Wenn wir über aufkommende Technologien und Digitalisierung sprechen, vergessen wir oft Folgendes: Während Innovatoren daran arbeiten, die besten Sicherheitstools auf den Markt zu bringen, arbeiten bösartige Akteure gleichzeitig daran, Schlupflöcher und Schwachstellen in diesen neuen Systemen zu finden. Vorbei sind die Zeiten, in denen Cyberangriffe ein seltenes Ereignis waren – jetzt passieren sie nahezu täglich.
Da Angriffe immer raffinierter und praktisch unvermeidlich werden, bereiten sich CISOs eher auf ein „wann es passiert“- als auf ein „ob es passiert”-Szenario vor. Die meisten Unternehmen investieren in ein Security Operations Center (SOC), das bei der Erkennung, Verwaltung und Eindämmung von Sicherheitsvorfällen hilft, um die Auswirkungen eines Angriffs auf das Unternehmen zu verringern.
Und genauso wie Standups sich von einem Ritual nur für Entwickler zu einer Praxis entwickelt haben, die in vielen Teams zur besseren Ausrichtung genutzt wird, werden SOCs zu zentralen Anlaufstellen, die Menschen und Prozesse zusammenbringen, um den Einfluss von Angriffen zu verringern, falls es doch dazu kommt.
Die Entwicklung von Unternehmens-SOCs und SIEM-Technologie
Unternehmens-SOCs werden aufgrund der zunehmenden Digitalisierung und Vernetzung zu einem wichtigen Bestandteil der Managementabteilungen der meisten Unternehmen. SOCs spielen eine wichtige Rolle bei der Überwachung, Verwaltung und Reaktion auf Sicherheitswarnungen im Tagesgeschäft eines Unternehmens.
Da Cyberangriffe immer ausgeklügelter werden, haben sich auch die Anforderungen an SOCs geändert. Diese müssen mit steigenden Datenvolumen, komplexeren Sicherheits-Tool-Ökosystemen und einer größeren Anzahl an Datenquellen und Angriffspfaden umgehen. Um effizient zu bleiben, müssen SOCs über das bloße Log-Management und die Datenanalyse hinausgehen und Automatisierung, Big Data sowie KI zur intelligenten Entscheidungsunterstützung einsetzen, um die Sichtbarkeit ihrer Produkte durch Observability zu erhöhen.
Obwohl der Bedarf an Echtzeitsicherheit für SOCs steigt, kämpfen die meisten Unternehmen noch immer mit Ineffizienzen. Einige werden durch veraltete Tools für das Sicherheitsinformations- und Ereignis-Management (SIEM) behindert, die keine aussagekräftigen Erkenntnisse liefern oder Cloud-Dienste nicht verarbeiten können. Viele greifen daher auf ein SIEM für die Überwachung ihrer Cloud-Umgebung und ein anderes für alles andere zurück, was zu einer großen Blindstelle führt. Die meisten SOCs sehen sich mit verschiedenen operativen und technischen Herausforderungen konfrontiert, die durch den Einsatz eines umfassenden, modernen SIEM-Tools gelöst werden müssen, das den Einblick in ihre täglichen Sicherheitsabläufe verbessert.
Sumo Logic Cloud-SIEM bietet Sicherheitsanalysten einen verbesserten Einblick in das gesamte Unternehmen, um den Umfang und den Kontext eines Angriffs genau erfassen zu können. Mit optimierten Workflows und automatisch zugeordneten Alerts können Sicherheitsanalysten ihre Effizienz und Konzentration maximieren.
Häufige operative Herausforderungen für SOCs
Mit den technologischen Fortschritten bei der Cloud-Migration, der digitalen Transformation, den IoT-Technologien und der Cybersicherheit haben die meisten SOCs Mühe, mit den neuen Technologien Schritt zu halten. Dies führt zu einem Engpass in den SOC-Teams und hindert sie daran, die gesamte Sicherheitslage ihres Unternehmens zu überblicken. Hier sind die vier Herausforderungen, mit denen SOCs täglich konfrontiert sind:
1. Alarmmüdigkeit
Laut dem Sumo Logic 2025 Security Operations Insights Report kämpfen über 70 % der Sicherheitsverantwortlichen mit Alarmmüdigkeit und Fehlalarmen – viele erhalten täglich über 10.000 Sicherheitswarnungen.
Für viele SOC-Analysten bedeutet das stundenlanges Durchkämmen von Logs und Überprüfen von Meldungen über Sicherheitsereignisse, von denen viele ins Leere laufen. Erschwerend kommt hinzu, dass zu viele Einzellösungen entwickelt werden, die zwar Prävention versprechen, aber wenig zur Verbesserung der alltäglichen Effizienz beitragen. Das Lösen von Hunderten von Sicherheitsvorfällen, von denen die meisten wiederkehrend und von geringer Bedeutung sein könnten, ist mühsam, demotivierend und stressig.
Dem Bericht zufolge treibt die Alarmmüdigkeit die Käufer zu Plattformen, die sich wie KI-Co-Analysten und nicht wie bloße Protokollsammler verhalten. Sicherheitsteams wollen eine Sicherheitslösung mit besserer Bedrohungserkennung, Mustererkennung und Anomalieerkennung, ohne damit überfordert zu sein.
2. Der Fehlalarm-Effekt
Nicht nur die Vielzahl der Alarme ist eine Herausforderung für SOCs, sondern auch die Tatsache, dass die meisten dieser Alarme falsch positiv sind, was SOC-Analysten desensibilisiert und Stress verursacht.
Viele Unternehmen verbringen den größten Teil ihrer Zeit damit, sich mit Falschmeldungen herumzuschlagen, anstatt die tatsächlichen Alarme zu lösen. Sicherheitsanalysten sollten diese Tendenz erkennen und schnell beurteilen, ob ein Alarm richtig oder falsch ist. Dann können sie den Alarm an die zuständigen Stellen eskalieren, indem sie ihn einordnen. Das ist es, womit die meisten Unternehmen heute zu kämpfen haben – zwischen echten und falschen Alarmen zu unterscheiden und sich dann um die richtigen Alarme zu kümmern.
3. Personalmangel
Derzeit mangelt es an Personal, Fähigkeiten und Wissen. Personalmangel ist die größte Hürde in der Cybersicherheitsbranche, weil es einfach nicht genug qualifizierte Talente gibt. Und mit der Cloud-Migration ist es noch schwieriger, Kandidaten mit diesen speziellen Fähigkeiten zu finden.
Wenn Unternehmen nicht schnell genug neue Mitarbeiter einstellen können, um Lücken in der Sicherheitskompetenz zu schließen, fällt die Last auf die vorhandenen SOC-Mitarbeiter. Ohne das Fachwissen, um Überwachungs- und Verwaltungstools vollständig zu nutzen, reagieren die Teams langsamer und weniger effektiv. Wenn Sicherheitslösungen nicht intuitiv oder anpassungsfähig sind, werden selbst erfahrene Analysten ausgebremst.
Wissensdefizite gehen Hand in Hand mit Qualifikationsdefiziten. Zu wenig Wissen erhöht die Wahrscheinlichkeit, dass Mitarbeiter Probleme nicht erkennen und somit nicht auf tatsächliche Cyberangriffe reagieren können.
4. Mangel an festgelegten Benchmarks für SOC-KPIs
Die Bedrohungslandschaft entwickelt sich ständig weiter. Daher ist es für Ihr Sicherheitsteam von entscheidender Bedeutung, SOC-KPIs zu implementieren, um seine Abläufe im Laufe der Zeit zu verbessern. Die Herausforderung dabei ist, dass diese sehr subjektiv sind und es keine festen Maßstäbe für SOC KPIs gibt.
Die Prioritäten jedes Unternehmens sind zwar unterschiedlich, aber hier sind einige zentrale KPIs, mit denen Sie beginnen sollten, um einen möglichst klaren Überblick über den SOC-Reifegrad und die Abstimmung auf die Geschäftsstrategie zu erhalten:
- Erkennung und Reaktion: MTTD, MTTR, Verweilzeit und Erkennungsumfang.
- Qualität der Alarme: Richtig vs. Falsch-Positiv-Rate, Signal-Rausch-Verhältnis und Analysten-Nutzungsrate.
- Arbeitsablauf und Automatisierung: Automatisierungsraten und Fallabschlussraten.
- Abstimmung auf Geschäftsstrategie: Kosten pro Vorfall, um die SOC-Effizienz an den ROI zu knüpfen.
Verwendung von Sumo Logic Cloud-SIEM für tägliche Standups
In unserem Kundenstamm verarbeitet Sumo Logic Cloud-SIEM täglich über 1,1 Milliarden Ereignisse aus dem Unternehmensbetrieb und filtert sie auf der Dispositionsebene auf etwa 10.000 Alarme herunter, wo eine kontextbezogene Validierung, False-Positive-Tuning und Eskalation stattfinden.
Anschließend wendet es grundlegende Regeln und fortgeschrittene Korrelationstechniken an, um die Warnmeldungen auf etwa zehn verwertbare Meldungen zu reduzieren. Auch wenn sich dadurch das Alarmvolumen verringert, benötigen die Teams dennoch detaillierte Berichte über Vorfälle, um die Effizienz zu messen und KPIs zu verfolgen. Cloud-SIEM löst diese Herausforderung mit SOC-Dashboards, die die Berichterstattung und Transparenz vereinfachen.
SOC-Standup-Übersicht
Sumo Logic bietet eine einzige Übersicht, die alle wichtigen Bedrohungskorrelationen, Trends und Alarmaufschlüsselungen in einer einzigen Ansicht erfasst. Jeder Eintrag bietet Einblick in einen Anwendungsfall der Threat Detection auf Unternehmensebene und bietet:
- Wabenförmige Ansicht: Führt die Korrelationen, die Alarmansicht und die entsprechende Alarmaufschlüsselung pro Tag in einer Ansicht zusammen.
- Trendanalyse: Alarme in stündlichen Zeitfenstern verfolgen und mit farbcodierten Basislinien kennnzeichnen.
Bevor Sie sich entscheiden, ein SOC-Dashboard wie dieses zu erstellen, müssen Sie Ihre Sicherheitsinfrastruktur, die Quelle und die Art Ihrer Logik sowie die Funktionen, die Ihrem Unternehmen helfen, seine spezifischen Sicherheitsziele zu erreichen, evaluieren.
Sumo Logic Dashboard-Aufschlüsselung
Sumo Logic bietet nicht nur eine Vogelperspektive auf alle Korrelationen, sondern auch eine Aufschlüsselung nach Alarmzusammenfassung, Vorfallzusammenfassung und SOC-KPIs.
Diese sind zur besseren Lesbarkeit und Verarbeitung in separate Bereiche unterteilt. Alle Dashboards basieren auf Korrelationen, die von unserer SIEM-Software generiert werden, und berücksichtigen auch den verantwortlichen Analysten sowie die Reaktionen zur Verfolgung von KPIs.
SOC-Dashboard: Alert Summary
Dieser Bereich des SIEM-Dashboards überwacht Alerts und bietet eine zusammengefasste Version von Alerts und Verhaltensweisen. Es zeigt Zusammenfassungen der Alerts in vier Teilen an: Trends und Verhalten der Alerts, Wiederholungstäter, MITRE ATT&CK-Mapping und geografische Standortinformationen.
SOC-Dashboard: Incident Summary
Hier werden die gesamten Insights sowohl der geordneten als auch der priorisierten Alerts für die Untersuchung angezeigt, einschließlich der systemgenerierten Insights (die standardmäßig von Signalcluster-Algorithmen angepasst werden), der benutzergenerierten Insights (die manuell von einem Analysten aus Alerts eskaliert werden) und der Insight-Details (die aus einer Zusammenfassung der in Cloud-SIEM generierten Insights bestehen).
SOC-Dashboard: SOC KPIs
Dieser Bereich verfolgt die durchschnittliche Zeit bis zur Erkennung, die durchschnittliche Zeit bis zur Reaktion und die durchschnittliche Zeit bis zur Behebung von Insight-Abschlüssen. Er überwacht, wie die einzelnen Analysten Insights abschließen und welche Art von Lösung erforderlich ist. Außerdem wird die Art der Lösung gezählt, so dass gutartige Alerts, tatsächliche Vorfälle und Fehlalarme auf dem Dashboard sichtbar werden.
Fazit
Bei Sumo Logic verwenden wir Cloud-SIEM-Dashboards in unseren eigenen täglichen Standups, was unsere Effizienz, Zusammenarbeit und Konzentration auf die wichtigen Metriken erheblich verbessert hat.
Sehen Sie Cloud-SIEM in Aktion. Buchen Sie eine Demo.
