Ergebnisse auf einen Blick
Herausforderung
Bei der Einführung einer SIEM-Lösung musste Roku Alarmmüdigkeit vermeiden und flexibel bleiben, um echte Probleme schnell zu lösen.
Die Aufrechterhaltung einer starken Sicherheitsposition ist für Roku von entscheidender Bedeutung. „Unser Sicherheitsteam arbeitet Tag und Nacht, um die Infrastruktur zu schützen und unseren Kunden einen zuverlässigen Service zu bieten. Unsere Kunden und ihr Vertrauen sind wichtig für uns“, erklärt Hüseyin Karaarslan, Sr. Security Engineer bei Roku.
Als wichtigen Teil dieser Strategie wollte Roku eine SIEM-Lösung einführen, um ein laufendes Bild der Cybersicherheitslage und Unternehmensumgebung zu erhalten.
Lösung
Für sein Cyber-Lagebewusstsein benötigte Roku schnelle und genaue Einblicke in seine Umgebung, um zu verstehen, was vor sich geht, und um sicherzustellen, dass aktive Responder schnelle und korrekte Entscheidungen treffen können. Dies erfordert eine Investition in die Datenerfassung und -analyse, um ein kontinuierliches Bild der Roku-Infrastruktur zu erhalten, und daher hat sich Roku für Sumo Logic Cloud-SIEM entschieden.
„Die vordefinierten Regeln von Cloud-SIEM sind leistungsstark. Die Anpassung an unser Unternehmen und unsere Infrastruktur half uns, uns mit dem Tool vertraut zu machen, den Nutzen unserer Investition unter Beweis zu stellen und die Plattform zu optimieren, damit wir uns auf die echten Alarme konzentrieren können, die unsere Aufmerksamkeit erfordern.“
– Huseyin Karaarslan, Sr. Security Engineer
Ergebnisse
Optimiertes Lagebewusstsein mit Regelabstimmung
Mit Cloud-SIEM, das nativ in der Cloud entwickelt wurde, können Sie schnell und einfach tiefe Sicherheitseinblicke mit vorgefertigten Anwendungen wie Dashboards, Abfragen und Regeln gewinnen. Mit mehr als 700 Regeln, die jeweils einer Taktik und Technik des MITRE ATT&CK-Frameworks zugeordnet sind, hatte das Sicherheitsteam von Roku einen guten Ausgangspunkt für die Gewinnung von Sicherheitserkenntnissen.
In einem ersten Schritt begann das Team mit der Abstimmung der Cloud-SIEM-Regeln. „Die Regeln von Cloud-SIEM sind leistungsstark, und wir wollten sie speziell auf unser Unternehmen und unsere Infrastruktur abstimmen. Die Abstimmung war wichtig, um uns mit dem Tool vertraut zu machen, den Wert unserer Investition unter Beweis zu stellen und die Plattform zu optimieren, damit wir uns auf die echten Alarme konzentrieren können, die unsere Aufmerksamkeit erfordern.“
Der Abstimmungsprozess des Sicherheitsteams war äußerst effizient und begann mit der Verwendung der Sumo Logic-Plattform zum Schreiben von Abfragen, um die Regeln zu identifizieren, die das höchste Volumen an Alerts verursachten. Daraufhin erstellte Karaarslan Dashboards für die Regeln, um die Abfrageergebnisse besser auswerten zu können. „Da wir mit mehr als tausend Alerts arbeiteten, konnten wir mit den Dashboards für die Regelanalyse detailliert erkennen, was in unserer Umgebung vor sich ging, und Muster für unsere Abstimmung aufdecken“, so Karaarslan.
In dieser Abstimmungsphase stellte das Sicherheitsteam schnell fest, ob eine Regel funktionierte, ob sie weiter abgestimmt werden musste oder ob sie für das Unternehmen nicht mehr relevant war und deaktiviert werden sollte. Das Ergebnis ist ein optimiertes Cyber-Lagebewusstsein mit Cloud-SIEM, das das Sicherheitsteam in die Lage versetzt, kritische Alarme schnell zu erkennen und darauf zu reagieren.
