Security Information and Event Management (SIEM)
Seien Sie Angreifern einen Schritt voraus – mit einem SIEM
Eine SIEM-Lösung gibt Unternehmen Einblicke in alle Netzwerkaktivitäten, wodurch diese schnell auf Hackerangriffe reagieren können. Zusätzlich halten sie mit einem SIEM Compliance-Anforderungen ein.
- Home
- Detection
- Security Operations
- Security Information and Event Management (SIEM)
Sekundenschnelle Datensammlung und -analyse für Ihr Sicherheitsteam
Mit einem SIEM schützen sich Unternehmen vor Sicherheitsbedrohungen, decken Schwachstellen auf und beheben diese. Der Geschäftsbetrieb wird somit aufrechterhalten. Sicherheitsteams werden dabei unterstützt, Unregelmäßigkeiten im User-Verhalten zu erkennen, da ein SIEM sehr viele Daten aus allen Anwendungen in Sekundenschnelle sammelt, durchsucht und analysiert. So erhalten Unternehmen einen Echtzeit-Einblick in die eigene IT-Infrastruktur und durch die Speicherung und Verwaltung von Logdaten stellen sie sicher, dass Compliance-Anforderungen eingehalten werden.
Wie funktioniert
ein SIEM?
Ein SIEM sammelt Logdaten aus verschiedenen Datenquellen in der Unternehmensinfrastruktur, inklusive Servern, Systemen, Geräten und Anwendungen. Dies geschieht in Echtzeit. Das SIEM-System korreliert die Daten, prüft auf abweichendes User-Verhalten und ordnet Abweichungen Kategorien zu, wie z.B. eine fehlgeschlagene Anmeldung, Account-Änderung oder potenzielle Malware. Tritt eine Abweichung auf, schlägt das System Alarm und speichert die Logs in einer Datenbank. IT-Sicherheitsspezialisten untersuchen die Meldungen. Hierbei kann es zu sehr vielen Benachrichtigungen kommen, da ein SIEM nicht erkennt, wie sicherheitsrelevant eine Auffälligkeit ist. Die Flut an Meldungen und das Aussieben von False Positives stellt für viele IT-Sicherheitsbeauftragte im Unternehmen eine große Herausforderung dar. Ihnen fehlt oftmals schlicht die Zeit und die Kapazitäten, alle Warnmeldungen genau zu untersuchen.
Vorteile
eines SIEM
ZENTRALE ANSICHT
über mögliche Bedrohungen
BEDROHUNGSERKENNUNG
und Reaktion in Echtzeit
AUSBAU UND VERBESSERUNG
der Threat Intelligence
EINHALTUNG VON GESETZLICHEN
Vorschriften und Berichterstellung
EFFEKTIVE BEOBACHTUNG
von Benutzern, Anwendungen und Geräten
Cloud-natives SIEM von Google: riesiger Speicherplatz bei niedrigen Kosten
Neben den Schwierigkeiten für IT-Security-Verantwortliche, die vielen Meldungen und False Positives zu bearbeiten und herauszufiltern, kommt hinzu, dass sie im Ernstfall bei vielen SIEM-Systemen nicht auf historische Sicherheitsdaten zurückgreifen können. So haben sie Probleme herauszufinden, ob ihre Systeme bereits angegriffen wurden. Den meisten Unternehmen mangelt es an ausreichendem Speicher. Für eine Ausweitung des Speicherplatzes verlangen viele SIEM-Anbieter zusätzlich hohe Kosten.
Nicht so bei Google Security Operations (ehemals Chronicle): Die Cloud-native SIEM-Lösung macht SIEM-Projekte einfach, preiswert und schnell umsetzbar. Kunden erhalten inkludierten Cloud Storage im Petabyte-Bereich zu kalkulierbaren Kosten.
Die Lösung bietet eine Erleichterung bei der Aufdeckung und Reaktion auf Cyber-Bedrohungen: Mit Security Operations werden Unternehmen in die Lage versetzt, die Bedrohungserkennung zu beschleunigen und zu verbessern, um so das Sicherheitslevel erheblich zu stärken. Möglich wird dies durch die Verarbeitung riesiger Datenmengen in einem Cloud Data Lake. Daten werden aus angeschlossenen Security-Systemen gesammelt, normalisiert, analysiert und korreliert. Was Google Security Operations dabei von anderen SIEMs unterscheidet, ist der Cloud Storage im Petabyte-Bereich und der Zugriff auf die Daten über ganze 12 Monate in einem privaten Container bei überschaubaren Kosten – auch für mittelständische Firmen. So ist eine Untersuchung von großen Zeiträumen und die Aufdeckung von weit zurückliegenden Zusammenhängen möglich.
Auch die Einbindung von Drittanbietern gelingt spielend, da sich Logquellen unkompliziert per API andocken lassen. Wenn ein SIEM bereits vorhanden ist, ist nur die Nutzung des Data Lakes möglich. Betrieben wird Security Operations in Google-Rechenzentren mit Standorten in der EU.
FAQ: Häufig gestellte Fragen zur Cloud-native
Security Operations von Google Cloud
-
Was ist Google Security Operations?
Bei Google Security Operations handelt es sich um ein Cloud-natives SIEM (Security Information and Event Management) mit SOAR (Security Orchestration, Automation and Response). Herzstück des Systems ist sein Cloud Data Lake, in dem es Daten aus angeschlossenen Security-Systemen sammelt, normalisiert, analysiert und korreliert. Mit Hilfe der integrierten Threat Intelligence können Unternehmen Bedrohungen so frühzeitig erkennen oder Angriffshistorien nachverfolgen. Darüber hinaus kann das System mithilfe von Playbooks im SOAR von Security Operations teils automatisiert auf Vorfälle reagieren, indem es vorgefertigte Workflows abarbeitet. Standard-Szenarien wie Phishing oder Ransomware-Angriffe sind bereits enthalten und weitere Playbooks lassen sich kontinuierlich ergänzen.
Mit Google Security Operations spielt Google damit seine Kernkompetenz – das blitzschnelle Durchsuchen riesiger Datenmengen – in der IT-Security aus und bietet Unternehmen einen hochgradig skalierbaren Ansatz für die Detection und Response von Cyber-Angriffen.
-
Warum sind herkömmliche SIEM oft kostenintensiver?
Um Cyberangriffe rückwirkend aufzuspüren, müssen in einem SIEM nicht nur die aktuellen, sondern auch die historischen Sicherheitsdaten gespeichert sein. Wie wichtig das ist, hat die Log4Shell-Sicherheitslücke in der weitverbreiteten Java-Bibliothek gezeigt: Mithilfe rekursiver Analysen konnten Unternehmen nach Bekanntgabe der Schwachstelle so schnell erkennen, ob die eigenen Systeme bereits angegriffen wurden. Firmen, die nicht über die entsprechenden historischen Daten verfügten, verbrachten hingegen teilweise Monate, um festzustellen, ob sie betroffen sind.
Die Herausforderung bei der Speicherung von Security-Daten: Unternehmen müssen über ausreichend Storage verfügen. Bei vielen SIEM-Anbietern ist dies eine teure Angelegenheit. Für zehn Terabyte zahlen Unternehmen oft schon Summen im sechsstelligen Bereich. Kapazitäten im eigenen Rechenzentrum bereitzustellen, ist aus Kostensicht meist ebenfalls nicht rentabel – zudem ist die vorausschauende Beschaffung und der Betrieb von genügend Hardware eine nicht zu unterschätzende Herausforderung. Bisher mussten Verantwortliche sich deshalb sehr genau überlegen, welche Daten sie speichern möchten und wie lange. Im Falle eines Cyberangriffs war es keine Ausnahme, dass Daten und wichtige Informationen fehlten oder erst einmal aus ausgelagertem Cold Storage wieder aktiviert werden mussten. Mit Google Chronicle gehören diese Überlegungen der Vergangenheit an, denn im Google Cloud Data Lake lässt sich der Speicherplatz beinahe unbegrenzt skalieren – und zwar zu überschaubaren und, dank entkoppelter Lizenzmodelle, vorhersehbaren Preisen.
-
Was sind die Vorteile von Google Security Operations?
Google Security Operations macht SIEM-Projekte einfach, preiswert und schnell umsetzbar. Kunden erhalten inkludierten Cloud Storage im Petabyte-Bereich zu kalkulierbaren und überschaubaren Kosten. Die gespeicherten Daten sind ein Jahr lang in einem privaten Container verfügbar. So können Unternehmen jederzeit schnelle, rekursive Analysen durchführen. Dank der Cloud-nativen Architektur ist Google Security Operations leicht skalierbar. Der Kunde muss daher nicht mehr jeden Datensatz auf seine Wichtigkeit prüfen. Stattdessen lässt sich die Plattform je nach Bedarf mit Daten füttern und umfassenden Big-Data-Analysen steht damit nichts im Wege. Zudem gelingt die Einbindung von Drittanbietern mit Google Security Operations schnell und einfach: Logquellen lassen sich unkompliziert per API andocken. Die Normalisierung der Daten aus den verschiedenen Quellen verläuft in der Regel automatisiert. Neben der integrierten Threat Intelligence zur Bedrohungserkennung können Unternehmen auch externe Threat Intelligence Feeds implementieren.
Als SaaS-Lösung ist Google Security Operations schnell aufgesetzt, einfach zu verwalten und Unternehmen brauchen nicht in zusätzliche Hardware zu investieren. Sollte bereits ein SIEM im Einsatz sein, so kann Google Security Operations auch einfach als zusätzlicher leistungsstarker Data Lake zugeschaltet werden. Da Google Security Operations auch die Google Cloud Platform (GCP) absichert, wird die Security-Lösung nicht selbst auf der GCP-Infrastruktur betrieben, sondern in abgetrennten Bereichen in Google-Rechenzentren in der EU. Die Ausfallsicherheit ist dabei durch Georedundanz gewährleistet.
Google Security Operations ist kein Ersatz für Endpoint-, Netzwerk- oder E-Mail-Security. Die Lösung fungiert stattdessen als Zwischenschicht, an die sich Systeme beliebiger Drittanbieter andocken lassen. Unternehmen bleiben also bei der Wahl ihrer Security-Infrastruktur flexibel.
-
Welche Lösungen beinhaltet die Google Security Operations Plattform?
Google Security Operations bietet ein Cloud-natives SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation and Response). Die Plattform verfügt zudem über einen Cloud Data Lake, in dem die Logdaten angeschlossener Security-Systeme gesammelt, normalisiert, indexiert, korreliert und analysiert werden. Dabei nutzt Google Security Operations integrierte Threat Intelligence zur Bedrohungsanalyse und bietet die Option, weitere Threat Intelligence Feeds einzubinden. Zudem ist die Plattform in der Lage, mithilfe von Playbooks – vordefinierten Workflows – automatisiert auf Vorfälle zu reagieren. Zahlreiche Use Cases für Standard-Situationen wie Phishing oder Ransomware-Angriffe sind bereits vorinstalliert. Weitere lassen sich in einer intuitiven Programmiersprache selbst generieren.
-
Warum Google Security Operations mit indevis?
Mithilfe von Google Security Operations können Unternehmen ihre IT-Security auf ein neues Level heben. Doch wie auch bei anderen SIEM- und SOAR-Systemen gilt: Für Mittelständler, deren IT-Abteilungen chronisch unter dem IT-Fachkräftemangel leiden, ist es äußerst schwierig, solche komplexen Systeme in Eigenregie in die vorhandene Security-Infrastruktur zu integrieren und kontinuierlich zu betreiben. Denn die Arbeit ist nicht mit der Anbindung von Logquellen abgeschlossen. Im Anschluss muss das System kontinuierlich überwacht und aktualisiert werden. Dazu gehören auch die Erstellung von Security-Analysen in Form von Korrelationsregeln und das Entwickeln von Strategien gegen Cyberangriffe.
indevis hilft Unternehmen dabei, das volle Potenzial von Google Security Operations zu entfalten. Zu diesem Zweck haben wir Google Security Operations in unseren indevis MDR Service integriert und mit der führenden SOAR-Lösung Cortex xSOAR von Palo Alto kombiniert. Die indevis-Spezialisten docken die Logquellen an, erstellen Use Cases, analysieren Alerts und unterstützen im Falle eines Cyberangriffs bei der Bewältigung. Zudem bietet indevis Google Security Operations auch als Reseller an und greift seinen Kunden mit Professional Services unter die Arme. Durch das Zusammenspiel von Google Security Operations und den Managed Security Services von indevis können Unternehmen somit ihre Detection und Response erheblich verbessern – und sich mit State-of-the-Art Technologie vor Cyberangriffen schützen.
Unsere Hersteller-Technologien
Kontakt
Jetzt unverbindliche
Beratung anfordern
Business Development
Dazu passende
Lösungen
Ressourcen passend
zum Thema SIEM
Studiosus Reisen schützt sensible Daten mit indevis MDR
- Blog
IT-Sicherheit mit MDR und SOC: Moderne Sicherheitslösungen speziell für den Mittelstand
- Blog
Wenn Hacker mit KI angreifen – wie können sich Firmen schützen?
- Blog
Rund um die Uhr Sicherheit: Einblick in den Alltag eines Security Operations Center
- Blog
Wie Google Chronicle die Cybersicherheitslandschaft verändert
- Blog
Nahtlose Sicherheit: Die Einbindung von Microsoft-Applikationen in den indevis MDR Service
- Blog
Erfolgreicher Event-Auftakt: indevis insights – The Next Level of Cyber Security
- Blog
Cloud Legacy-Podcast: Eine unschlagbare Allianz – SIEM, SOC und SOAR im Kampf gegen Cyberangriffe
- Blog
Sicherheitsmaßnahme Logmanagement – wie Sie den Nutzen Ihrer Logdaten maximieren können
- Blog
5 Tipps für die Auswahl und Einführung von Managed Detection and Response
- Blog
Kino-Event mit indevis und Google Chronicle
- News
Managed Detection and Response: Von diesen 5 Mythen sollten Sie sich nicht beirren lassen
- Blog
Datenblatt: indevis Managed Detection and Response
- Datenblatt
Google Chronicle – der SOC-Katalysator auch für indevis MDR
- Blog
Google Chronicle: Hersteller-agnostischer Katalysator für SOC-/Security Projekte
- Blog
Das SIEM Kosten-Dilemma bestehender SOC- und Security-Architekturen lösen
- Blog
Google Chronicle: Next-Level-Security jetzt auch für Mittelständler
- Blog
Podcast „Cloud Computing Report“: Hyperscaler & Cloud Security
- Blog
Google Chronicle & indevis MDR: ein starkes Team
- Blog
Neu im indevis Portfolio: Google Chronicle Cloud-native SIEM und Security Operations Suite
- Blog
Neu im indevis Portfolio: Google Chronicle
- News
Nur elf Tage bis zur Verschlüsselung
- Blog
Managed Detection and Response (MDR): Funktionsweise und Mehrwert
- Blog
Mit neuem Head of SOC & Service Support - Ausbau und Stärkung der indevis MDR-Services: Interview mit Johannes Potschies
- Blog
Security-Sensorik: Wie Mittelständler von Managed Detection and Response profitieren
- Blog
Security Automation ist die Zukunft – aber zum heutigen Zeitpunkt noch mit Vorsicht zu genießen
- Blog
Warum Abwehr allein nicht mehr ausreicht: Die Evolution von Protection zu Detection heißt MDR
- Blog
Managed Detection and Response Video: Cloudio erklärt Ihnen MDR
- Blog
Video: indevis Managed Detection and Response
- Video
5 Gründe, warum Sie auf Managed Detection and Response setzen sollten
- Blog
Video – Kurz erklärt: SOAR
- Blog
MDR: Playbooks für SOAR – ein digitaler Game Plan gegen Hacker
- Blog
Podcast: Die Zukunft von SIEM und SOC heißt MDR
- Blog
Managed Detection and Response – das sind die Voraussetzungen
- Blog
SOAR – auch als Service eine gute Wahl
- Blog
Managed Detection and Response – automatisch auf der sicheren Seite
- Blog
Managed Detection and Response – Hackern automatisiert ein Schnippchen schlagen
- Blog
SIEM, SOC & SOAR: Supermodern und superkomplex – am besten als ressourcenschonende Dienstleistung
- Blog
Video – Kurz erklärt: SOC
- Blog
Sie haben Fragen?
Wir beraten Sie gerne - kontaktieren Sie uns: