Sie wollen also Ihr erstes SIEM kaufen … hier erfahren Sie, wie Sie es richtig machen

Willkommen im Chaos. Man hat Ihnen gesagt, dass Sie ein SIEM benötigen. Vielleicht war es Ihr CISO. Vielleicht war es Ihr Auditor. Vielleicht ist Ihr SOC es leid, Protokolle mit Klebeband und Python-Skripten zusammenzuflicken. Das spielt keine Rolle – Sie sind dabei, ein SIEM zu kaufen. Herzlichen Glückwunsch … und herzliches Beileid.

Lassen Sie uns gemeinsam einen Blick darauf werfen, wie Sie tatsächlich Ihr erstes SIEM kaufen können, ohne Ihr Budget (und die Moral Ihres Teams) zu sprengen.

Schritt eins: Begreifen Sie, was ein SIEM eigentlich tut

SIEM steht für Security Information and Event Management. Es sammelt Protokolle von Ihren Systemen, analysiert sie, normalisiert sie und macht sie durchsuchbar. Dann versucht es, Ereignisse zu korrelieren und schlechte Dinge zu erkennen.

Klingt in der Theorie großartig. Und in der Praxis? Die Hälfte der Anbieter verkauft veraltete Kolosse aus den frühen 2000er Jahren, an deren Seite nun ein „Cloud“-Aufkleber prangt. Hallo? Nur weil man einen Haufen veralteter Technologie in die Cloud schiebt, wird sie noch lange nicht cloud-nativ. Die andere Hälfte sagt in jedem dritten Satz „KI“, kann aber die Protokolle Ihrer benutzerdefinierten App nicht ohne eine kleine Armee von Beratern analysieren. 

Schritt zwei: Finden Sie Ihren tatsächlichen Anwendungsfall heraus

Dies ist der wichtigste Teil und der Punkt, an dem 90 % der SIEM-Käufer scheitern. Fragen Sie sich selbst:

• Benötigen Sie Compliance (PCI, HIPAA, SOC 2)?
• Versuchen Sie, Bedrohungen in einer hybriden Umgebung zu erkennen?
• Haben Sie ein SOC, oder sind es nur Sie und reichlich Kaffee?
• Müssen Sie ein paar Protokolle durchsuchen oder Entitäten und Explosionsradien korrelieren?
  

Ihr Anwendungsfall bestimmt, ob Sie einen Log-Bucket mit guter Suchfunktion oder eine vollwertige Plattform zur Erkennung von Bedrohungen benötigen. Wenn Sie nur versuchen, PCI-konform zu sein, brauchen Sie keinen Ferrari, um zum Supermarkt zu fahren. Sie brauchen auch das richtige Tool für Ihre Teamgröße.

Schritt drei: Tappen Sie nicht in die Falle der Alarmmüdigkeit

“Echtzeit-Bedrohungserkennung!“ schreit der Anbieter. Sicher. Was nicht erwähnt wird: Sie erhalten täglich 500 Alarme für Port-Scans und DNS-Abfragen von internen Druckern.

Sie wollen ein Signal, kein Rauschen. Suchen Sie nach integrierten Erkennungsinhalten, die tatsächlich funktionieren, und fragen Sie, ob Sie die Erkennung selbst einstellen können – ohne einen Doktortitel in RegEx. Achten Sie auf eine einfache GUI-basierte Abstimmung und Regelerstellung. Auch wenn Sie kein Detection Engineer sind, sollten Sie in der Lage sein, zu verstehen, was Sie sehen. Wenn nicht, versteht Ihr Team es auch nicht.

Profi-Tipp: Fragen Sie nach Erkennungen für bestimmte Bedrohungen (wie Okta-Missbrauch, AWS-Schlüsseldiebstahl oder Seitwärtsbewegungen). Wenn der Anbieter nur blinzelt, gehen Sie weiter.

Schritt vier: Prüfen Sie die Preise – und lesen Sie das Kleingedruckte

Die meisten SIEMs berechnen entweder nach GB/Tag, EPS oder einem scanbasierten System.

Folgendes müssen Sie tun:

• Berechnen Sie Ihr aktuelles Protokollvolumen (einschließlich Cloud-Dienste)
• Rechnen Sie einen Wachstumspuffer von 30 % hinzu
• Prüfen Sie, ob Sie Anwendungsfälle für andere Protokolle haben, die tatsächlich helfen können, und wenn ja, fügen Sie sie hinzu.
• Holen Sie sich ein schriftliches Angebot ein und überprüfen Sie dann die Zusatzgebühren. Fragen Sie nach, ob der Preis Speicher, Suche, Erkennung und Integrationen umfasst, denn einige Anbieter behandeln die „Basiskorrelation“ wie den Upsell eines Platin-Pakets 
• Fragen Sie, ob die Daten „hot“ oder „cold“ sind. 
• Fragen Sie, ob Sie Aufbewahrung, Partitionierung und Ingest steuern können. 
• Fragen Sie, welche Preisschutzkontrollen Sie einrichten können. 

Schritt fünf: Testen Sie mit Ihren Daten, nicht mit einer Sandbox

Demos sind großartig, aber sie sind ausgefeilte, kuratierte Fantasien. Sie wollen die hässlichen Dinge sehen – Ihre Kubernetes-Protokolle, Ihre Okta-Ereignisse, Ihre EDR-Warnungen.

Jeder anständige Anbieter sollte Ihnen eine Testversion oder einen POC mit Ihren echten Daten zur Verfügung stellen. Legen Sie ein Zeitfenster von 14–30 Tagen fest. Prüfen Sie:

• Kann Ihr Team Suchanfragen schreiben?
• Funktionieren die Erkennungen sofort?
• Ist das SIEM benutzbar, ohne dass Sie Ihr gesamtes Personal schulen müssen?
• Können Sie problemlos Dashboards erstellen?
• Deckt dieses Tool auch andere Bereiche ab, in denen wir sparen können, SOAR, Observability, Infrastruktur?

Wenn Ihr Team die Anwendung hasst, werden Sie im nächsten Jahr wieder hier landen und das Ganze wiederholen müssen. Am besten erstellen Sie im Vorfeld eine Scorecard, damit Sie sich nicht von schön klingenden Demos beeinflussen lassen. Vergewissern Sie sich, dass Sie die Zeit haben, das SIEM während des POV auch wirklich zu nutzen, sonst verschwenden Sie nur die Zeit aller Beteiligten..

Schritt sechs: Stellen Sie die Fragen, die niemand beantworten will

Hier sind ein paar gute Beispiele:

• Was passiert, wenn ich mein Lizenzlimit überschreite?
• Wie lange dauert das Onboarding normalerweise?
• Können wir es benutzen, ohne mehr Personal einzustellen?
• Was passiert, wenn wir es nicht mehr wollen?

Wenn die Antworten wie die eines wortkargen Politikers in einem Skandal klingen, sollten die Alarmglocken läuten.

Schritt sieben: Fallen Sie nicht auf den Hype herein

Worauf Sie achten sollten:

• Große Rabatte im Voraus = teure Verlängerungspreise. 
• KI, die angeblich alles in Ordnung bringt. Das Aufsetzen eines Agenten auf ein schlecht konzipiertes SIEM behebt das Problem nicht.
• Unfähigkeit, unstrukturierte Daten in großem Umfang zu verarbeiten
• Wenn man behauptet, alles zu können, kann man nicht alles gut.

Abschließender Gedanke: Kaufen Sie nicht nur ein SIEM – kaufen Sie eine Partnerschaft

Die besten Anbieter geben Ihnen nicht einfach den Schlüssel in die Hand und hauen ab. Sie helfen Ihnen dabei, Warnmeldungen zu optimieren, Dashboards zu erstellen, neue Protokollquellen einzubinden und den Überblick zu behalten, wenn es um Compiance geht.

Wenn Sie zum ersten Mal ein SIEM kaufen, möchten Sie einen Anbieter, der sich wie eine Erweiterung Ihres Teams fühlt, und nicht eine Blackbox mit einem Support-Portal. Wir bei Sumo Logic wollen dieser Anbieter sein.

Sehen Sie, wie Sumo Logic Cloud-SIEM in Aktion funktioniert.