Ergebnisse auf einen Blick
Herausforderung
Kobalt.io hatte den Bedarf, sein SIEM zu modernisieren und die Sicherheitstools zu konsolidieren.
Kobalt.io betrieb zwei SIEMs und hatte die üblichen SOC-Probleme – ausufernde Tools, Warnmeldungsüberflutung, schlechte Skalierbarkeit und hohe Wartungskosten. Da die Erneuerung der Verträge mit Splunk und Sentinel kurz bevorstand, war es an der Zeit, die Möglichkeiten zur Verbesserung der Abläufe neu zu bewerten.
Chris Spindler, SOC-Manager von Kobalt.io, sagte dazu: „Wir mussten uns um die Pflege und Einspeisung zweier SIEMs der letzten Generation kümmern, wobei unsere Ausgaben höher waren, als sie für das, was wir lieferten, hätten sein müssen.“
Spindlers 14-köpfiges Team war mit dem Warnmeldungsaufkommen und der Wartung zweier SIEMs so überfordert, dass er die Einstellung zweier zusätzlicher Analysten in Betracht zog. „Unsere Systeme verbrauchten Ressourcen und wir waren nicht in der Lage, gut zu skalieren“, fügt Spindler hinzu.
Lösung
Auf der Suche nach einer höheren Zuverlässigkeit der Warnmeldungen, Cloud-nativen Funktionen und transparenten Preisen evaluierte Kobalt.io ein halbes Dutzend SIEM-Lösungen, darunter IBM® QRadar®, LogRhythm, AlienVault und Sumo Logic.
Nach einer zweiwöchigen Testphase hat sich Kobalt.io aus den folgenden Gründen eindeutig für Sumo Logic entschieden:
Benutzerfreundlichkeit
Dank des intuitiven Designs von Sumo Logic konnte Kobalt.io bereits innerhalb weniger Stunden mit der Testversion der Sumo Logic-Plattform arbeiten und Quellen einbinden sowie Warnmeldungen verarbeiten.
Internationale Datenresidenz
Sumo Logic ermöglicht es Kobalt.io zudem, seine internationalen Kunden zu bedienen, die den Anforderungen an die Datenresidenz unterliegen, indem es Daten in ihren jeweiligen Regionen hostet.
Umfassende Integrationen
Sumo Logic lässt sich mit Hunderten von Datenquellen integrieren, darunter Azure, Google Cloud Platform, AWS, Kubernetes und Docker, um optimale Arbeitsabläufe sowie eine einfache Kundenakzeptanz zu gewährleisten.
Mandantenfähige SIEM-Instanzen
Die mandantenfähige SIEM-Software von Sumo Logic ermöglicht es Kunden von Kobalt.io, ihre Konten zu konfigurieren und anzupassen. Kundendaten werden pro Organisation gekennzeichnet, um sie getrennt und sicher zu halten, was während des gesamten Lebenszyklus der Daten bestehen bleibt und auf jeder Systemebene durchgesetzt wird.
Umsetzbare Erkenntnisse
Das Cloud SIEM von Sumo Logic kombiniert Ereignisverwaltung mit automatischer Anreicherung und kontextbezogenem Wissen, das über ein interaktives Heads-up-Display verfügbar ist, um Fehlalarme zu reduzieren und nebensächliche Informationen aus den tatsächlichen Anzeichen für eine Gefährdung herauszufiltern.
Transparente Preisgestaltung
Das Preismodell von Sumo Logic bedeutet, dass Kobalt.io sich nicht aussuchen muss, welche Datenquellen analysiert werden. So erhält das SOC-Team die notwendigen Informationen, wenn es sie braucht, um schnelle und effektive Sicherheitsuntersuchungen durchzuführen und eine angemessene Reaktion einzuleiten.
„Die Partnerschaft mit Sumo Logic war eine naheliegende Entscheidung. Ein System aus Signalen, Erkenntnissen und Verhaltensalgorithmen zu haben, stellt sicher, dass sich unser kleines Team auf die richtigen Dinge konzentriert.“
– Chris Spindler, SOC-Manager
Ergebnisse
Von 6.000 monatlichen Benachrichtigungen auf 600
Die Cloud SIEM-Lösung von Sumo Logic bietet eine regelbasierte Korrelation für bekannte Bedrohungen sowie eine Subquery-basierte Korrelation für neu auftretende Bedrohungen. Mit der verbesserten Alarmtreue von Sumo Logic kann sich das Kobalt.io-Team auf tatsächliche potenzielle Sicherheitsbedrohungen konzentrieren, anstatt sich von einer Flut von unwichtigen Benutzeraktivitätswarnungen aufhalten zu lassen.
Spindler erklärt: „Bei Sumo Logic beginnen wir mit Untersuchungstools, die in die primäre SIEM-Konsole integriert sind. Diess bedeutet, dass Sie nicht 15 verschiedene Browser-Tabs öffnen müssen, um zu Orten wie WHOIS und VirusTotal sowie all dem Rest zu gelangen, sondern dies mit einem Klick direkt aus der Oberfläche heraus tun können.“
Kobalt.io hat die Zahl der monatlichen Benachrichtigungen von 6.000 auf 600 reduziert und sichergestellt, dass sich die Analysten auf das Wesentliche konzentrieren.
„Unsere Analysten sind unsere wertvollste Ressource. Einfache Warnmeldungen geben Ihnen weder zusammenhängende Informationen noch einen Schwerpunkt für die Ermittlungen. Sumo Logic stellt sicher, dass wir die Zeit unserer Analysten dort einsetzen, wo sie am wichtigsten ist”, erklärt Spindler.
Bessere Benachrichtigungen haben es Kobalt.io überdies ermöglicht, mit weniger mehr zu erreichen. Vor der Implementierung von Sumo Logic wäre Kobalt.io gezwungen gewesen, zwei weitere Sicherheitsanalysten einzustellen, um das überwältigende Warnmeldungsvolumen zu bewältigen. Seit er Sumo Logic einsetzt, konnte Spindler sein Team auf ein Dutzend Mitarbeiter beschränken. Weiterhin sagte er: „Die Partnerschaft mit Sumo Logic war eine logische Konsequenz. Ein System aus Signalen, Erkenntnissen und Verhaltensalgorithmen stellt sicher, dass sich unser kleines Team auf die richtigen Dinge konzentriert.“
Tagelanger Aufwand für die Kundeneinsatzbereitschaft reduziert auf 15 Minuten
Das Hauptanliegen von Kobalt.io war die Migration seiner Kunden auf eine neue Lösung. Mit Sumo Logic konnten 25 Kunden innerhalb von 20 Tagen migriert werden, ohne direkten Zugang zu den vom Unternehmen überwachten Umgebungen. Die Migration zu Sumo Logic war für Spindler so einfach, dass er Analysten der zweiten Ebene mit der Unterstützung der Kunden beauftragen und dadurch die Arbeitslast verteilen konnte. Seit der Umstellung kann Kobalt.io neue Kunden in nur 15 Minuten einrichten.
Spindler beschreibt: „Sumo Logic ist mit den vorherrschenden Produkten auf dem Markt kompatibel, daher wird für die Systeme unserer Kunden eine gute Unterstützung geboten. Die Migration von Kunden war für uns einfach, weil wir die Aufgaben auf das gesamte Team verteilen konnten, anstatt eine Person mit der Einrichtung zu betrauen.“
Dank der einfachen Bereitstellung und der Unterstützung für Hunderte von Drittanbietertechnologien konnte Kobalt.io schneller wachsen als je zuvor. Wir haben unseren Kundenstamm verdoppelt, seit wir Sumo Logic zum ersten Mal eingesetzt haben“, sagte Spindler.
Profitabel innerhalb von sechs Monaten
Bei den ursprünglichen SIEM-Lösungen von Kobalt.io gab es versteckte Kosten, die über die Kosten für die Tools und die Lizenzierung hinausgingen. Spindler sagte dazu: „Splunk beispielsweise basiert auf leistungsstarken Forwardern, einem Server oder einer virtuellen Serverinstanz, und diese sind mit monatlichen Kosten verbunden. Mit Microsoft Sentinel müssen logische Anwendungen und Funktionen sowie Gebühren für das Datenvolumen bezahlt und abgerechnet werden, und man benötigt die Infrastruktur, um all dies zu verwalten.“ Bei Sumo Logic hingegen fallen keine dieser zusätzlichen Kosten an.
Das flexible Preismodell von Sumo Logic bedeutet auch erhebliche Kosteneinsparungen für Kobalt.io. „Der Vorteil von Sumo Logic liegt für uns darin, dass wir auch dann, wenn ein Kunde mit einem kleinen Datenvolumen oder einer einzigen Quelle zu uns kommt, die wir überwachen sollen, dies tun können. Wir müssen nicht sagen: „Nein, tut mir leid, Sie müssen uns ein halbes Terabyte pro Tag geben, sonst können wir Ihnen keine Dateneinspeisungsrate anbieten, die Sie sich leisten können.“
Laut Spindler bedeutet das Preismodell von Sumo Logic, dass Kobalt.io einen umfassenden Überwachungsdienst für weniger als die Kosten für die Einstellung eines Sicherheitsspezialisten auf Einstiegsebene anbieten kann.
Innerhalb von vier Monaten hatte sich Sumo Logic Cloud SIEM bezahlt gemacht. Nachdem Kobalt.io Splunk und Microsoft Sentinel abgesetzt hatte, war das Unternehmen innerhalb von sechs Monaten nach der Einführung von Sumo Logic profitabel.
