Warum Sie SaaS-basiertes SIEM benötigen und 5 Dinge, auf die Sie achten sollten

Was ist SaaS SIEM?

SaaS-basierte Lösungen für Sicherheitsinformations- und Ereignismanagement (SIEM) bieten Echtzeitüberwachung, Analyse von Sicherheitsereignissen und Protokollierung von Sicherheitsdaten für Compliance-, Audit- und Trackingzwecke, alles bereitgestellt als cloudbasierte verwaltete Lösung.

SIEM-Plattformen, die über ein Software-as-a-Service-Modell (SaaS) bereitgestellt werden, erfreuen sich zunehmender Beliebtheit. SIEM as a Service vereinfacht die Bereitstellung und verkürzt den Zeitaufwand für Implementierung, Verwaltung, Wartung und Skalierung von SIEM-Lösungen. Zudem reduziert es die Lizenzierungskomplexität im Vergleich zu lokalen Lösungen.

SaaS-SIEM-Lösungen bündeln Sicherheitsdaten in einer zentralen Ansicht und bieten so einen umfassenden Überblick über den Sicherheitsstatus Ihres gesamten Tool-Stacks und Ihrer geschützten Ressourcen. Eine SaaS-SIEM-Lösung kann Anomalien im Nutzerverhalten aufdecken und nutzt maschinelles Lernen (ML) und künstliche Intelligenz (KI), um die Bedrohungserkennung und die Reaktion auf Vorfälle zu automatisieren.

Unternehmen nutzen SaaS-Lösungen, um potenzielle Sicherheitslücken und Bedrohungen zu identifizieren, bevor sie den Geschäftsbetrieb stören. Security Operation Center (SOCs) nutzen SIEM für das tägliche Sicherheits- und Compliance-Management.

Was sind die Vorteile von Cloud SIEM?

Geringere Kosten

Die Wartung einer lokalen SIEM-Bereitstellung kann sehr kostspielig sein, insbesondere für große Unternehmen. Diese Kosten setzen sich aus vier Hauptkomponenten zusammen:

1. Hardwareanforderungen, da die SIEM-Lösung im lokalen Rechenzentrum bereitgestellt werden muss.
2. Softwarelizenzkosten, die von der Anzahl der Benutzer, der Menge der gespeicherten oder verarbeiteten Daten oder einer Kombination davon abhängen können.
3. Daten aus mehreren Zweigstellen und Remote-Standorten müssen erfasst und über dedizierte WAN-Verbindungen an die zentrale SIEM-Quelle zurückgesendet werden. Die Einrichtung dieser WAN-Verbindungen ist teuer, und das SIEM-System reduziert die für andere Dienste verfügbare Bandbreite.
4. Sowohl Hardware als auch Software erfordern eine anfängliche Investition und können mit der Zeit veralten, was zusätzliche Investitionen des Unternehmens erforderlich macht. Daher sind die Gesamtbetriebskosten des SIEM-Systems über mehrere Jahre hinweg schwer vorherzusagen.

Durch die Migration der SIEM-Plattform in die Cloud können Unternehmen all diese Kosten eliminieren und durch vorhersehbare monatliche Abonnementkosten ersetzen.

Verbesserte Funktionalität

Cloudbasiertes SIEM bietet Unternehmen gegenüber lokalen Lösungen mehrere wichtige Vorteile:

• Einfachere Bereitstellung– Cloudbasiertes SIEM hilft Unternehmen, schneller einsatzbereit zu sein. Wenn ein Unternehmen eine SIEM-Lösung vor Ort installiert, kann ein langwieriger Onboarding-Prozess erforderlich sein, um das System voll funktionsfähig zu machen. Passen Sie Ihre Technologie schneller an und implementieren Sie sie, indem Sie sich für eine Cloud-basierte SIEM-Lösung entscheiden.
• Unterstützung für hybride Umgebungen– SaaS-basiertes SIEM ermöglicht Unternehmen eine bessere Integration von Ereignisdaten aus der lokalen Infrastruktur und Cloud-nativen Ressourcen. Eine kombinierte Ansicht von Aktivitäten und Ereignissen ist insbesondere in hybriden Cloud-Bereitstellungen wichtig.
• Sanftere Lernkurve –SIEM-Lösungen können komplex und schwierig sein und müssen von Experten richtig konfiguriert und gewartet werden. Cloudbasierte SIEM-Lösungen vereinfachen die Implementierung und Wartung und reduzieren so den erforderlichen Fach- und Personalbedarf.
• Einfachere Updates– SaaS-basierte SIEMs benötigen keine Bediener für Software-Updates. Sie werden automatisch mit neuen Funktionen oder Fehlerbehebungen aktualisiert.
• Elastische Skalierbarkeit– Viele SaaS-basierte SIEM-Lösungen ermöglichen Unternehmen eine flexible Skalierung, d. h. das Hinzufügen weiterer Daten oder Benutzer. Dies erfordert in der Regel den Erwerb zusätzlicher Kapazitäten vom Cloud-Dienstanbieter.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, die Vorteile einer SaaS-SIEM-Lösung optimal zu nutzen:

Integration mit DevOps-Pipelines
Aktivieren Sie SIEM, um CI/CD-Pipelines, Kubernetes-Cluster und serverlose Funktionen zu überwachen und so Schwachstellen oder Bedrohungen in Ihren DevOps-Workflows zu erkennen.

Stellen Sie die Multi-Cloud-Kompatibilität sicher
Wenn Ihr Unternehmen in einer Multi-Cloud-Umgebung arbeitet, stellen Sie sicher, dass das SaaS-SIEM Protokolle und Ereignisse von allen Cloud-Anbietern nahtlos aufnehmen kann, um eine einheitliche Sicherheitslage aufrechtzuerhalten.

Nutzen Sie die agentenbasierte und agentenlose Datenerfassung sinnvoll
Bewerten Sie, wann Agenten für eine tiefere Protokollgranularität eingesetzt werden sollten oder wann agentenlose Methoden für eine schnellere Bereitstellung in Cloud-Umgebungen. Durch die Abstimmung dieser beiden Methoden können Leistung und Abdeckung optimiert werden.

Priorisieren Sie die Einhaltung globaler Gesetze zur Datensouveränität
Wählen Sie ein SaaS-SIEM, das die Einhaltung der Anforderungen an die Datenaufbewahrung ausdrücklich unterstützt, insbesondere wenn Sie in Regionen mit strengen Gesetzen wie der DSGVO oder dem CCPA tätig sind.

Nutzen Sie die elastische Skalierbarkeit zur Kostenoptimierung
Nutzen Sie die Skalierbarkeitsfunktionen von SaaS SIEM, um die Kosten an die Nachfrage anzupassen, indem Sie in Zeiten mit geringer Auslastung oder in Testphasen die Leistung reduzieren und so unnötige Ausgaben vermeiden.

Wie wählt man eine SaaS-SIEM-Lösung aus?

Bestimmen Sie den geografischen Standort und den Speicherort der Daten

Es ist wichtig zu wissen, wo Ihre Daten gespeichert sind. Dies beeinflusst die Datensicherheit, die Serviceverfügbarkeit, die Einhaltung gesetzlicher Anforderungen an die Datenspeicherung und die Integration der Lösung in bestehende und zukünftige Umgebungen. Wichtige Fragen sind:

• Ob die Lösung auf einem Public Cloud-Anbieter basiert und welcher Anbieter
• Haben Sie Kontrolle darüber, in welcher geografischen Region Ihre Daten gespeichert werden?
• Welche Möglichkeiten gibt es, Daten von On-Premise-Systemen in die Cloud zu übertragen?

Stellen Sie fest, ob es sich um eine echte SaaS-Lösung handelt

Viele Anbieter von SIEM-Lösungen geben an, dass ihre Lösungen SaaS sind. Tatsächlich kann es sich jedoch um gehostete Versionen derselben lokalen Software handeln. Beispielsweise können Anbieter Instanzen ihrer Software manuell in ihren eigenen Rechenzentren oder einer öffentlichen Cloud installieren, diese als eigenständige Instanzen verwalten und sie den Benutzern über ein Netzwerk bereitstellen.

Dieses gehostete Modell kann zwar vorteilhaft sein, beschränkt jedoch die Skalierbarkeit der Lösung auf die maximale Skalierbarkeit einer einzelnen Instanz. Die Preise ähneln denen des On-Premises-Modells. Wichtig ist, zu klären, ob die von Ihnen erworbene Lösung gehostet wird oder ein echter elastischer SaaS-Dienst ist.

Ermitteln Sie, wie Daten erfasst und zum SIEM transportiert werden

SIEM-Lösungen erfassen Daten aus der Umgebung des Kunden mithilfe verschiedener technischer Methoden und senden sie zur Protokollerfassung, -verwaltung, -analyse und -abfrage an die Cloud-Umgebung.

Die überwachten Assets, darunter Firewalls, Endpoint Protection Platforms (EPP), Router, Switches und lokale Server, müssen Protokollereignisse und andere Daten für die Verarbeitung in der Providerumgebung erfassen, verpacken, komprimieren und sichern. Dies kann entweder durch die Bereitstellung einer zentralen Protokollaggregationskomponente in der lokalen Umgebung, durch den Einsatz von Agenten, die Protokolle von bestimmten Geräten erfassen, oder durch eine Kombination dieser Maßnahmen erreicht werden.

Verstehen Sie, wie das SIEM mit anderen Angeboten des Anbieters interagiert

Einige SIEM-Anbieter verfolgen einen Plattformansatz und bieten SIEM zusammen mit anderen Lösungen wie Endpoint Detection and Response (EDR), File Integrity Monitoring (FIM), Data Loss Prevention (DLP) und Schwachstellenanalyse an. Diese zusätzlichen Technologien können in der Kundenumgebung oder in der Cloud eingesetzt werden. Sie können als separate Komponenten oder als Zusatzmodul zur SIEM-Kernplattform bereitgestellt werden. Wichtige Fragen sind:

• Bietet der Anbieter zusätzliche Sicherheitskomponenten an, sind diese in der Lösung enthalten und was kosten sie?
• Wie unterstützt und integriert sich das SIEM in diese Lösungen?
• Ist das SIEM oder eine seiner Funktionen von diesen zusätzlichen Lösungen abhängig?

Garantien für hohe Verfügbarkeit verstehen

SaaS-basierte SIEMs werden über das Internet bereitgestellt (in einigen Fällen sind jedoch auch direkte Netzwerkverbindungen verfügbar). Es ist wichtig zu verstehen, wie der SIEM-Anbieter mit Verfügbarkeitsproblemen (z. B. Ausfällen von SIEM-Servern oder des Cloud-Rechenzentrums) oder mit Verbindungsunterbrechungen (die den Datenfluss zum und vom SIEM unterbrechen) umgeht. Wichtige Fragen sind:

• Zu welchem Service Level Agreement (SLA) verpflichtet sich der Anbieter?
• Wie ist das Verfahren zur Meldung einer geplanten oder ungeplanten Betriebsunterbrechung?
• Wie sieht der Notfallplan des Anbieters im Falle eines großflächigen Ausfalls aus?
• Welche Möglichkeiten haben Sie, Protokolldaten lokal zwischenzuspeichern, bevor Sie sie im Falle eines Ausfalls an das SIEM weiterleiten?
• Wie sieht Ihr interner Notfallplan zum Erkennen und Reagieren auf Sicherheitsvorfälle aus, wenn das SaaS-basierte SIEM nicht verfügbar ist?

Cloud SIEM mit Exabeam

Willkommen bei New-Scale SIEM ™ von Exabeam. New-Scale SIEM ist eine bahnbrechende Kombination aus Funktionen zur Bedrohungserkennung, -untersuchung und -reaktion (TDIR) für Sicherheitsoperationen in Produkten, die sie nutzen möchten. Exabeam SIEM schließt die Lücke in der SIEM-Effektivität und bietet unbegrenzte Skalierbarkeit für die Aufnahme, Analyse, Speicherung, Suche und Berichterstattung von Petabytes an Daten – von überall.

Exabeam SIEM ist mit Integrationen von 549 Sicherheitsprodukten vorinstalliert und ermöglicht die Integration neuer Protokollquellen in Minutenschnelle. Es bietet Analysten neue Geschwindigkeit, eine Verarbeitung von über einer Million EPS und Effizienzsteigerungen für mehr Effektivität und Sicherheit. Exabeam SIEM umfasst alle Funktionen von Exabeam Security Log Management sowie über 100 vorgefertigte Korrelationsregeln, einen Regelgenerator sowie Alarm- und Fallmanagement. Integrierte Bedrohungsinformationen verbessern die Erkennungsgenauigkeit, fügen Regeln einen tieferen Kontext hinzu und fördern ein präziseres und effizienteres Bedrohungsmanagement.