Skip to the main content.

2 minute gelesen

Das SIEM Kosten-Dilemma bestehender SOC- und Security-Architekturen lösen

Das SIEM Kosten-Dilemma bestehender SOC- und Security-Architekturen lösen

Log-Historie: je länger, desto besser

Um Cyberangriffe auf das Unternehmensnetzwerk rückwirkend aufzuspüren, müssen in einem SIEM (Security Information and Event Management) nicht nur die aktuellen, sondern auch die historischen Sicherheitsdaten gespeichert sein. Wie wichtig das ist, hat beispielsweise die Log4Shell-Sicherheitslücke in der weitverbreiteten Java-Bibliothek gezeigt: Nach Bekanntgabe der Schwachstelle konnten Unternehmen mithilfe rekursiver Analysen schnell erkennen, ob die eigenen Systeme bereits angegriffen wurden. Firmen, die nicht über die entsprechenden historischen Daten verfügten, hatten hingegen viel Mühe und teilweise monatelangen Aufwand, um festzustellen, ob sie betroffen sind.

Datenflut: Herkömmliche SIEM sind oft kostenintensiv

Bei der Speicherung von Security-Daten besteht für Unternehmen die Herausforderung, dass sie über ausreichend Storage verfügen müssen. Bei vielen SIEM-Anbietern kann dies sehr teuer werden. Für zehn Terabyte zahlen Unternehmen oft schon Summen im sechsstelligen Bereich. Aus Kostensicht ist es ebenfalls meist nicht rentabel, Kapazitäten im eigenen Rechenzentrum bereitzustellen – zudem ist die vorausschauende Beschaffung und der Betrieb von ausreichender Hardware eine nicht zu unterschätzende Aufgabe.

Bislang müssen Verantwortliche daher sehr genau überlegen, welche Daten sie für IT-forensische Analysen wie speichern möchten und für wie lange. Ein oftmals riesengroßer Interessenskonflikt, der nur mit Kompromissen zu lösen ist. Somit ist es im Falle eines Cyberangriffs keine Ausnahme, dass Daten und wichtige Informationen erst aus einem ausgelagertem Cold Storage wieder aktiviert werden müssen oder komplett fehlen. Mit Google Chronicle gehören diese Überlegungen der Vergangenheit an, denn im Google Cloud Data Lake lässt sich der Speicherplatz nahezu unbegrenzt skalieren – und das zu überschaubaren und vorhersehbaren Preisen.

Die Stärken von Google inkludiert

Google Chronicle macht SIEM-Projekte einfach, preiswert und schnell umsetzbar – mit inkludiertem Cloud Storage zu kalkulierbaren und vernünftigen Kosten. Die gespeicherten Daten sind mindestens ein Jahr lang in einem privaten Container verfügbar. So können Unternehmen jederzeit schnelle, rekursive Analysen durchführen und müssen nicht mehr vorher bei jeden Datensatz abwägen, wie wichtig er ist, wie er gespeichert und wie lange er aufbewahrt werden soll. Stattdessen lässt sich die Plattform, die dank ihrer Cloud-nativen Architektur leicht skalierbar ist, je nach Bedarf mit Daten füttern. Damit steht umfassenden Big-Data-Analysen ohne Blindspots nichts mehr im Wege.

Kein Paradoxon bei zusätzlichem SIEM: Kostenreduktion und erhöhte Sicherheit

Eine SIEM-Ablösung ist oftmals ein kostspieliges Unterfangen. Sollte jedoch bereits ein SIEM im Einsatz sein, kann auch eine Erweiterung des bestehenden SIEM mit dem leistungsstarken Chronicle Data Lake helfen, schnell Kostenreduktionen und gleichzeitig bessere Sicherheitsergebnisse zu erzielen:

  • Reduzierte Datenmengen, die in ein volumenpreisorientiertes SIEM fließen, führen dort zu Kosteneinsparungen durch geringere Lizenz-, Hardware- und Wartungskosten
  • Kostenreduktion durch Datenaufbewahrung und Suche mit dem kostengünstigeren Google Chronicle SIEM
  • Google Chronicle SIEM bietet eine drastisch höhere Suchleistung ohne entsprechende Kostensteigerung
  • Verbesserte Sichtbarkeit der Sicherheit, dank Sammlung und Analyse von EDR- und anderer – auch hochvolumiger – Telemetriedaten
  • Längere Datenaufbewahrung insbesondere für Netzwerk-, Endpoint- und Cloud-Datenquellen
  • Verbesserter Abgleich von Bedrohungsinformationen, insbesondere für den rückwirkenden Abgleich von Informationen und Sicherheitstelemetrie
  • Erweiterte und neue Use Case-Abdeckung für SOC, z.B. umfangreichere EDR-Datenanalyse oder Erkennung von Cloud-Bedrohungen

Disruptives Lizenzmodell und Reduktion der Gesamtbetriebskosten

Das Pricing von Google Chronicle basiert ganz simpel auf Datenvolumen, das in die SIEM-Lösung eingespeist wird. Mit festen und vorhersehbaren Preisen, die von Kapazität, Rechenleistung und Anzahl der Protokollquellen entkoppelt sind, eliminiert Chronicle die Kompromisse zwischen Kosten und Sicherheit. Kunden profitieren von einem attraktiven Lizenzmodell, bei dem eine Datenspeicherung von 12 Monaten inkludiert ist, um eine für die IT-Sicherheit eventuell relevante längere IoC-Korrelation und das Auffinden von historisch zurückliegenden Zusammenhängen zu gewährleisten. Die disruptive Preisgestaltung sowie das Fehlen von Infrastrukturbeschaffungs-, Bereitstellungs- oder Optimierungskosten führt bei Unternehmen zu einer deutlichen Reduktion der Gesamtbetriebskosten ihrer Security Operations-Infrastruktur.


Wolfram Dorfner

Head of Marketing, indevis

Das könnte Sie auch interessieren:

SIEM, SOC & SOAR: Supermodern und superkomplex – am besten als ressourcenschonende Dienstleistung

3 minuutin luku

SIEM, SOC & SOAR: Supermodern und superkomplex – am besten als ressourcenschonende Dienstleistung

Automatisierte Hackerangriffe, gewitzte Cyberkriminelle, immer mehr Attacken. Die Datenmengen, die auf verdächtige Inhalte untersucht werden müssen, steigen enorm. Selbst mit Automatisierung lässt sich der Aufwand nicht einfach bewältigen. Warum auch? Schließlich gibt es diese Leistung auch als Managed Detection and Response Service – schon bald auch von indevis.

Managed Detection and Response – automatisch auf der sicheren Seite

3 minuutin luku

Managed Detection and Response – automatisch auf der sicheren Seite

Die Datenmengen, die auf verdächtige Inhalte hin untersucht werden müssen, nehmen rasant zu und können kaum mehr von Menschen verarbeitet werden. Hier setzt Managed Detection and Response (MDR) an.

Managed Detection and Response (MDR): Funktionsweise und Mehrwert

2 minuutin luku

Managed Detection and Response (MDR): Funktionsweise und Mehrwert

MDR hilft dabei, die typischen Probleme von IT-Abteilungen zu entschärfen. Mit indevis MDR profitieren Unternehmen von State-of-the-art Security-Lösungen, ohne diese selbst kaufen und betreiben zu müssen. Zudem erhalten sie eine persönliche sowie auf ihre individuellen Bedürfnisse angepasste persönliche Betreuung.