Ergebnisse auf einen Blick
Herausforderung
Die Verwaltung der Infrastruktur vor Ort verlangsamte DXL. Das Unternehmen war auf der Suche nach einem Cloud-nativen SIEM, das seine wachsende Umgebung richtig handhaben konnte.
Als schlankes Team von fünf Analysten war das Sicherheitsteam von DXL mit der Wartung der früheren SIEM-Lösung LogRhythm vor Ort überfordert. Manuelle Produktaktualisierungen führten gelegentlich zu Systemausfällen, Speicherplatzbeschränkungen schränkten die Datenaufbewahrung ein, und die Behebung von Hardwareproblemen lastete auf ihren Schultern. Als das Unternehmen skalierte und modernere, Cloud-basierte Dienste einführte, konnten die vor Ort installierten Tools nicht mehr mithalten.
John Sacchetti, Director of Cybersecurity and Networking bei DXL, wusste, dass ein Cloud-natives SIEM notwendig war. Das Team benötigte ein SIEM, das mit ihm skalieren, fragmentierte Tools konsolidieren und es auf seinem Weg zu einem modernisierten, sicheren Betrieb unterstützen konnte.
Lösung
Auf der Suche nach einer neuen SIEM-Lösung wollte Sacchetti ein Tool, das die Zeit für die Log-Analyse drastisch verkürzt, dem Unternehmen hilft, schneller zu handeln, und sich nahtlos in das wachsende Ökosystem von Drittanbieter-Tools integrieren lässt. Nachdem er Google Security Operations, Splunk und andere SIEM-Plattformen geprüft hatte, fand er die Lösung in Sumo Logic Cloud-SIEM.
Nahtlose Integration von Drittanbietern in einer einzigen, zentralen Plattform
Angesichts der großen Anzahl an Tools von Drittanbietern und der laufenden Investitionen in neue Technologien hatte eine Plattform, die Daten aus verschiedenen Quellen integrieren und zentralisieren kann, oberste Priorität.
Sumo Logic zeichnete sich durch seine Fähigkeit aus, Logs von verschiedenen Plattformen einzuspeisen, zu korrelieren und zu analysieren. Sacchetti wollte sicherstellen, dass kritische Systeme, darunter das wichtigste Content Delivery Network (CDN), Akamai, sowie Authentifizierungs-Tools wie Azure AD, AWS und andere Plattformen, problemlos Daten in eine einzige Plattform zur Echtzeitüberwachung und Erkennung von Bedrohungen einspeisen können.
„Da wir unser Geschäft kontinuierlich verändern und neue Dienstleistungen für unsere Kunden hinzufügen, Website-Updates durchführen und verschiedene Integrationen zur Umsatzsteigerung vornehmen, sind wir mit der Power von Sumo Logic in unserem Werkzeugkasten zuversichtlich, dass wir Logs erfassen, berichten und durchsuchen können. Wir können auch Berichte aus allen diesen Drittanbieterdaten erstellen, unabhängig davon, ob sie derzeit von Sumo Logic unterstützt werden oder nicht, weil wir alles damit verarbeiten und die Daten normalisieren können“, bemerkt Sacchetti.
Vereinfachte PCI-Compliance mit integrierten Anwendungen
Eine der Anforderungen von DXL war eine Lösung, die die Einhaltung gesetzlicher Vorschriften erleichtert, ohne zusätzlichen Aufwand zu verursachen. Die integrierten PCI-Compliance-Anwendungen von Sumo Logic waren ein wichtiger Grund für die Wahl der Plattform. „Wir müssen die PCI-Compliance einhalten wie die großen Unternehmen, aber wir haben nicht die gleichen Ressourcen. Sumo Logic hilft uns, diese Lücke zu schließen.“
Mit sofort einsatzbereiten Dashboards, die Microsoft Windows-Logs, AWS-Logs, Firewall-Ereignisse und mehr abdecken, kann Sacchettis Team potenzielle Compliance-Probleme wie ungewöhnlichen ein- oder ausgehenden Datenverkehr oder unbefugten Serverzugriff ohne manuellen Aufwand erkennen.
Sofort einsatzbereite und benutzerdefinierte Dashboards
Bei der Evaluierung verschiedener SIEM-Lösungen legte Sacchetti Wert auf Benutzerfreundlichkeit und Flexibilität bei der Erstellung von Dashboards. Sie brauchten ein Tool, das sowohl vorgefertigte Dashboards als auch benutzerdefinierte Ansichten unterstützt, die auf ihre individuellen Bedürfnisse zugeschnitten sind, und Sumo Logic bot genau das. Wenn Führungskräfte nach bestimmten Daten fragen, können sie diese in Echtzeit abrufen, ohne zwischen verschiedenen Tools hin und her zu springen oder Informationen manuell zusammenzufügen.
Ganz gleich, ob jemand Logdaten von einer bestimmten Plattform oder eine Übersicht über die Sicherheitsmetriken benötigt – das Sicherheitsteam von DXL konnte schnell Berichte in einem leicht verständlichen Format erstellen und die Ergebnisse sogar an die Präferenzen und Prioritäten der Mitarbeiter anpassen.
Sacchetti schätzte, wie Sumo Logic alles, was sie ihm anvertrauten, problemlos verarbeitete: „Die Fähigkeit, dass Sumo Logic für uns die schwere Arbeit übernimmt, wie etwa das Erstellen von Dashboards und die Regeln für die Felddistribution, ist ein großer Gewinn für uns, da es unsere Arbeitslast verringert und es uns ermöglicht, Sicherheitsinformationen effektiver im Unternehmen zu kommunizieren.“
„Es gab bisher nichts, was ich Sumo Logic anvertraut habe, das es nicht hätte bewältigen können. Ganz gleich, wie einfach oder komplex der Technologiestack ist, es erfasst, normalisiert und berichtet die Daten genau so, wie wir es brauchen, und erleichtert uns damit die Arbeit erheblich. Und der Support, den wir dabei erhalten haben, gehört zu den besten, die ich je in einer Partnerschaft mit einem Produkt erlebt habe.“
– John Sacchetti, Director of Cybersecurity and Networking
Ergebnisse
Erkenntnisse in Echtzeit verkürzen die Log-Analyse von fünf Minuten auf Sekunden
Mit Sumo Logic verkürzt das Sicherheitsteam von DXL die Zeit, die es braucht, um wichtige Erkenntnisse für interne Teams und Stakeholder zu sammeln und bereitzustellen, erheblich. Da alles in Sumo Logic zentralisiert ist, können sie mit einem Fingerschnippen schnell Suchen durchführen, Berichte erstellen und Dashboards anpassen.
Logs, die fünf Minuten brauchten, um in den Visualisierungen ihrer SaaS-Plattformen zu erscheinen, werden jetzt sofort angezeigt. Anstatt sich mit Verzögerungen herumzuschlagen, kann das Team Probleme erkennen und in Sekundenschnelle reagieren – ein entscheidender Vorteil, wenn bei der Sicherheit jeder Moment zählt.
„Wir können einen Großteil der Analyse abkürzen“, so Sacchetti. „Da wir mit Sumo Logic eine zentrale, verlässliche Datenquelle haben, können wir Daten abrufen, Suchvorgänge speichern und sie leicht für verschiedene Anfragen anpassen, ohne jedes Mal von vorne anfangen zu müssen.“
Effiziente Logsuche und Korrelation
Mit ihrer vorherigen Einrichtung waren die Logsuche und -analyse zeitaufwändig. Sie mussten sich durch verschiedene Tools wühlen, um potenzielle Bedrohungen zu untersuchen, die sonst unbemerkt geblieben wären, aber mit Sumo Logic ist das jetzt ein Kinderspiel.
Sacchetti sagt: „Mit nur wenigen Klicks können wir erkennen, ob es versuchten Angriffstraffic gibt, wohin die Nutzer gehen oder wo sich der Traffic befindet.“ Wenn wir uns ansehen, wie viel Datenverkehr über unser CDN läuft, ist diese Korrelationsfunktion innerhalb der Logsuche enorm wichtig und wird von uns häufig genutzt.“
50 bis 100 Access-Denied-Fehler pro Minute erkannt und behoben
Die Logs for Security von Sumo Logic helfen dem Unternehmen, Fehlkonfigurationen zu erkennen und zu beheben, die möglicherweise unbemerkt geblieben wären und zu einem größeren Sicherheitsvorfall geführt hätten. Das Team entdeckte eine Fehlkonfiguration in den AWS CloudTrail-Logs, die 50 bis 100 Access-Denie–Fehler pro Minute erzeugte, was aufgrund der geringen Größe des Teams manuell schwer zu erkennen gewesen wäre.
Sacchetti kann mit der Lösung leicht ungewöhnliche Muster erkennen, denn „Sumo Logic fungiert für uns als Prüfer, um Fehlkonfigurationen und andere potenzielle Sicherheitsvorfälle zu finden.“
Abgesehen von Fehlern, bei denen der Zugriff verweigert wird, hilft die Fähigkeit, Schwankungen im Datenverkehr oder Fehlerspitzen zu erkennen, dem Team dabei, festzustellen, ob es sich um einen bösartigen Angriff oder einfach nur ein Setup-Problem handelt. Durch die frühzeitige Behebung von Problemen stärkt DXL nicht nur die Sicherheit, sondern vermeidet auch unnötige Cloud-Kosten, die durch ineffiziente Prozesse entstehen.
Schnellere Untersuchung von Bedrohungen mit kontextbezogener Suche und Integrationen
Sacchetti konzentriert sich auf die Erkennung potenzieller Bedrohungen durch die kontextbezogene Suche nach IP-Adressen, die sie mit Sumo Logic Cloud-SIEM durchführen. Mit integrierten Integrationen zu Diensten wie VirusTotal und AbuseIPDB können sie den Reputationswert verdächtiger IPs sofort bewerten.
Sie können schnellere Entscheidungen treffen, z. B. das Blockieren von bösartigem Datenverkehr, ohne manuell in mehreren Tools suchen zu müssen. Sacchetti hebt hervor, dass diese Funktion die Untersuchungen rationalisiert und über die API von Sumo Logic und ihre Firewall sogar weiter automatisiert werden könnte.
Vereinfachte Sicherheitsabläufe durch Tool-Konsolidierung
Vor Sumo Logic musste das Sicherheitsteam von DXL mit mehreren Tools jonglieren, um Logs zu korrelieren, Gruppenrichtlinienänderungen zu verfolgen und Benutzer- oder Gruppenänderungen sowohl in lokalen als auch in Cloud-Umgebungen zu überwachen.
Jetzt, wo alles in Sumo Logic zentralisiert ist, hat das Team eine einzige verlässliche Datenquelle für Sicherheitsanalysen und Untersuchungen.
Kontinuierliche Kundenbetreuung und Partnerschaft
Neben der Technologie selbst hebt Sacchetti den Kundensupport hervor, den sie von Sumo Logic erhalten haben, seit sie zum ersten Mal in die Lösung investiert haben. Sacchetti stellt fest, dass das Sumo Logic-Kundenerfolgsteam vom Onboarding bis zum täglichen Betrieb stets ansprechbar ist und in den Erfolg von DXL investiert.
Sowohl erfahrene als auch neuere Teammitglieder erhalten kostenlose Tools, um innerhalb von Sumo Logic zu lernen und zu wachsen, wie z. B. das Sumo Logic-Zertifizierungsprogramm und monatliche Brown-Bag-Sessions, die dem Team helfen, das Produkt besser kennenzulernen.
Sacchetti betont: „Es gab bisher nichts, was ich Sumo Logic anvertraut habe, das es nicht hätte bewältigen können. Ganz gleich, wie einfach oder komplex der Technologiestack ist, es erfasst, normalisiert und berichtet die Daten genau so, wie wir es brauchen, und erleichtert uns damit die Arbeit erheblich. Und der Support, den wir dabei erhalten haben, gehört zu den besten, die ich je in einer Partnerschaft mit einem Produkt erlebt habe.“
