IceDataEmphasise - ITSO-Dokumentation

Projektuebersicht

IceDataEmphasise demonstriert, wie Cribl Stream & Edge zusammen mit einer lokal betriebenen KI (Ollama) die Log-Analyse in regulierten Bankenumgebungen grundlegend verbessern kann – bei gleichzeitiger Reduktion der Splunk-Lizenzkosten um 40–60 %.

Eine dreistufige Verarbeitungskette – Edge-Sammlung, Pipeline-Verarbeitung mit MITRE ATT&CK-Anreicherung und KI-gestuetzte Klassifizierung – entscheidet vor der Indexierung, ob ein Ereignis sicherheitsrelevant (SIEM) oder operativ ist. Nur relevante Daten gehen an den teuren Splunk-Indexer; operationale Telemetrie wird an guenstigere Speicher (S3, Elasticsearch) geroutet.

Lokale KI
Zweistufig: 40+ Regeln (<1ms) + Qwen2.5-14B Sprachmodell als Fallback. Kein Cloud-Abfluss – alle Daten bleiben on-premise.

7 Pipelines
Syslog-Enrichment, Apache CLF, Docker JSON, Security Auth mit MITRE ATT&CK, PII-Maskierung, Universal Classifier.

Interaktive Panels
Splunk Check & Fix, AI Status Dashboard, Ein-Klick-Konfiguration ueber REST API direkt aus dem Browser.

Compliance
17 ITSO-konforme Dokumente. Explizites Mapping auf MaRisk AT 7.2, BAIT, DORA und DSGVO.

Grundlagen

Grundlagen
01Architekturuebersicht

Systemueberblick, Komponentendiagramm, Netzwerktopologie, Datenfluss, Sizing, Lizenzmodell, RACI-Matrix

Grundlagen
02Installationshandbuch

Voraussetzungen, Schritt-fuer-Schritt-Anleitung, Tailscale, Cribl Stream & Edge, Post-Install-Pruefungen, Rollback

Konfiguration

Konfiguration
03Cribl Stream Konfiguration

Worker Processes, Authentication, RBAC, API-Zugang, TLS, Fleet Management

Konfiguration
04Cribl Edge Konfiguration

Managed Edge, Fleet-Zuweisung, Edge-Quellen, Windows Deployment, Health Monitoring

Konfiguration
05Quellen-Konfiguration

12 Log-Quellen im Detail, Berechtigungskonzept, REST API, Input-Metriken, Troubleshooting

Konfiguration
06Ziel-Konfiguration (Destinations)

HEC vs. S2S, Persistent Queue, Backpressure, Failover-Strategie, Protokollvergleich

Konfiguration
07Pipelines und Routen

5 Pipelines (Syslog, Apache CLF, Docker JSON, Security Auth, Passthrough), Route-Tabelle, MITRE ATT&CK

Konfiguration
08Splunk-Integration

Interaktiver Check & Fix, Index-Mapping, Sourcetype-Zuordnung, Apps/TAs, SPL-Beispiele, UF-Vergleich, Migration

Betrieb & Sicherheit

Betrieb
09Betriebshandbuch

Taeglich Checkliste, Start/Stop, Log-Rotation, Performance-Monitoring, Backup/Restore, Wartungsfenster

Sicherheit
10Sicherheitshandbuch

RBAC, TLS/SSL, Firewall, Haertung (CIS), Geheimnis-Management, Audit-Logging, Patch-Management

Notfall
11Notfallhandbuch

Severity-Level, DR-Szenarien, Backup/Restore, Wiederanlauf, Kommunikationsplan, Post-Incident Review

Governance

Monitoring
12Monitoring und Alerting

KPIs, Prometheus/Grafana, Alerting-Regeln, Dashboard-Empfehlungen, Cron-Monitoring

Compliance
13Compliance und Regulatorik

MaRisk, BAIT, DORA, DSGVO, Aufbewahrungsfristen, Change-Management, Audit-Nachweise

Support
14Troubleshooting

Diagnose-Werkzeuge, haeufige Probleme, Log-Analyse, Diagnostic Bundle, FAQ

Phase 2 – KI-Integration

Uebungen
15Phase 2 Hands-on Uebungen

10 Uebungen: Lookups, Sampling, MQTT-Routing, PII-Maskierung, Redis-Metriken, Cribl Packs, A/B-Test Regeln vs. Ollama

Dashboard
16AI Status & Control Panel

Live-Dashboard: Service-Status, Klassifikations-Statistiken, Ollama-Analyse, KI-Vorschlaege, Ein-Klick-Regelaktivierung, API-Log

Security
17Edge Security Onboarding

Cribl Edge auf Windows & Ubuntu: Sysmon, auditd, PowerShell-Logging, UFW, fail2ban, MITRE ATT&CK Mapping, OS-Haertung

Monitoring
18Kibana Betriebsmonitoring Setup

Schritt-fuer-Schritt: Runtime Fields, Lens-Panels (Metric, XY, Pie, Heatmap, Table), Dashboard-API, Feld-Referenz, Anpassungstipps

Screenshots

Splunk Check & Fix Panel – Interaktive Konfigurationspruefung

Architekturuebersicht – Komponenten und Datenfluss

AI Status & Control Panel – KI-Klassifizierung Dashboard

Compliance – MaRisk / BAIT / DORA Mapping