SIEM - Security Analyse

Um unsere Managed Security Services künftig noch effizienter erbringen zu können, haben wir verschiedene SIEM-Lösungen miteinander verglichen. Wichtigstes Merkmal bei der Auswahl war ein hoher Grad an Flexibilität, um auf neue Situationen kurzfristig reagieren zu können.
Splunk bietet die Möglichkeit, Logs vieler verschiedener Formate anzunehmen. Dabei ist unerheblich, von welchen Produkten die Informationen bezogen werden. Außerdem können Benachrichtigungen individuell eingerichtet sowie Daten in Korrelation gesetzt werden. Dies sind nur zwei der vielen Gründe, weshalb wir uns entschieden haben, künftig eine strategische Partnerschaft in Form eines Managed Service Provider-Partnervertrages mit Splunk einzugehen.

Insbesondere bei Security Incidents ist es wichtig, schnelle Reaktionszeiten gewährleisten zu können. Daher müssen Benachrichtigungen so individuell und granular angepasst werden können, dass diese nur ausgelöst werden, falls konkreter Handlungsbedarf besteht.
Um Informationen unterschiedlicher Systeme und Produkte miteinander in Verbindung bringen zu können, ist es daher essentiell, dass diese in einem zentralen Logging- und Monitoring-Tool zusammengefasst werden. Weiterhin ist ein zentrales, revisionssicheres Log-Management zu Zwecken der IT-Forensik unerlässlich.
Aufgrund unserer Erfahrungen von der Konzeptionierung bis zum Betrieb der Umgebungen können wir Sie daher beraten, wenn

  • Sie bereits ein Splunk System im Einsatz haben und dieses als SIEM nutzen möchten,
  • Sie gerne ein SIEM nutzen möchten, aber die Aufwände des Betriebs scheuen,
  • Sie ein System suchen um die Alarmierung und das Log Management zu optimieren.

Kontakt


Gerne stellen wir uns auch im persönlichen Gespräch vor.
Dazu freuen wir uns auf eine Meldung unter +49 (2156) 974 90 60
oder kontakt@suresecure.de.

Welche Vorteile bietet Splunk außerdem?

Offenheit
Durch die Annahme und Verarbeitung von Logs in nahezu jedem Format, kann jedes System an ein Splunk-SIEM angebunden werden. Dabei ist unerheblich, ob Daten per Syslog, Windows Event, Log Datei oder CSV-Datei bereitgestellt werden.

Performance
Die Echtzeitsuche auf vorhandene Datensätze lässt sich jederzeit ausführen und liefert sofort Ergebnisse in der gewünschten Form. Die bereitgestellten Informationen beschränken sich dabei nicht auf vorgefertigte Reports oder Abfragen, sondern können flexibel und individuell angepasst und gespeichert werden.
Der zentral konfigurierbare Splunk Universal Forwarder ermöglicht es, Logdateien von Remotesystemen performant an das Splunk Cluster zu übermitteln.

Betrieb und Wartung
Durch die Integration von Apps sowie intelligenter Feldextrahierung kann Splunk mit geringem administrativem Aufwand betrieben werden. Eine langwierige Zuordnung einzelner Datenfelder innerhalb bereitgestellter Datensätze ist nicht nötig.
Hier entsteht, gerade durch die intelligente Feldextrahierung, ein enormer Vorteil im direkten Vergleich zu Produkten der (Open Source-)Marktbegleiter.

Dank der Möglichkeit Splunk auch auf mobilen Geräten (bspw. Smartphones/Tablets) zu nutzen, können Mitarbeiter mobil auf Informationen aus der Umgebung zugreifen, um einen aktuellen Stand zu erhalten oder Alarme kurzfristig bewerten zu können, ohne dafür die gesamte Arbeitsumgebung hochfahren zu müssen. Die Kommunikation findet dabei stets verschlüsselt statt.

Investitionen schützen
Oft wird Splunk bereits in anderen Teilbereichen verwendet, um Infrastrukturen zu überwachen oder Logs verschiedener Systeme zentral zusammenzutragen. In diesen Fällen lohnt sich der Einsatz als SIEM-Tool insbesondere, da vorhandenes Wissen einfach aufgearbeitet und erweitert werden kann.