Ergebnisse auf einen Blick
Herausforderung
Kobalt.io hatte den Bedarf, sein SIEM zu modernisieren und Sicherheitstools zu konsolidieren.
„Konfrontiert mit dem Parallelbetrieb zweier SIEM-Systeme, litt Kobalt.io unter den typischen Herausforderungen eines SOC: Tool-Wildwuchs, Alarm-Müdigkeit, mangelnde Skalierbarkeit und hohe Wartungskosten. Da die Vertragsverlängerungen für Splunk und Sentinel kurz bevorstanden, war es an der Zeit, die operativen Abläufe grundlegend zu überdenken.
SOC-Manager Chris Spindler von Kobalt.io, stellt fest: „Wir mussten uns um die ständige Pflege und Wartung zweier SIEM-Systeme der letzten Generation kümmern, wobei unsere Ausgaben deutlich höher waren, als es für die erbrachte Leistung angemessen gewesen wäre.“
Spindlers 14-köpfiges Team war mit dem Alert-Aufkommen und der Wartung zweier SIEMs so überfordert, dass er die Einstellung zweier zusätzlicher Analysten in Betracht zog. „Unsere Systeme verbrauchten Ressourcen und wir waren nicht in der Lage, gut zu skalieren“, fügt Spindler hinzu.
Lösung
Auf der Suche nach zuverlässigeren Alerts, Cloud-nativen Funktionen und transparenten Preisen evaluierte Kobalt.io ein halbes Dutzend SIEM-Lösungen, darunter IBM® QRadar®, LogRhythm, AlienVault und Sumo Logic.
Nach einer zweiwöchigen Testphase hat sich Kobalt.io aus den folgenden Gründen klar für Sumo Logic entschieden:
Benutzerfreundlichkeit
Dank des intuitiven Designs von Sumo Logic konnte Kobalt.io bereits innerhalb weniger Stunden mit der Testversion der Sumo Logic-Plattform arbeiten und Quellen einbinden sowie Alerts verarbeiten.
Internationale Datenresidenz
Sumo Logic ermöglicht es Kobalt.io zudem, seine internationalen Kunden zu bedienen, die den Anforderungen an die Datenresidenz unterliegen, indem es Daten in ihren jeweiligen Regionen hostet.
Umfassende Integrationen
Sumo Logic lässt sich mit Hunderten von Datenquellen integrieren, darunter Azure, Google Cloud Platform, AWS, Kubernetes und Docker, um optimale Arbeitsabläufe sowie eine einfache Kundenakzeptanz zu gewährleisten.
Multi-Tenant-SIEM-Instanzen
Die mandantenfähige SIEM-Software von Sumo Logic ermöglicht den Kunden von Kobalt.io die Konfiguration und Anpassung ihrer Konten. Die Kundendaten werden pro Unternehmen gekennzeichnet, um sie getrennt und sicher zu halten. Diese Kennzeichnung bleibt während des gesamten Lebenszyklus der Daten bestehen und wird auf jeder Systemebene durchgesetzt.
Umsetzbare Erkenntnisse
Das Cloud-SIEM von Sumo Logic kombiniert Ereignisverwaltung mit automatischer Anreicherung und kontextbezogenem Wissen, das über ein interaktives Heads-up-Display verfügbar ist, um Fehlalarme zu reduzieren und nebensächliche Informationen aus den tatsächlichen Anzeichen für eine Gefährdung herauszufiltern.
Transparente Preisgestaltung
Das Preismodell von Sumo Logic bedeutet, dass Kobalt.io sich nicht aussuchen muss, welche Datenquellen analysiert werden. So erhält das SOC-Team die notwendigen Informationen, wenn es sie braucht, um schnelle und effektive Sicherheitsuntersuchungen durchzuführen und eine angemessene Reaktion einzuleiten.
„Die Partnerschaft mit Sumo Logic war eine naheliegende Entscheidung. Ein System aus Signalen, Erkenntnissen und Verhaltensalgorithmen sorgt dafür, dass sich unser kleines Team auf die richtigen Dinge konzentriert.“
– Chris Spindler, SOC-Manager
Ergebnisse
Von 6.000 monatlichen Benachrichtigungen auf 600
Die Cloud-SIEM-Lösung von Sumo Logic bietet Korrelationen auf Cloud-Niveau – basierend auf Regeln für bekannte Bedrohungen sowie subquery-basierten Analysen für neu aufkommende Gefahren. Dank der verbesserten Alarm-Präzision von Sumo Logic kann sich das Team von Kobalt.io auf tatsächliche Sicherheitsrisiken konzentrieren, anstatt von einer Flut belangloser Meldungen über Benutzeraktivitäten aufgehalten zu werden.
Spindler erklärt: „Bei Sumo Logic sind die Untersuchungstools direkt in die SIEM-Konsole integriert. Das bedeutet, dass man nicht mehr 15 verschiedene Browser-Tabs für Dienste wie WHOIS oder VirusTotal öffnen muss, sondern all das mit einem einzigen Klick direkt aus der Benutzeroberfläche erledigen kann.“
Durch die Reduzierung von 6.000 auf nur noch 600 Alarme pro Monat konnte Kobalt.io die Alarmmüdigkeit drastisch senken und sicherstellen, dass sich die Analysten auf das Wesentliche konzentrieren.
„Unsere Analysten sind unsere wertvollste Ressource. Einfache Alerts erzählen keine Geschichte und bieten keinen Fokus für eine Untersuchung. Sumo Logic stellt sicher, dass wir die Zeit unserer Experten dort investieren, wo sie am wichtigsten ist“, so Spindler.
Bessere Alarmierungen haben es Kobalt.io zudem ermöglicht, mit weniger Ressourcen mehr zu erreichen. Vor der Implementierung von Sumo Logic wäre das Unternehmen gezwungen gewesen, zwei zusätzliche Sicherheitsanalysten einzustellen, um das überwältigende Alarmvolumen zu bewältigen. Seit dem Einsatz von Sumo Logic konnte Spindler die Teamgröße bei zwölf Personen stabilisieren. Er fügt hinzu: „Die Partnerschaft mit Sumo Logic war eine absolut logische Entscheidung. Ein System aus Signalen, Insights und Verhaltensalgorithmen stellt sicher, dass sich unser kleines Team auf die richtigen Dinge konzentriert.“
Das Kunden-Onboarding, das früher Tage dauerte, ist nun in nur 15 Minuten erledigt.
Die größte Sorge von Kobalt.io war die Migration seiner Kunden auf eine neue Lösung. Mit Sumo Logic migrierte das Unternehmen 25 Kunden in 20 Tagen, ohne direkten Zugang zu den Umgebungen, die es überwachte. Die Migration zu Sumo Logic war so einfach, dass Spindler Analysten der zweiten Ebene zur Unterstützung der Kunden abstellen konnte, um die Arbeitslast zu verteilen. Seit der Migration kann Kobalt.io neue Kunden in nur 15 Minuten einrichten.
Spindler beschreibt es so: „Sumo Logic ist mit den marktgängigen Produkten kompatibel, sodass die Lösungen unserer Kunden hervorragend unterstützt werden. Die Migration der Kunden war für uns sehr einfach: Anstatt eine Person ausschließlich für das Onboarding abzustellen, konnten wir die Aufgaben auf das gesamte Team verteilen.“
Die einfache Implementierung und die Unterstützung für Hunderte von Drittanbietertechnologien haben Kobalt.io ein schnelleres Wachstum als je zuvor ermöglicht. „Wir haben unseren Kundenstamm verdoppelt, seit wir Sumo Logic zum ersten Mal eingesetzt haben“, so Spindler.
Profitabel innerhalb von sechs Monaten
Es gab versteckte Kosten bei den ursprünglichen SIEM-Lösungen von Kobalt.io, die weit über die reinen Tool- und Lizenzgebühren hinausgingen. Spindler erläutert: „Splunk beispielsweise setzt auf Heavy Forwarder – also Server- oder virtuelle Serverinstanzen –, für die monatliche Kosten anfallen. Bei Microsoft Sentinel müssen Logic Apps, Funktionen und Datenvolumengebühren bezahlt und einkalkuliert werden; zudem benötigt man die Infrastruktur, um all das zu verwalten.“ Im Gegensatz dazu fallen bei Sumo Logic keine dieser zusätzlichen Gebühren an.
Das flexible Preismodell von Sumo Logic bedeutet für Kobalt.io zudem erhebliche Kosteneinsparungen. „Der Vorteil von Sumo Logic für uns ist: Wenn ein Kunde mit einem geringen Datenvolumen oder nur einer einzigen Quelle zu uns kommt, die wir überwachen sollen, dann können wir das tun. Wir müssen nicht sagen: ‚Tut mir leid, Sie müssen uns mindestens ein halbes Terabyte pro Tag liefern, sonst können wir Ihnen keine erschwingliche Daten-Ingestion-Rate anbieten.‘“
Laut Spindler bedeutet das Preismodell von Sumo Logic, dass Kobalt.io einen umfassenden Überwachungsdienst für weniger als die Kosten für die Einstellung eines Sicherheitsspezialisten auf Einstiegsebene anbieten kann.
Innerhalb von vier Monaten hatte sich Sumo Logic Cloud-SIEM bezahlt gemacht. Nachdem Kobalt.io Splunk und Microsoft Sentinel abgesetzt hatte, war das Unternehmen innerhalb von sechs Monaten nach der Einführung von Sumo Logic profitabel.
