Security Information and Event Management (SIEM)

Fängt Ihr SIEM alle Bedrohungen effektiv ab und reduziert das Risikopotenzial?

Ihre Organisation hat erhebliche Investitionen getätigt, um Ihre Sicherheitsreife voranzubringen. Aber Ihr Team hat dennoch zu kämpfen. Es scheinen nie genügend Ressourcen vorhanden zu sein, um mit der Alarmflut Schritt zu halten. Analysten verbringen zu viel Zeit damit, herauszufinden, welche Bedrohungen real sind, da sie Untersuchungen auf mehreren Plattformen durchführen. Und sie verbringen zu viel Zeit mit manuellen, sich wiederholenden Aufgaben, anstatt sich auf wichtigere Arbeiten zu konzentrieren.

Wenn Sie mit einem herkömmlichen SIEM arbeiten, hindert es Sie möglicherweise daran, Ihre Sicherheitsziele zu erreichen.

Forrester Wave™: Sicherheitsanalyseplattformen, 3. Quartal 2018

Erfahren Sie, warum die LogRhythm NextGen SIEM-Plattform in puncto Sicherheitsanalysen führend ist.

Herkömmliches gegenüber SIEM der nächsten Generation: Was sind die Unterschiede?

Herkömmliches SIEM

  • Ist nur auf das Sammeln von auf Ausnahmen basierten Sicherheitsdaten fokussiert, um die „Ereignisse“ zu priorisieren, die wichtiger als andere sind
  • Ist von ausgiebigem Schemamanagement und von durch Benutzer bereitgestellte Verarbeitungsregeln abhängig, die erhebliche administrative Anforderungen schaffen und die Erweiterung von Anwendungsfällen behindern
  • Trägt wenig zur Alarmselektierung und zur Sicherheitsorchestrierung bei und fördert Alarmmüdigkeit sowie Unsicherheit hinsichtlich der Effektivität des Sicherheitsbetriebs
  • Verfügt über keine Automatisierung, die den Workflow für Sicherheitsteams durch den Wegfall von Schritten vereinfachen könnte
  • Kann nicht mit den Trends und Anforderungen von Sicherheit Schritt halten

SIEM der nächsten Generation

  • Führt eine breit angelegte Erfassung durch und identifiziert Bedrohungen mit Fundierung über eine oder mehrere sicherheitsrelevante Aktivitäten oder Integrationen hinweg
  • Verfolgt einen ganzheitlichen Ansatz mit minimaler Abstimmung für jede Produktversion, wodurch der Verwaltungsaufwand gesenkt wird
  • Reduziert die mittlere Erkennungszeit (Mean Time To Detect, MTTD) von sowie die mittlere Reaktionszeit (Mean Time To Respond, MTTR) auf Bedrohungen durch szenario- und verhaltensbasierte Analysen, um nur Anmeldedaten aufzudecken, für die eine minimale Abstimmung erforderlich ist
  • Verbessert die Zusammenarbeit und Effektivität Ihres Teams durch Automatisierung und definierte Workflows
  • Verfolgt MTTD und MTTR und steigert den Wert Ihres Teams für Ihr Unternehmen
  • Kombiniert User and Entity Behavior Analytics (UEBA), Analysen des Netzwerkdatenverkehrs und -verhaltens (Network Traffic and Behavior Analytics, NTBA) sowie Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation, and Response, SOAR) in einer einzigen durchgehenden Lösung

Herkömmliche Lösungen sind begrenzt und verfügen nicht über die Flexibilität, um Ihren Sicherheitsanforderungen entsprechend zu skalieren und mitzuwachsen.

Lösungen der nächsten Generation wurden entwickelt, um eine einheitliche Benutzererfahrung bereitzustellen, die hocheffiziente Workflows umfasst und zum besseren Verständnis der Weiterentwicklung von Sicherheitspraktiken gemessen werden kann.

Der Bedarf an einem SIEM der nächsten Generation und Bedrohungserkennung (sowie deren Entwicklung)

Ereignismanagement für Sicherheitsinformationen war lange die angesagte Lösung zur Bekämpfung von Cyber-Bedrohungen. Aufgrund von Architekturkomplexität, Fähigkeitsdefiziten und zunehmender Geschwindigkeit und Komplexität von Bedrohungen sehen sich Teams neuen Herausforderungen gegenüber.

Die LogRhythm NextGen SIEM-Plattform wurde von Sicherheitsexperten für Sicherheitsexperten entwickelt. Aufgrund jahrelanger Innovationen stellt LogRhythm einen durchgehenden Workflow bereit, mit dem Ihr Team Risiken reduzieren kann. Mit unserer Plattform erreicht Ihr Team seine Ziele, realisiert schnell ein Return on Investment und skaliert für die Zukunft.

Fragmentierte Workflows

Mangel an zentralisierter Transparenz

Mangel an Automatisierung

Segmentierte Bedrohungserkennung

Informationsüberflutung und Alarmmüdigkeit

„Schreibtischstuhl-Analysen“ über mehrere UIs hinweg

Mangel an Kennzahlen zum Ermitteln der Sicherheitsreife

Um diese Schwachstellen zu beheben und die Lücken zu füllen, versuchen manche Organisationen, ihre herkömmliche Bereitstellung zu ergänzen oder sie mit anderen Technologien zu mischen. SIEMs der nächsten Generation sind mit Funktionen ausgestattet, die auf diese neuen Herausforderungen zugeschnitten sind.

Optimieren Sie die SOC-Effizienz mit LogRhythm

Demo zu „Die LogRhythm NextGen SIEM-Plattform in Aktion“

Komponenten einer SIEM-Lösung der nächsten Generation

Ein SIEM der nächsten Generation schafft eine einheitliche Benutzererfahrung zum Umsetzen hocheffizienter Workflows und bietet Kennzahlen zum Beschleunigen der Sicherheitsreife. Dazu sollte eine SIEM-Lösung der nächsten Generation:

  • Überragende Leistung und flexible Datengewinnung zur Erfassung forensischer Daten mit hoher Geschwindigkeit in ihrer nativen Form bieten, unabhängig davon, wo sich die Daten befinden
  • Unstrukturierte Daten verarbeiten, um eine konsistente und normalisierte Ansicht zu erstellen, einschließlich sicherheitsspezifischer Datenfunktionen für maschinelles Lernen (ML)
  • Skalierbar und mit kostengünstiger Indizierung sowie flexiblen Datenspeicherungsoptionen ausgestattet sein
  • In die Sicherheitsanalysearchitektur integrierbar sein, die auf modernen Maschinenanalyseansätzen für Szenario- und Verhaltensanalysen beruht, um eine größere Transparenz zu ermöglichen
  • Mit kommerzieller, Open-Source- und individueller Bedrohungsüberwachung kombinierbar sein, die Indikatoren für Gefährdungen (IOC) und auf Tools, Techniken und Protokollen (TTP) basierte Bedrohungserkennung und Analysten-Workflows unterstützt
  • In Unternehmenssysteme integrierbar sein, die den Geschäftskontext darstellen (z. B. Identitäts- und Zugriffsmanagement, zentralisiertes Datenbankverwaltungssystem), um die Priorisierung von Bedrohungen und Analysten-Workflows zu unterstützen
  • In Workflows für Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) mit offenen APIs und Funktionen integrierbar sein, die eine plattformübergreifende Integration in Ticketausstellungs- und IT-Automatisierungssysteme im Unternehmen ermöglichen

Arbeiten wie eine gut geölte Angriffsbekämpfungsmaschine

Stellen Sie Ihrem Team die Technologie bereit, die es für die Anpassung an das Framework für Threat Lifecycle Management (TLM) benötigt. Mit TLM kann Ihr Team die MTTD und MTTR für Cyber-Bedrohungen durch Folgendes zu verkürzen:

Datenverarbeitung und -normalisierung

Standardisiert die Taxonomie von aus Protokoll- und Maschinendaten abstrahierten Aktivitäten zur genaueren Erkennung von Bedrohungen bei Sicherheitsereignissen und exakteren Suche zur Visualisierung unterschiedlicher Datenmengen.

Szenarioanalyse

Erfasst bekannte Bedrohungsszenarien und ermöglicht schnellere, effizientere Analyselösungen zur Bedrohungserkennung über das gesamte Angriffsspektrum hinweg.

Verhaltensanalyse

Erkennt signifikante Änderungen in Verhaltensszenarien und ermöglicht so eine schnellere Bedrohungserkennung über das gesamte Angriffsspektrum hinweg.

Forensische Analysefunktionen

Umfasst eine intuitive Benutzeroberfläche mit Dashboards und Suchfunktionen zur Unterstützung von Untersuchung und Reaktion.

Sicherheitsorchestrierung, Automatisierung und Reaktion

Bietet Workflows zur schnelleren und genaueren Vorfallsreaktion bei erkannten Bedrohungen und steigert Effizienz und Qualität der Vorfallsreaktion mit der niedrigsten MTTR, was eine stärkere Einbeziehung von Junior-Analysten sowie den Einsatz von Automatisierung erlaubt.

Unterstützung für große globale Umgebungen

Implementiert und pflegt Lösungen in komplexen, umfangreichen Umgebungen, steigert Effizienz und Effektivität durch zentrale Bedrohungstransparenz und Verwaltung sowie niedrigere Gesamtbetriebskosten in einer wachsenden und skalierenden globalen Organisation.

Big Data-Architektur

Speichert und durchsucht enorme Datenmengen aus einer Vielzahl von Datenquellen und ermöglicht so größere Flexibilität für ein skaliertes Wachstum zur Unterstützung hoher Datengeschwindigkeiten, großer Vielfalt und Umfänge für die strukturierte und unstrukturierte Suche.

Offene Plattform

Lässt sich in bestehende Infrastrukturkomponenten integrieren, ermöglicht benutzerdefinierte Workflows und die optimale gemeinsame Nutzung von wichtigem Geschäftskontext sowie den Zugriff auf Daten für andere Unternehmensanwendungsfälle.

Mit einem SIEM der nächsten Generation kann Ihr Team das TLM durch Innovationen bei Sicherheitsanalysen und Workflow-Automatisierungen realisieren und so die technologische Effizienz verbessern.

Bekannte und neuartige Bedrohungen erkennen

Viele bekannte Bedrohungen verwenden erkannte TTPs (Taktiken, Techniken, Verfahren) oder zeigen IOCs (Indikatoren für Gefährdungen) an. Ihr Team kann anhand dieser Indikatoren Bedrohungen aufdecken und priorisieren. TTPs werden am besten durch szenariobasierte Analysenansätze ermittelt. IOCs werden am besten durch signaturbasierte Analysenansätze ermittelt.

Es sind jedoch nicht alle Cyber-Bedrohungen bekannt – noch geben sie Hinweise durch einfach zu identifizierende Indikatoren. Und leider sind es die unbekannten Bedrohungen, die meist den größten Schaden anrichten. Diese Cyber-Bedrohungen verwenden Zero-Day-Attacken und individuelle Malware, die signaturbasierte Techniken umgehen können.

Viele SIEMs decken bekannte Bedrohungen mit szenario- und signaturbasierten Analysen auf. Um das Risiko von Schäden durch eine Datensicherheitsverletzung zu reduzieren, benötigen Sie ein NextGen SIEM, das auch vor unbekannten Bedrohungen warnen kann, indem es anhand von Verhaltensanalysen Verhaltensänderungen von Benutzern und Systemen erkennt.

Laut Frost & Sullivan „bringt ein gut durchdachtes SIEM nicht nur Sicherheitsziele voran, sondern optimiert auch die Zeit und das Talent von Sicherheitsanalytikern und rationalisiert Arbeitsabläufe“.

Aber nicht alle Lösungen sind gleich aufgebaut. Ihr SIEM kann die größte Ausgabe in Ihrem Sicherheitstoolset darstellen. Erfahren Sie, wie Sie Ihre Investitionen maximieren und dabei Ihre Organisation schützen können.

Laden Sie dazu den Bericht von Frost & Sullivan „SIEM’s Total Cost of Ownership“ herunter.

Für heute planen, für morgen skalieren

Wenn Ihr Team auf sich entwickelnde Bedrohungen stößt, ist es von entscheidender Bedeutung, wie schnell sie erkannt und darauf reagiert werden kann. Und um Ihre Organisation heute und morgen zu schützen, muss das SIEM der nächsten Generation alles bewältigen, was ansteht.

Das SANS Institute, eine Forschungs- und Bildungsorganisation für Sicherheitsexperten, hat die NextGen SIEM-Lösung von LogRhythm hinsichtlich Geschwindigkeit, Skalierbarkeit und Genauigkeit getestet.

Erfahrungsberichte zur SIEM-Plattform

Das sagen unsere Kunden über ihre Erfahrungen mit LogRhythm.

  • Information Security Architect
  • Information Security Officer
  • Technical Systems Analyst

Sind Sie bereit, mehr zu erfahren?

Planen Sie Ihre persönliche Demo mit einem Sicherheitsexperten, um LogRhythm in Aktion zu sehen.