Sie wollen also Ihr erstes SIEM kaufen … hier erfahren Sie, wie Sie es richtig machen

Willkommen im Chaos. Man hat Ihnen gesagt, dass Sie ein SIEM benötigen. Vielleicht war es Ihr CISO. Vielleicht war es Ihr Auditor. Vielleicht ist Ihr SOC es leid, Logs mit Klebeband und Python-Skripten zusammenzuflicken. Das spielt keine Rolle – Sie sind dabei, ein SIEM zu kaufen. Herzlichen Glückwunsch … und herzliches Beileid.

Lassen Sie uns gemeinsam einen Blick darauf werfen, wie Sie tatsächlich Ihr erstes SIEM kaufen können, ohne Ihr Budget (und die Moral Ihres Teams) zu sprengen.

Schritt eins: Begreifen Sie, was ein SIEM eigentlich tut

SIEM steht für Security Information and Event Management. Es sammelt Logs von Ihren Systemen, analysiert sie, normalisiert sie und macht sie durchsuchbar. Dann versucht es, Ereignisse zu korrelieren und böse Dinge zu erkennen.

Klingt in der Theorie toll. Und in der Praxis? Die Hälfte der Anbieter verkauft veraltete Ungetüme, die in den frühen 2000er Jahren gebaut wurden und jetzt mit dem Zusatz „Cloud“ versehen sind. Kurzmeldung: Einen Haufen veralteter Technologie in die Cloud zu schieben, macht sie nicht Cloud-nativ. Die andere Hälfte sagt in jedem dritten Satz „KI“, kann aber ohne eine kleine Armee von Beratern nicht einmal die Logs Ihrer benutzerdefinierten App analysieren. 

Schritt zwei: Finden Sie Ihren echten Anwendungsfall heraus

Dies ist der wichtigste Teil und der Punkt, an dem 90 % der SIEM-Käufer scheitern. Fragen Sie sich selbst:

• Brauchen Sie Compliance (PCI, HIPAA, SOC 2)?
• Versuchen Sie, Bedrohungen in einer hybriden Umgebung zu erkennen?
• Haben Sie ein SOC, oder sind es nur Sie und reichlich Kaffee?
• Müssen Sie ein paar Logs durchsuchen oder Entitäten und Explosionsradien korrelieren?
  

Ihr Anwendungsfall bestimmt, ob Sie einen Log-Bucket mit vernünftiger Suche oder eine vollwertige Bedrohungserkennungsplattform brauchen. Wenn Sie nur versuchen, die PCI-Vorschriften einzuhalten, brauchen Sie keinen Ferrari, um zum Supermarkt zu fahren. Sie brauchen auch das richtige Tool für die Größe Ihres Teams.

Schritt drei: Tappen Sie nicht in die Falle der Alarmmüdigkeit

„Bedrohungserkennung in Echtzeit!“ schreit der Anbieter. Was er aber nicht erwähnt: Sie bekommen 500 Alerts pro Tag für Port-Scans und DNS-Abfragen von internen Druckern.

Sie wollen ein Signal, kein Rauschen. Suchen Sie nach integrierten Erkennungsinhalten, die tatsächlich funktionieren, und fragen Sie, ob Sie sie selbst einstellen können, ohne einen Doktortitel in Regex zu benötigen. Achten Sie auf eine einfache GUI-basierte Abstimmung und Regelerstellung. Auch wenn Sie kein Detection Engineer sind, sollten Sie verstehen, was Sie sehen. Wenn Sie es nicht sehen, sieht er es auch nicht.

Profi-Tipp: Fragen Sie nach Erkennungen für bestimmte Bedrohungen (wie Okta-Missbrauch, AWS-Schlüsseldiebstahl oder Seitwärtsbewegungen). Wenn der Anbieter blinzelt, ziehen Sie weiter.

Schritt vier: Prüfen Sie die Preise – und lesen Sie das Kleingedruckte

Die meisten SIEMs berechnen entweder nach GB/Tag, EPS oder einem scanbasierten System.

Folgendes müssen Sie tun:

• Berechnen Sie Ihr aktuelles Log-Volumen (einschließlich Cloud-Dienste)
• Rechnen Sie einen Wachstumspuffer von 30 % hinzu
• Überprüfen Sie, ob Sie Anwendungsfälle für andere Logs haben, die tatsächlich helfen können – und wenn ja, fügen Sie sie hinzu.
• Holen Sie sich ein schriftliches Angebot ein und überprüfen Sie dann die Zusatzgebühren. Fragen Sie nach, ob der Preis Speicher, Suche, Erkennung und Integrationen umfasst, denn einige Anbieter behandeln die „Basiskorrelation“ wie den Upsell eines Platin-Pakets 
• Fragen Sie, ob die Daten „hot“ oder „cold“ sind. 
• Fragen Sie, ob Sie Aufbewahrung, Partitionierung und Ingest steuern können. 
• Erkundigen Sie sich, welche Preisschutzkontrollen Sie einrichten können. 

Schritt fünf: Testen Sie mit Ihren Daten, nicht mit einer Sandbox

Demos sind großartig, aber sie sind ausgefeilte, kuratierte Fantasien. Sie wollen die hässlichen Dinge sehen – Ihre Kubernetes-Logs, Ihre Okta-Ereignisse, Ihre EDR-Warnungen.

Jeder anständige Anbieter sollte Ihnen einen Test oder POC mit Ihren echten Daten anbieten. Legen Sie ein Zeitfenster von 14–30 Tagen fest. Validieren Sie Folgendes:

• Kann Ihr Team Suchanfragen schreiben?
• Funktionieren die Erkennungen sofort?
• Ist das SIEM benutzbar, ohne dass Sie Ihr gesamtes Personal schulen müssen?
• Können Sie einfach Dashboards erstellen?
• Deckt dieses Tool auch andere Bereiche ab, in denen wir sparen können – SOAR, Observability, Infrastruktur?

Wenn Ihr Team die Software nicht mag, werden Sie im nächsten Jahr wieder hier landen und das Ganze wiederholen. Am besten erstellen Sie im Voraus eine Scorecard, damit Sie sich nicht von glänzenden Demos beeinflussen lassen müssen. Vergewissern Sie sich, dass Sie die Zeit haben, sie während des POV auch wirklich zu benutzen, sonst verschwenden Sie nur die Zeit aller Beteiligten.

Schritt sechs: Stellen Sie die Fragen, die niemand beantworten will

Hier sind ein paar gute Beispiele:

• Was passiert, wenn ich mein Lizenzlimit überschreite?
• Wie lange dauert das Onboarding normalerweise?
• Können wir es benutzen, ohne mehr Personal einzustellen?
• Was passiert, wenn wir es nicht mehr wollen?

Wenn die Antworten wie die eines wortkargen Politikers in einem Skandal klingen, sollten die Alarmglocken läuten.

Schritt sieben: Fallen Sie nicht auf den Hype herein

Worauf Sie achten müssen:

• Große Rabatte im Voraus = teure Verlängerungspreise. 
• KI, die angeblich alles in Ordnung bringt. Einen Agenten auf ein schlecht entwickeltes SIEM aufzusetzen, löst das Problem nicht.
• Unfähigkeit, unstrukturierte Daten in großem Umfang zu verarbeiten
• Wenn man behauptet, alles zu können, kann man nicht alles gut.

Abschließender Gedanke: Kaufen Sie nicht nur ein SIEM – kaufen Sie eine Partnerschaft

Die besten Anbieter geben Ihnen nicht einfach den Schlüssel in die Hand und hauen ab. Sie helfen Ihnen dabei, Warnmeldungen zu optimieren, Dashboards zu erstellen, neue Log-Quellen einzubinden und den Überblick zu behalten, wenn es um Compliance geht.

Wenn Sie zum ersten Mal ein SIEM kaufen, wollen Sie einen Anbieter, der sich wie eine Erweiterung Ihres Teams anfühlt – und nicht wie eine Blackbox mit einem Support-Portal. Wir bei Sumo Logic wollen dieser Anbieter sein.

Sehen Sie, wie Sumo Logic Cloud-SIEM in Aktion funktioniert.