Support
language switcher
English 日本語 한국어
Login
Loslegen

Planen

Live-Demo buchen

Vereinbaren Sie eine Plattform-Demo mit einem Sumo Logic-Experten.

Ansehen

Aufgezeichnete Demo

Sehen Sie sich eine aufgezeichnete SIEM-Demo in Ihrem eigenen Tempo an.

Durchsuchen

Interaktive Produkttouren

Entdecken Sie unsere Produkttour-Bibliothek.

Gespräch

Vertrieb kontaktieren

Besprechen Sie Preise, Skalierung und wie Sumo Logic zu Ihren Zielen passt.

Ausprobieren

30-tägige kostenlose Testversion

Testen Sie die Plattform und greifen Sie auf vorkonfigurierte Dashboards zu.
Preise Anmelden Kostenlos testen Support
Dojo AI Neu Multi-Agenten-AI-Plattform
Plattform

Überwachen, Fehler beheben, automatisieren und verteidigen
Unterstützt durch KI/ML

Proprietäre Algorithmen, maschinelles Lernen und generative KI
Dojo AI Dojo AI
Neu
Multi-Agenten-AI-Plattform
Intelligente Sicherheitsoperationen
Cloud SIEM

Bedrohungen schneller erkennen und intelligenter reagieren
Protokolle für Sicherheit

Cloud-Sicherheit durch umfassende Protokolleinsicht freischalten
Intelligente Cloud-Abläufe
Protokollanalyse

Erkennen und beheben mit umfassender Transparenz
Leistungsstarke Integrationen
OpenTelemetry-Seite Amazon Web Services – App-Katalog Google Cloud Platform – App-Katalog Microsoft Azure – App-Katalog
Zertifizierungen
Alles, was ein Ingenieur tun muss, ist, auf einen Link zu klicken – und er hat alles, was er braucht, an einem Ort. Dieses Maß an Integration und Einfachheit hilft uns, schneller und effektiver zu reagieren.
Sajeeb Lohani
Globaler Technischer Informationssicherheitsbeauftragter (TISO), Bugcrowd
Fallstudie lesen

NACH SICHERHEITS-ANWENDUNGSFALL

SecOps Bedrohungserkennung PCI-Compliance Security data lake Cloud SOAR

NACH OBSERVABILITY-ANWENDUNGSFALL

Log-Management Infrastrukturüberwachung Anwendungs-Observability AWS-Überwachung Kubernetes-Überwachung

NACH BRANCHE

Bildung Finanzen Gaming Fertigung Öffentlicher Sektor Einzelhandel Technologie/SaaS

NACH WETTBEWERB

vs Splunk vs Google SecOps vs Datadog vs Elastic vs Microsoft Sentinel vs Qradar
APIs Dokumentation Erste Schritte GitHub Integrationen Versionshinweise Sicherheitsreaktion
Secure your Slack environment
Read article
Top five Sumo Logic shortcuts
Read article
Improve user access & admin controls
Read article
How log management protects your security stack
Read article

LERNEN

Blog Kurzberichte Wettbewerber Kundengeschichten Leitfäden

INTERAGIEREN

Interaktive Demos Partner Videos Podcast

TRAINIEREN

Support

GEMEINSCHAFT

Dokumentation Integrationen GitHub Open Source OpenTelemetry Collector
Über uns Karriere Führung Presse Kontakt

Planen

Live-Demo buchen

Vereinbaren Sie eine Plattform-Demo mit einem Sumo Logic-Experten.

Ansehen

Aufgezeichnete Demo

Sehen Sie sich eine aufgezeichnete SIEM-Demo in Ihrem eigenen Tempo an.

Durchsuchen

Interaktive Produkttouren

Entdecken Sie unsere Produkttour-Bibliothek.

Gespräch

Vertrieb kontaktieren

Besprechen Sie Preise, Skalierung und wie Sumo Logic zu Ihren Zielen passt.

Ausprobieren

30-tägige kostenlose Testversion

Testen Sie die Plattform und greifen Sie auf vorkonfigurierte Dashboards zu.
Ressourcenzentrum

Wie man SIEM-Lösungen bewertet

Sichern Sie Ihre Zukunft
Demo buchen Anleitung herunterladen
Inhaltsverzeichnis

    Sie fragen sich vielleicht, woher ich weiß, ob ich eine neue Sicherheitsinformations- und Ereignisverwaltungslösung (SIEM) brauche? Dies sind die häufigsten Gründe, warum es an der Zeit sein könnte, eine neue SIEM-Lösung:

    • Die jüngsten Sicherheitsvorfälle und Pen-Tests sind ein Weckruf. Sie zeigen eklatante Schwachstellen und Lücken auf, die Sie nicht länger ignorieren können, und heben kritische Funktionen hervor, die Sie in Ihrer Lösung in Zukunft benötigen könnten.
    • Regulatorische Anforderungen und Änderungen sind nicht nur bürokratische Hürden – sie sind entscheidende Vorgaben, die robuste Sicherheitsmaßnahmen erfordern, um lähmende Strafen zu vermeiden.
    • Wachstumsinitiativen, sei es die Expansion in neue Märkte oder die Einführung von Spitzentechnologien, erfordern eine Sicherheitslösung, die skalierbar und anpassungsfähig ist.
    • Haushaltszyklen bieten eine hervorragende Gelegenheit, sinnvoll in die Sicherheit zu investieren, anstatt mit veralteten oder unzureichenden Lösungen weiterzumachen.
    • Branchenfusionen und -übernahmen (M&A) können Sie dazu zwingen, sich damit auseinanderzusetzen, ob Ihr SIEM den Schockwellen der Marktkonsolidierung standhalten und immer noch einen robusten Schutz bieten kann.

    Welche Generation von SIEM haben Sie?

    Bevor Sie SIEM-Lösungen bewerten können, müssen Sie wissen, welche Generation von SIEM Sie derzeit verwenden:

    • Erste Generation: Konzentrierte sich zunächst auf die grundlegende Protokollverwaltung und einfache Korrelationsfunktionen und verließ sich auf die manuelle Protokollanalyse zur Identifizierung von Bedrohungen.
    • Zweite Generation: Optimierte Korrelations-Engines, Dashboards und grundlegende Workflows für die Reaktion auf Vorfälle wurden eingeführt, um die Transparenz und die Reaktionszeiten zu verbessern.
    • Dritte Generation: Echtzeitüberwachung, Integration mit externen Bedrohungsdaten und User Behavior Analytics (UBA) zur Erkennung von Insider-Bedrohungen.
    • Vierte Generation: Integrierte erweiterte Analytik, maschinelles Lernen, und SOAR -Funktionen, mit besserer Unterstützung für Cloud-Umgebungen und hybride Infrastrukturen.
    SIEM

    Die neueste Generation von SIEM

    Am Horizont zeichnet sich die fünfte Generation von SIEM-Systemen ab, die einen bedeutenden Fortschritt gegenüber den vorherigen Generationen darstellt. Hier sind seine wichtigsten Funktionen:

    • KI-gesteuerte Erkenntnisse bieten Empfehlungen und prädiktive Bedrohungserkennung und -reaktion
    • Eine einheitliche Plattform für ganzheitliches Sicherheitsmanagement
    • DevSecOps-Integration zur Einbettung der Sicherheit in den Entwicklungslebenszyklus
    • Automatisierte Abhilfemaßnahmen, um Bedrohungen schnell einzudämmen und zu entschärfen.
    • Große Sprachmodelle (LLMs), die es einer breiteren Gruppe von DevSecOps-Teams ermöglichen, über natürliche Sprache mit der Lösung zu interagieren und Handlungsempfehlungen zu geben, mit Echtzeit-Bedrohungsdaten zu korrelieren, mehrstufige Erkennungen zu erleichtern und auf das Unternehmen zugeschnittene Erkenntnisse zu liefern.

    Fünf Schritte zur Bewertung Ihres SIEM

    Bei der Bewertung Ihres SIEM geht es darum, Herausforderungen bei der Erkennung von Bedrohungen, Untersuchung und Reaktion (TDIR) zu bewältigen. Es gibt fünf wesentliche Fragen, die Sie sich bei der Bewertung Ihrer aktuellen SIEM-Lösung stellen sollten.

    1. Sammeln Sie die richtigen Protokolle?

    Protokolle sind das grundlegendste Artefakt des digitalen Computings und liefern aussagekräftige Erkenntnisse über die Cloud- und Unternehmensinfrastruktur und -anwendungen der Kunden. Eine effektive Protokollsammlung ist der Eckpfeiler einer robusten SIEM-Lösung. Bei der Untersuchung eines Vorfalls müssen alle wichtigen Protokolle online und verfügbar sein und Teil der Analyse sein. 

    Die Herausforderung bei der Erfassung von Protokollen besteht in der Regel darin, verschiedene unterschiedliche Datenquellen genau und effizient zusammenzufassen. Skalierbarkeit und Geschwindigkeit sind die Markenzeichen von Cloud-nativen SaaS-Lösungen, die Sie bei der Evaluierung von SIEM-Protokollerfassungsfunktionen priorisieren sollten.

    Lösungen, die Lizenzen und Verbrauchsdaten für die Speicherung und Analyse aller unternehmensweiten Protokolle bereitstellen, können Stunden und sogar Tage für Untersuchungen einsparen, die andernfalls Datenbereitstellung, -verarbeitung und -aufbereitung erfordern würden, bevor Sie Analysen und Erkenntnisse gewinnen können. 

    Eine robuste SIEM-Lösung muss sich nahtlos in verschiedene Datenquellen integrieren lassen, die Aufnahme von Daten in Echtzeit unterstützen und mehrere Datenformate verarbeiten, einschließlich herstellerunabhängiger, quelloffener Erfassungstechnologien wie OpenTelemetry, um eine umfassende und einheitliche Sicherheitsansicht zu bieten. 

    Eine umfassende Datenerfassung ist unerlässlich, um sicherzustellen, dass keine kritischen Daten übersehen werden und Ihr Sicherheitsteam über die Informationen verfügt, die es braucht, um Bedrohungen schnell und effektiv zu erkennen und darauf zu reagieren.

    Bewertungskriterien für die Protokollerfassung:

    • Umfassende Quellenintegration: Stellen Sie sicher, dass das SIEM Daten aus allen relevanten Quellen sammeln kann, einschließlich lokaler, Cloud- und hybrider Umgebungen. Dazu gehören Protokolle, Netzwerkflüsse, Endpunktdaten und Daten aus verschiedenen SaaS-Anwendungen.
    • Datenaufnahme in Echtzeit: Überprüfen Sie, ob das SIEM Daten in Echtzeit aufnehmen kann, um eine rechtzeitige Erkennung zu gewährleisten und schnell auf neue Bedrohungen zu reagieren.
    • Unterstützung für verschiedene Datentypen: Das SIEM sollte eine breite Palette von Datentypen unterstützen, darunter Protokolle, Ereignisse, Metriken und andere relevante Datenformate, um einen ganzheitlichen Überblick über die Sicherheitslage Ihres Unternehmens zu geben.
    • Protokollspeicherung und Datenaufbewahrung: Stellen Sie sicher, dass die Sicherheitsprotokolldaten sicher mit AES 256-Verschlüsselung im Ruhezustand und TLS-Verschlüsselung bei der Übertragung gespeichert und bis zu sieben Jahre lang oder gemäß den gesetzlichen Bestimmungen Ihrer Branche aufbewahrt werden. 
    • Log-Ökonomie: Stellen Sie sicher, dass Ihr SIEM Log-Ökonomie und eine flexible Preisgestaltung für Sicherheitsdaten beinhaltet, um den Fluss kritischer Daten zum SIEM aufrechtzuerhalten und gleichzeitig Kostenüberschreitungen zu minimieren. Optimal ist es, wenn Ihr SIEM eine Preisgestaltung pro Scan im Gegensatz zu ingest-basierten Preismodellen beinhaltet.
    Must-Have-Fähigkeit laut Gartner®: Sammlung von Infrastrukturdetails und sicherheitsrelevanten Daten aus einem breiten Spektrum von Assets vor Ort und/oder in der Cloud-Infrastruktur.
    Standardfähigkeit nach Gartner®: Ermöglicht das Sammeln von Ereignisdaten aus unterschiedlichen Ereignisquellen unter Verwendung mehrerer Mechanismen (Log-Stream, API, Dateiverarbeitung) für die Erkennung von Bedrohungen, Anwendungsfällen, Berichterstattung und Untersuchung von Vorfällen.
    Gartner, „Security Information and Event Management Magic Quadrant“, Andrew Davies, Mitchell Schneider, Rustam Malik, Eric Ahlm, 8. Mai 2024.

    2. Wie werden die Daten in Ihrem SIEM umgewandelt?

    Nach der Datenerfassung wandelt das SIEM die Daten in ein brauchbares Format für die Analyse um und informiert über die nächsten Schritte. Die Datenumwandlung umfasst Normalisierungs-, Anreicherungs- und Korrelationsprozesse, die Rohdaten in aussagekräftige Erkenntnisse umwandeln. Im Bereich der Informationssicherheit stehen Analysten oft vor der gewaltigen Aufgabe, riesige Datenmengen aus verschiedenen Quellen zu verarbeiten. Mit der richtigen Transformation können diese Daten zusammenhängend und einfacher zu analysieren sein. 

    Die Normalisierung ist für das Verständnis von Netzwerkaktivitäten von entscheidender Bedeutung. Es wandelt disparate Daten aus verschiedenen Quellen in ein einheitliches Format oder Schema um, das die Analyse vereinfacht. Obwohl viele Lösungen mit Normalisierungsfunktionen werben, scheitern ihre Implementierungen oft an der Effektivität und Benutzerfreundlichkeit. Die Normalisierung ist das Rückgrat der Erkennungstechnik, der Bedrohungsjagd und der Sicherheitsoperationen. Sie konvertiert rohe Nachrichten in standardisierte Datensätze für nahtlose Abfragen und Analysen. 

    Nicht alle Schemata sind gleich. Die Stärke der Normalisierung liegt in der Verwendung von Parsern und Mappern, um sowohl strukturierte als auch unstrukturierte Daten zu verarbeiten. Parser dekodieren und extrahieren wichtige Informationen aus den Rohdaten und konvertieren sie in ein lesbares, strukturiertes Format. Mapper gleichen diese Daten dann mit einem vordefinierten Schema ab und sorgen so für Einheitlichkeit in den verschiedenen Datenquellen. Dieser Prozess ist besonders wichtig, wenn es um unstrukturierte Daten geht, die in Format und Inhalt sehr unterschiedlich sein können, aber dennoch einige der wichtigsten, individuellen Anwendungseinblicke enthalten.

    Enrichment reichert normalisierte Daten mit kontextbezogenen Informationen an, z. B. mit Bedrohungsdaten und Asset-Daten. Dies hilft Analysten, die Bedeutung der Daten zu verstehen und erleichtert die Erkennung von und die Reaktion auf Bedrohungen. Die Anreicherung von Datensätzen mit wertvollem Kontext macht sie informativer und besser verwertbar. So können beispielsweise mit Bedrohungsdaten angereicherte Befehlszeilendaten bekannte bösartige Befehle identifizieren und so die Erkennungsgenauigkeit und die Untersuchungen verbessern.

    Bewertungskriterien für die Datenumwandlung:

    • Effektivität der Normalisierung: Stellen Sie sicher, dass das SIEM konsequent und genau ein gemeinsames Schema und Mapping-Feldnamen anwendet.
    • Qualität von Parsern und Mappern: Prüfen Sie die Genauigkeit von Parsern, die Effizienz von Mappern und die Einfachheit von Parser-Updates.
    • Leistung und Skalierbarkeit: Bewerten Sie die Verarbeitungsgeschwindigkeit, die Fähigkeit, große Datenmengen und unstrukturierte Daten zu verarbeiten, sowie die effiziente Ressourcennutzung.
    • Integrationsfähigkeit: Bewerten Sie die Kompatibilität mit verschiedenen Datenquellen, API und Plugin-Unterstützung sowie die Interoperabilität mit bestehenden Systemen.
    • Integration kontextbezogener Daten: Das SIEM muss Threat Intelligence-Feeds und Asset-Daten zuverlässig integrieren.
    • Genauigkeit und Relevanz: Überprüfen Sie die Genauigkeit und Relevanz der Kontextinformationen, die während des SIEM-Datenumwandlungsprozesses hinzugefügt wurden.
    • Benutzerfreundlichkeit: Prüfen Sie, ob die Benutzeroberfläche intuitiv ist, die Konfiguration einfach und flexibel ist, das SIEM Automatisierungs- und Untersuchungsauslöser bereitstellt und robusten Support bietet.
    • Auswirkungen auf Erkennung und Reaktion: Stellen Sie sicher, dass das SIEM Optionen zur Verbesserung der Erkennungsgenauigkeit und Untersuchungseffizienz bietet.
    • Leistung und Skalierbarkeit: Das SIEM muss Datenmengen effizient verarbeiten und elastisch mit dem Wachstum der Datenmenge skalieren.
    Must-Have-Fähigkeit laut Gartner®: Bereitstellung von Inhalten des SIEM-Anbieters und Möglichkeit zur Erstellung von Inhalten durch den Kunden in Bereichen wie Analyse, Datennormalisierung, Sammlung und Anreicherung.
    Standardfähigkeit nach Gartner®: Normalisierung, Anreicherung und Risikobewertung von Daten aus Drittsystemen.
    Gartner, „Security Information and Event Management Magic Quadrant“, Andrew Davies, Mitchell Schneider, Rustam Malik, Eric Ahlm, 8. Mai 2024.

    3. Bietet Ihr SIEM erweiterte Analysefunktionen?

    Die Datenanalyse ermöglicht die Erkennung anspruchsvoller Cyber-Bedrohungen in einer SIEM-Lösung. Fortschrittliche Analysefunktionen, einschließlich KI-gestützter Bedrohungserkennung und Insight Management, nutzen maschinelles Lernen, um große Datenmengen zu analysieren und Muster zu erkennen, die traditionellen Methoden möglicherweise entgehen. SIEM-Lösungen mit maschinellen Lernmodellen verbessern die Erkennung von Bedrohungen, indem sie sich an neue Bedrohungsmuster anpassen und im Laufe der Zeit verbessern.

    Die Analyse des Benutzer- und Entitätsverhaltens (UEBA) ist in modernen SIEM-Lösungen von entscheidender Bedeutung, da sie tiefere Einblicke in die Aktivitäten von Benutzern und Entitäten bietet. Durch die Erstellung von detaillierten Profilen des normalen Verhaltens kann UEBA Abweichungen, die auf Sicherheitsbedrohungen hindeuten, genauer identifizieren und so ausgeklügelte Bedrohungen aufspüren, die bei der herkömmlichen Überwachung möglicherweise übersehen werden. Insbesondere die entitätszentrierte Erkennungskorrelation und die Mustererkennung sind Schlüsselkomponenten einer effektiven Bedrohungserkennung. Durch die Verknüpfung von Daten aus verschiedenen Quellen können SIEM-Lösungen komplexe Angriffsmuster erkennen, die einzelne Datenpunkte möglicherweise nicht aufdecken.

    SaaS-basierte SIEM-Lösungen bieten erhebliche Vorteile bei der Pflege, Aktualisierung und Erstellung von Erkennungsregeln, einschließlich einer anpassbaren Regel-Engine, die die SIEM-Lösung auf die einzigartige Sicherheitslage eines Unternehmens abstimmt. Ein weiterer wichtiger Aspekt des SaaS-Bereitstellungsmodells ist die Möglichkeit, neue und aktualisierte Erkennungsregeln, die von Experten aus der Bedrohungsforschung zusammengestellt wurden, sofort einzubinden, um die Sicherheitsinhalte aktuell zu halten und vor neuen Angriffen zu schützen.

    Die Integration dieser KI-gesteuerten Funktionen stellt sicher, dass Ihre SIEM-Lösung den Sicherheitsteams die notwendigen Tools zum Schutz ihrer Organisationen bietet. Das SaaS-Modell verbessert diese Fähigkeit noch weiter, da die SIEM-Lösung ständig mit den neuesten Fortschritten bei der Erkennung und Analyse von Bedrohungen aktualisiert wird, was einen kontinuierlichen Schutz vor neuen Bedrohungen gewährleistet.

    Bewertungskriterien für erweiterte Analytik: 

    • Erkennung von Anomalien: Überprüfen Sie, ob das SIEM Abweichungen vom normalen Benutzer- und Systemverhalten aufzeigt, was für die Identifizierung potenzieller Sicherheitsvorfälle entscheidend ist.
    • Verhaltensanalyse: Beurteilen Sie, wie gut das SIEM die Aktivitäten von Benutzern und Entitäten überwacht, um ungewöhnliches Verhalten zu erkennen und so unbekannte und Insider-Bedrohungen zu identifizieren.
    • Ganzheitlicher Überblick: Stellen Sie sicher, dass die UEBA-Funktionen einen umfassenden Überblick über die Aktivitäten von Benutzern und Entitäten bieten und Korrelationen aufzeigen, die bei einer Einzelüberwachung zur Erkennung von Insider-Bedrohungen möglicherweise übersehen werden.
    • Verbesserte kontextbezogene Analyse und Sensibilisierung: Überprüfen Sie, wie das SIEM verschiedene Datenquellen für eine genauere Erkennung von Bedrohungen einbezieht und kontextbezogene Informationen für die Risikobewertung, die Priorisierung von Alarmen und die Reduzierung von Fehlalarmen verwendet.
    • Entity-Profiling und Verhaltens-Baselines: Bestimmen Sie, ob das SIEM umfassende Profile und Baselines für jede Entität erstellt und so die Erkennung von Anomalien verbessert.
    • Kontinuierliche Updates und reduzierter Wartungsaufwand: Stellen Sie sicher, dass das SIEM eine echte SaaS-Lösung ist, damit die Erkennungsregeln und -modelle mit den neuesten Bedrohungsdaten aktualisiert werden und der Wartungsaufwand reduziert wird.
    • KI-infundierte Funktionen: Überprüfen Sie, ob das SIEM KI in seine Funktionen integriert hat, z. B. KI-gestütztes Clustering von Protokollen und Rauschunterdrückung, automatische Anpassung an saisonale Schwankungen und Verringerung der Alarmmüdigkeit.
    • Skalierbarkeit und Flexibilität: Bewerten Sie, wie gut die Lösung die Ressourcen je nach Bedarf skaliert, um optimale Leistung und Kosteneffizienz zu erzielen.
    • Transparenz und einfache Anpassung: Stellen Sie sicher, dass das SIEM eine einfache Regelerstellung und Betriebstransparenz mit einer benutzerfreundlichen Oberfläche für die Anpassung ermöglicht.
    • Vordefinierte Regeln und Vorlagen: Nutzen Sie die mitgelieferte Bibliothek mit anpassbaren vordefinierten Regeln und Vorlagen für maßgeschneiderte Erkennungsstrategien.
    • Testen und Simulieren von Regeln: Überprüfen Sie die Fähigkeit, Regeln vor der Bereitstellung zu testen und zu simulieren, um Leistung und Genauigkeit sicherzustellen.
    Must-Have-Fähigkeit laut Gartner®: Endanwender können Anwendungsfälle zur Erkennung von Bedrohungen unter Verwendung von korrelations-, analytischen und signaturbasierten Methoden selbst entwickeln, ändern und pflegen.
    Standardfähigkeit nach Gartner®: Fortgeschrittene Analysefähigkeiten unter Verwendung von User and Entity Behavior Analytics (UEBA) und Data Sciences (d. h. überwachtes und unbeaufsichtigtes maschinelles Lernen, Deep Learning/rekurrente neuronale Netze).Threat Intelligence Platform (TIP) Fähigkeiten zur Verwaltung von Informationen und zur Bereitstellung von kontextbezogenen Informationen über Bedrohungen.
    Gartner, „Security Information and Event Management Magic Quadrant“, Andrew Davies, Mitchell Schneider, Rustam Malik, Eric Ahlm, 8. Mai 2024.

    4. Bietet Ihr SIEM eine effektive Untersuchung?

    Die Identifizierung potenzieller Bedrohungen ist nur der Anfang. Eine effektive Untersuchung von Bedrohungen ist entscheidend, um das volle Ausmaß und die Auswirkungen von Sicherheitsvorfällen zu verstehen. Dieser Prozess umfasst eine detaillierte Analyse, die Identifizierung der Grundursache und ein effizientes Alarmmanagement, um echte Bedrohungen zu erkennen und gleichzeitig Fehlalarme zu minimieren. 

    Die Sicherheitsuntersuchungsfunktionen einer SIEM-Lösung sollten eine detaillierte Analyse von Sicherheitsvorfällen unterstützen. Dazu gehören das Aufschlüsseln von Ereignissen, das Anzeigen detaillierter Zeitleisten und das Korrelieren verwandter Ereignisse über verschiedene Datenquellen hinweg. Die Ursachenanalyse ist unerlässlich, um die zugrundeliegende Ursache eines Sicherheitsvorfalls zu ermitteln, seinen Ursprung und seine Ausbreitung zu verstehen und zukünftige Vorfälle zu verhindern. Eine effektive Alarmauswertung und die Reduzierung von Fehlalarmen stellen sicher, dass sich die Sicherheitsteams auf echte Bedrohungen konzentrieren.

    Bewertungskriterien für die Untersuchung: 

    • Identifizierung der ursprünglichen Kompromittierung: Stellen Sie sicher, dass das SIEM dabei hilft, Vorfälle bis zum Ausgangspunkt der Kompromittierung zurückzuverfolgen, um das erste betroffene System oder den ersten betroffenen Benutzer zu identifizieren und festzustellen, wie die Bedrohung in die Umgebung gelangt ist.
    • Verfolgung der Ausbreitung von Bedrohungen: Bewerten Sie die bereitgestellten Tools, um die seitliche Bewegung der Bedrohung innerhalb des Netzwerks zu verfolgen, betroffene Systeme zu identifizieren und die Methoden des Angreifers zu verstehen.
    • Bestimmung der Auswirkungen: Vergewissern Sie sich, dass das SIEM dabei hilft, die vollen Auswirkungen des Vorfalls zu quantifizieren, einschließlich der Datenexfiltration, der Systemausfallzeit und möglicher gesetzlicher Auswirkungen, um eine effektive Reaktion und Abhilfe zu ermöglichen.
    • Priorisierung der Alarme: Bestätigen Sie, dass das SIEM Alarme nach Schweregrad und potenzieller Auswirkung priorisiert, damit sich die Analysten zuerst auf kritische Bedrohungen konzentrieren können.
    • Kontextuelle Informationen: Stellen Sie fest, ob die Warnungen relevante Details über betroffene Anlagen, beteiligte Benutzer und damit verbundene Bedrohungsinformationen enthalten, damit Analysten die Relevanz und Dringlichkeit schnell beurteilen können.
    • Automatisierte Triage: Prüfen Sie die automatischen Triage-Funktionen, die eine Kombination aus maschinellem Lernen und vordefinierten Regeln verwenden, um den Zeitaufwand der Analysten für die anfängliche Bewertung von Alarmen zu reduzieren, indem Alarme automatisch klassifiziert und priorisiert werden.
    • Reduzierung von Falsch-Positiven: Überprüfen Sie, ob das SIEM Fehlalarme minimiert, indem es die Erkennungsregeln verfeinert und das Feedback der Analysten einbezieht, um sicherzustellen, dass die Alarme aussagekräftig und umsetzbar sind, die Ermüdung durch Alarme zu verringern und die Effizienz zu verbessern.
    • Schnelle Identifizierung der Grundursache: Stellen Sie sicher, dass das SIEM über flexible Fallmanagement-Workflows verfügt, um riesige Datenmengen zu durchforsten und vollständige Transparenz in lokalen und Cloud-Umgebungen zu bieten, wie z. B. benutzerdefinierte Suchvorgänge über eine integrierte Abfrage-Engine und maschinelles Lernen zur Reduzierung und Deduplizierung von wiederkehrenden Protokollen, um eine genaue Ursachenidentifizierung zu beschleunigen.
    Must-Have-Fähigkeit laut Gartner®: Bereitstellung von Case Management und Unterstützung von Incident Response-Aktivitäten.
    Standardfähigkeit nach Gartner®: Orchestrierung und Automatisierung von Aufgaben und Workflows zur Verbesserung der Untersuchungen und Begrenzung der Auswirkungen von Vorfällen.
    Gartner, „Security Information and Event Management Magic Quadrant“, Andrew Davies, Mitchell Schneider, Rustam Malik, Eric Ahlm, 8. Mai 2024.

    5. Wie erleichtert Ihr SIEM die Reaktion?

    Zusammenarbeit ist für die effektive Verwaltung von und Reaktion auf Cybersicherheitsvorfälle unerlässlich, insbesondere wenn Vorfälle und Verstöße auf Anwendungsebene auftreten können. Kubernetes Container, GitHub Repositories oder unsichere Cloud-Infrastruktur Komponenten können bei einem Angriff ausgenutzt werden, aber Sicherheitsteams überwachen oder pflegen diese normalerweise nicht. Darüber hinaus ist bei ressourcenbeschränkten Teams in allen drei DevSecOps-Teams ist der Einsatz leistungsstarker Automatisierungsfunktionen entscheidend für Geschwindigkeit und Effizienz.

    Eine SIEM-Lösung, die die Teamarbeit und Kommunikation erleichtert, kann die Effizienz und Effektivität eines Sicherheitsteams durch Funktionen wie anpassbare Dashboards, automatisierte Berichte, die Verfolgung der Einhaltung von Vorschriften und optimierte Reaktionsprozesse erheblich steigern. Darüber hinaus sind die Reaktionsfähigkeiten einer SIEM-Lösung von entscheidender Bedeutung für die prompte und effektive Bewältigung von Vorfällen. Dazu gehören vordefinierte und anpassbare Workflows für die Reaktion auf Vorfälle, Automatisierung und Orchestrierung sich wiederholender Aufgaben sowie Tools für die Überprüfung nach einem Vorfall, um die Sicherheitslage kontinuierlich zu verbessern.

    Security Orchestration and Automated Response (SOAR), die früher als separate Lösung betrachtet wurde, wird zunehmend zum festen Bestandteil der SIEM-Funktionalität.

    Ein SIEM-Dashboard bietet Echtzeit-Visualisierungen von Sicherheitsdaten zur effizienten Überwachung der Sicherheitslage des Unternehmens. Berichte sind entscheidend für die Kommunikation von Erkenntnissen, Fortschritten und Ergebnissen an Interessengruppen innerhalb und außerhalb des Unternehmens. Compliance-Funktionen in einem SIEM sorgen für die Einhaltung gesetzlicher Vorschriften und Branchenstandards, was entscheidend ist, um Strafen zu vermeiden und das Vertrauen zu erhalten. Robuste Reaktionsmöglichkeiten sind für eine effektive Verwaltung und Eindämmung von Sicherheitsvorfällen unerlässlich.

    Bewertungskriterien für die Antwort:

    • Anpassbare Dashboards: Überprüfen Sie die Fähigkeit der Benutzer, Dashboards zu erstellen, um wichtige Metriken, Trends und Warnungen, die für ihre Rolle relevant sind, mit Echtzeit-Updates für schnelle Reaktionen auf Bedrohungen anzuzeigen.
    • Eine einzige Wahrheitsquelle: Stellen Sie sicher, dass Ihr SIEM alle wichtigen Daten an einem Ort sammelt, DevSecOps-Praktiken ermöglicht und die teamübergreifende Zusammenarbeit fördert. Verfolgen Sie außerdem Preis- und Nutzungsmodelle, die eine unbegrenzte Anzahl von Nutzern ermöglichen, damit alle relevanten Teams die Lösung nutzen können.
    • Rollenbasierte Zugriffskontrollen und Ansichten: Stellen Sie sicher, dass Berechtigungen nach Rolle zugewiesen werden können, um autorisierten Benutzern den Zugriff zu ermöglichen, mit Informationen, die auf jedes Teammitglied zugeschnitten sind, was die Relevanz und Nutzbarkeit der Daten verbessert.
    • Automatisierte und benutzerdefinierte Berichte: Stellen Sie sicher, dass die automatische Erstellung von Berichten Konsistenz gewährleistet und Zeit spart, während benutzerdefinierte Berichte spezifische Anforderungen erfüllen, z. B. Compliance-Audits oder Zusammenfassungen für Führungskräfte mit visuellen Zusammenfassungen und detaillierten Daten.
    • Einhaltung gesetzlicher Vorschriften: Bewerten Sie, wie gut das SIEM die Datenerfassung, -aufbewahrung und -berichterstattung für Vorschriften wie GDPR, HIPAA und PCI-DSS mit umfassenden Prüfprotokollen für Transparenz erleichtert.
    • Compliance-Dashboards und -Berichte: Evaluieren Sie spezialisierte Tools für die Überwachung und den Nachweis der Einhaltung von Vorschriften.
    • Workflows zur Reaktion auf Vorfälle: Stellen Sie sicher, dass vordefinierte und anpassbare Workflows Analysten durch Sicherheitsvorfälle leiten.
    • Automatisierung und Orchestrierung: Prüfen Sie, wie gut sich das SIEM mit Log-Analyseplattformen und externen SOAR-Tools integriert ist, um Reaktionsmaßnahmen zu automatisieren, die Effizienz zu verbessern und sicherzustellen, dass die Orchestrierung die Human-in-the-Middle-Workflow-Designs unterstützt.
    • Collaboration-Tools: Validieren Sie das SIEM und erleichtern Sie die effektive Kommunikation und Koordination bei der Reaktion auf Vorfälle mit gemeinsamen Arbeitsbereichen und Echtzeit-Chat.
    • Überprüfungen nach einem Vorfall: Stellen Sie sicher, dass die Lösung die Analyse der Effektivität von Maßnahmen, die Identifizierung von Verbesserungsbereichen und die Aktualisierung von Maßnahmenplänen zur kontinuierlichen Verbesserung unterstützt.
    Must-Have-Fähigkeit laut Gartner®: Berichtsgenerationen zur Unterstützung von Geschäfts-, Compliance- und Audit-Anforderungen nach Bedarf.
    Standardfunktionalität nach Gartner®: Langfristige Speicherung wichtiger Sicherheitsereignisdaten und Bereitstellung für die Suche. Voll ausgestattete SOAR-Funktionalität (Security Orchestration Automation Response).
    Gartner, „Security Information and Event Management Magic Quadrant“, Andrew Davies, Mitchell Schneider, Rustam Malik, Eric Ahlm, 8. Mai 2024.

    Haftungsausschluss:

    Gartner, Security Information and Event Management Magic Quadrant, Andrew Davies, Mitchell Schneider, Rustam Malik, Eric Ahlm, 8. Mai 2024.

    GARTNER ist eine eingetragene Marke und Dienstleistungsmarke von Gartner, Inc. und/oder seinen Tochtergesellschaften in den USA und international, und MAGIC QUADRANT ist eine eingetragene Marke von Gartner, Inc. und/oder seinen Tochtergesellschaften und wird hier mit Genehmigung verwendet. Alle Rechte vorbehalten

    More Leitfäden
    Mehr entdecken
    Entdecken Sie mehr von Sumo Logic Leitfäden
    Leitfäden
    Künstliche Intelligenz für die Log-Analyse verstehen
    Leitfäden
    SOAR-Leitfaden
    Leitfäden
    Best Practices zur Protokollverwaltung für moderne Anwendungen und Infrastrukturen

    Unternehmen

    Über uns Karriere Wir stellen ein Führung Presse Partners Kontakt

    RESSOURCEN

    Blog Kundengeschichten Demos

    PRODUKTE

    Überblick Cloud-SIEM Protokolle für Sicherheit Überwachung und Fehlerbehebung Neue Funktionen
    Vergleichen
    Sumo Logic vs. Splunk Sumo Logic vs Google SecOps Sumo Logic vs. Datadog Sumo Logic vs. Elastic Cloud Sumo Logic vs. Coralogix Sumo Logic vs. QRadar

    SUPPORT & LERNEN

    Dokumentation Community Support Plattformstatus Sicherheits-Trust-Center

    INTEGRATIONEN

    AWS CloudTrail Amazon S3 Audit Apache Kubernetes Linux NGINX PCI-Compliance Alle anzeigen

    INITIATIVE

    Modernisierung von SecOps Cloud-Migration Anwendungsmodernisierung Digitale Kundenerfahrung Tool-Konsolidierung

    ©2025 Sumo Logic

    Rechtliches Datenschutzerklärung Nutzungsbedingungen Datenschutzhinweis
    Deutsch
    English 日本語 한국어