.227.225 (00:50:56:a6:73:02) via bond40.3805(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network; <190>CP_FireWall: 19Feb2015 19:46:57 10.192.1.248 > default_device_message: <30>dhcpd: DHCPINFORM from 10.205.253.243 via bond40.3805(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network; <190>CP_FireWall: 19Feb2015 19:46:56 10.192.1.248 > default_device_message: <30>dhcpd: DHCPREQUEST for 10.201.191.230 from 00:50:56:bf:3b:c6 (STR51000-VIEW70) via bond40.3801(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network; <190>CP_FireWall: 19Feb2015 19:46:56 10.192.1.248 > default_device_message: <30>dhcpd: DHCPINFORM from 10.205.253.247 via bond40.3805(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network; <190>CP_FireWall: 19Feb2015 19:46:55 10.192.1.248 > default_device_message: <30>dhcpd: DHCPINFORM from 10.205.239.202 via bond40.3805(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network;
  • 14. 14 Monitoraggio DHCP (2) Diagramma che rappresenta il processo di assegnazione dinamica degli indirizzi IP DON'T PANIC!
  • 15. 15 Monitoraggio DHCP (3) Evidenti anomalie OK, PANIC!
  • 16. 16 Incidente informatico • Individuazione incidente informatico Time src(nat) srcport dst dstport 23-03-15 10:15:26 137.204.256.100 5555 213.256.100.123 8080 Log Firewall Log Dhcp Server Log Radius Server Durata ~1 ora User NameIP privato Mac Address
  • 17. 17 Incidente informatico (2) Ricerca salvata con parametri 2 m | savedsearch who_is time= srcip= srcport= dstip= dstport= 2 minuti
  • 18. 18 Who_is index=ias [search $d$ $t$ | convert timeformat=%H:%M:%S mktime(time) AS reftime | eval earliest=reftime-21600 | eval latest=reftime+21600 | return earliest latest] granted [search index=fw [search $d$ $t$ | convert timeformat=%H:%M:%S mktime(time) AS reftime | eval earliest=reftime- (60*$timeoffset$) | eval latest=reftime+(60*$timeoffset$) | return earliest latest] dhcp_msg="ACK" [search index=fw [search $d$ $t$ | convert timeformat=%H:%M:%S mktime(time) AS reftime | eval earliest=reftime-180 | eval latest=reftime+180 | return earliest latest] (tran_ip=$src$ AND tran_port=$src_p$) OR (tran_sip=$src$ AND tran_sport=$src_p$) dst=$dst$ dst_port=$dst_p$| rename src AS search] | table mac | dedup mac | stats count(mac) AS n_MAC, values(mac) AS mac | eval MAC=CASE(n_MAC=="0","Warning: Ip non assegnato",n_MAC=="1",mac,n_MAC>"1","Warning: Più mac associati all'ip") | rex field=MAC mode=sed "s/://1" | rex field=MAC mode=sed "s/://2" | rex field=MAC mode=sed "s/://3" | rex field=MAC mode=sed "s/:/./g"| rename MAC AS search ] | rex field=Message "[uU]ser (?<UserID>.*) was " | table UserID,Calling_Station_Identifier,_time | rename Calling_Station_Identifier as Mac | sort - _time
  • 19. 19 Conclusione Utilizzo anche in altri settori Portale Sviluppo Identity Sistemi