Case Study: r-tec DE - Exabeam

r-tec entscheidet sich für die Exabeam Security Operations Platform zur Unterstützung seiner SOC-, MDR- und Vorfallsreaktions-Services

Industry
High-Tech
Product
Fusion SIEM
Use Case
Compromised Insider
Malicious Insider
Download as PDF

Der weltweit führende SOC-Dienstleister benötigte eine fortschrittliche Cloud-native SIEM-Technologie, um die Transparenz zu erhöhen, die Erkennung und Reaktion zu optimieren, die Anzahl der Warnmeldungen zu verringern und kompromittierte Anmeldeinformationen zu erkennen

r-tec ist ein in Deutschland ansässiges Sicherheitsunternehmen mit Standorten in Deutschland und Bulgarien, das externe Security Operations Center (SOC)-Services anbietet, einschließlich einer rund um die Uhr verfügbaren Vorfallsreaktions-Hotline (Incident Response, IR) und Managed Detection and Response (MDR)-Unterstützung für seine Kunden. Das Cyber Defense Center (CDC) von r-tec unter der Leitung von Sebastian Bittig erkannte, dass die alte SIEM-Lösung (Security Information and Event Management), auf die sich das Unternehmen verließ, um die Sicherheitsanforderungen ihrer Kunden zu erfüllen, nicht mehr ausreichte. Das alte System überforderte die CDC-Mitarbeiter und Kunden mit Alarmen und verursachte zu viel Arbeit für die alarmmüden Analysten.

Das Team von r-tec wollte eine Cloud-native SIEM-Lösung, die durch intelligente Automatisierung für vollständige Transparenz und MDR-Funktionen der nächsten Generation sorgt. Bittig und sein Team wollten eine hochmoderne SIEM-Plattform für die Unternehmensumgebung und die Kunden.

Das CDC-Team von r-tec entschied sich für Exabeam SIEM, Teil der Exabeam Security Operations Platform, um seine alte SIEM-Lösung zu ersetzen, und die Ergebnisse waren beachtlich. Die Erkennungsmetriken verbesserten sich, die Betriebszeiten wurden verringert, die Arbeitslast schrumpfte und die Warnmeldungen wurden für die nun dankbaren Analysten überschaubar. r-tec genießt jetzt die Vorteile einer Intelligence- und automatisierungsgestützten SIEM-Lösung der nächsten Generation für das Unternehmen und die vielen Kunden, die sich auf leistungsstarke IR- und MDR-Services verlassen.

Herausforderung durch veraltete SIEM-Technologie und Alarmvolumen

Das CDC-Team von r-tec, das aus mehr als 20 Sicherheitsmitarbeitern besteht, bietet seinen Kunden rund um die Uhr Unterstützung bei Vorfallsreaktionen und MDR. r-tec bietet eine Vorfalls-Hotline und einen Service zur Umgebungsüberwachung, in dessen Rahmen CDC-Analysten Warnmeldungen qualifizieren und bei Bedarf MDR-Unterstützung für Kunden aktivieren.

Das CDC-Team war immer sehr beschäftigt, aber sie wussten, dass es an der Zeit war, auf die modernste Technologie aufzurüsten, die heutzutage verfügbar ist. Wie so viele Unternehmen hatten sie es mit einer SIEM-Technologie zu tun, die schnell veraltet war, der es an Intelligence-Kapazitäten mangelte und die dem Team zu viel Arbeit überließ, das ständig Regelsätze aktualisieren und eigene Inhalte entwickeln musste, um so viele neue Anwendungsfälle abzudecken. „Mit der alten SIEM-Lösung konnten wir nicht genügend qualifizierte Mitarbeiter für unser Team finden, die Analysten, die wir hatten, waren frustriert und wollten nicht mehr damit arbeiten, und unser Service wurde für unsere Kunden zu teuer“, erklärt Bittig.

Eine weitere Herausforderung für das CDC-Team war, dass die alte SIEM-Lösung zu einem überwältigenden Alarmvolumen führte. Analysten litten unter Alarmmüdigkeit, während sie sich mit zeitaufwändigen Tiefenanalysen von Daten, Analyse-Suchanfragen und der Notwendigkeit, Umgebungs-Baselines manuell zu erstellen, herumschlagen mussten.

Zeit für eine Technologielösung der nächsten Generation

Im April 2021 wusste das CDC-Team, dass es nicht länger warten konnte und tiefgreifende Änderungen vornehmen musste. Die Entscheidungsträger von r-tec begannen, neue SIEM-Optionen zu erkunden, aber nicht jede x-beliebige Lösung zur Erkennung, Untersuchung und Reaktion auf Bedrohungen (Threat Detection, Investigation, and Response, TDIR) war ausreichend. Bittig und das CDC-Team wollten eine hochmoderne, Cloud-basierte SIEM-Lösung mit Cloud-Funktionen der nächsten Generation, sowohl für ihr internes SOC als auch für ihre SOC-Services. Außerdem wollten sie eine von maschinellem Lernen (ML) unterstützte Intelligence und automatisierungsgestützte SIEM-Technologie, die in der Lage ist, einen vollständigen Einblick in Protokollquellen zu bieten, sich nahtlos mit anderen Lösungssystemen zu integrieren und die Anzahl der Warnmeldungen zu reduzieren.

Die Reduzierung des Alarmvolumens für Kunden war von entscheidender Bedeutung. Bittig erklärt: „Unsere Kunden wollten nicht durch irrelevante Warnmeldungen belästigt werden. Sie wollten sich auf ihr Geschäft konzentrieren und sich nicht um die Sicherheit sorgen müssen, in der Gewissheit, dass sie in guten Händen waren und wir die beste Technologie einsetzten, die wir finden konnten, um sie zu schützen. Wenn etwas passiert, können wir es schnell erkennen und effektiv reagieren. Das ist für sie das Wichtigste.“

Bittig und sein CDC-Team haben sich für die Exabeam Security Operations Platform entschieden, um die unternehmensinternen SIEM-Anforderungen zu erfüllen und ihre IR-Hotline und MDR-Services zu unterstützen. Die Exabeam-Plattform war die perfekte Lösung, da sie automatische Zeitachsen, ML-Modelle, automatisch ausgefüllte Reaktionsfunktionen und Automatisierung bietet.

„Exabeam gibt uns einen anfänglichen Alarm, direkt gefolgt von Kontextinformationen über den Schweregrad des Alarms und Zeitachsen, falls weitere Daten erforderlich sind. „Das SIEM verfolgt nur schwerwiegende Warnmeldungen weiter, sodass wir wissen, ob wir in den Vorfallsreaktions-Modus wechseln müssen“, so Bittig.

Das CDC-Team von r-tec sieht viele Ransomware- und andere Vorfälle, die auf kompromittierte Anmeldeinformationen zurückzuführen sind, und dieser beunruhigende Trend war ausschlaggebend für die Entscheidung von r-tec für Exabeam. Bittig erklärt: „In 90 % der realen Angriffe werden kompromittierte Anmeldeinformationen verwendet, die sehr schwer zu erkennen sind, was die Verteidigung erschwert. Wir haben uns für Exabeam entschieden, weil dessen Tools diese Art von Angriffen erfolgreich erkennen können, da sie viele Quellen nutzen, nicht nur Sicherheitswarnungen. Die Technologie analysiert und erstellt auf effektive Weise eine Baseline der normalen Nutzung, um schnell auf einen kompromittierten Benutzer oder kompromittierte Anmeldeinformationen aufmerksam zu machen.“

Das Resultat: verbesserte Kennzahlen und zufriedene Analysten

Die Exabeam Security Operations Platform begann sofort, die SIEM-Kennzahlen des Unternehmens und der Kunden zu verbessern. Die Protokoll-Onboarding-Zeiten sind um 70 % gesunken. Was früher mit der alten SIEM-Lösung Monate dauerte, braucht jetzt nur noch wenige Tage. Die Anzahl der Anrufe bei Kunden, um normalen und abnormalen Verhaltensmustern nachzugehen, ging um 80 % zurück, was allen eine Menge Zeit spart. Seitdem r-tec seine alte SIEM-Lösung durch Exabeam ersetzt hat, ist die mittlere Zeit bis zur Kenntnisnahme (Mean Time to Acknowledge, MTA) um 50 % gesunken und liegt jetzt bei durchschnittlich 9 Minuten, und die Lösungszeit beträgt nur noch durchschnittlich 17 Minuten.

Was bedeutet der Wechsel von r-tec zu Exabeam für seine SOC-Servicekunden? „Viele unserer IR-Hotline-Kunden rufen ohne SIEM- oder IR-Lösungen an, sodass die Angriffe sehr komplex sind und erhebliche Schäden verursachen können. Wenn sie unseren aktuellen Service mit Exabeam hätten, könnten diese Angriffe in 80–90 % der Fälle verhindert werden“, so Bittig.

Das CDC-Team von r-tec berichtet mit Freude, wie effektiv die Exabeam Security Operations Platform die Gesamtzahl der Warnmeldungen reduziert. Das Bewertungssystem von Exabeam zeigt nur die kritischsten Alarme an, sodass die Gesamtzahl der Warnmeldungen zurückgegangen ist, ebenso wie die Anzahl unnötiger Alarme, die um 60 % gesunken ist. Die ehemals alarmmüden Analysten sind ebenfalls mit der Entscheidung von r-tec zufrieden, die alte SIEM-Lösung durch Exabeam zu ersetzen, wie Bittig erklärt: „Die Analysten sind seitdem nicht mehr so alarmmüde. Das lässt sich nicht quantitativ messen, aber ich erhalte Feedback von den Analysten, dass die Arbeit mit Exabeam im Vergleich zur Arbeit mit der älteren SIEM-Lösung viel mehr Spaß macht.“

Erfahren Sie mehr über r-tec.

"Mit der alten SIEM-Lösung konnten wir nicht genügend qualifizierte Mitarbeiter für unser Team finden, die Analysten, die wir hatten, waren frustriert und wollten nicht mehr damit arbeiten, und unser Service wurde für unsere Kunden zu teuer"

Sebastian Bittig

Head of the Cyber ​​Defense Center | r-tec IT Security

Key Benefits

  • Mit Exabeam ist die mittlere Zeit bis zur Bestätigung (MTA) von r-tec um 50 % gesunken und beträgt jetzt durchschnittlich etwa 9 Minuten, und die Lösungszeit beträgt nur noch durchschnittlich 17 Minuten.
  • Die Protokoll-Onboarding-Zeiten sind um 70 % gesunken. Was früher bei einer alten SIEM-Lösung Monate gedauert hat, dauert jetzt nur noch wenige Tage.
  • Exabeam hat Fehlalarme um 60 % reduziert und entlastet damit alarmierte Analysten.
Related Case Studies
MUFG Union Bank
MUFG Union Bank

Exabeam Allows Union Bank to Focus on Actual High-risk Incidents
Cybanetix
Cybanetix

MSP Protects UK Customers by Partnering with Exabeam for Industry-leading SIEM Technology
Identropy
Identropy

Identropy Combines IAM and SIEM to Achieve Next-generation Identity Governance

See a world-class SIEM solution in action.

Most reported breaches involved lost or stolen credentials. How can you keep pace?

Exabeam delivers SOC teams industry-leading analytics, patented anomaly detection, and Smart Timelines to help teams pinpoint the actions that lead to exploits.

Whether you need a SIEM replacement, a legacy SIEM modernization with XDR, Exabeam offers advanced, modular, and cloud-delivered TDIR.

Get a demo today!