LogRhythm erweitert seine SIEM-Plattform: Entlastung für Sicherheitsexperten

Mit Playbooks und Metriken soll die SIEM-Plattform von LogRhythm Sicherheitsexperten bei der Untersuchung von Security-Vorfällen und der Einleitung von Gegenmaßnahmen helfen. Auch Automatisierungsfunktionen auf KI-Basis sorgen für Entlastung. Alles solle man aber nicht den Computer entscheiden lassen, rät Rob Pronk.

Rob Pronk, Regional Director Central, Northern & Eastern Europe bei LogRhythm
(Foto: LogRhythm)

Mit SIEM-Systemen können Unternehmen die unterschiedlichsten Systeminformationen aus ihrer Infrastruktur zusammenführen und auswerten, um sicherheitsrelevante Ereignisse aufzuspüren. In den vergangenen Jahren sind die Tools immer mächtiger geworden, sodass viele Hersteller mittlerweile von »Next Gen SIEM« sprechen. Das sei nicht nur Marketing, denn mittlerweile decke man ein größeres Aufgabenspektrum als klassische SIEM-Lösungen ab, betont Rob Pronk vom SIEM-Spezialisten LogRhythm im Gespräch mit CRN. So gehe es längst nicht mehr nur darum, ein großes Daten-Repository anzulegen, das Sicherheitsverantwortlichen die wichtigsten Informationen ausfiltert. Mittlerweile helfe man auch bei der umfassenden Untersuchung von Vorfällen und bei der Einleitung von Gegenmaßnahmen.

Im Herbst hatte LogRhythm seine Plattform daher um einige spannende SOAR-Funktionen (Security Orchestration, Automation and Response) erweitert. Die beiden wichtigsten: Case-Playbooks und Metriken. Hinter den Playbooks verbergen sich grundlegende Schritt-für-Schritt-Anleitungen, an denen sich Analysten bei ihrer Arbeit orientieren können – quasi vorgefertigte Response-Prozesse für Sicherheitsvorfälle. Und die Metriken liefern Kennzahlen wie Mean Time to Detect (MTTD) und Mean Time to Respond (MTTR), um Abläufe besser kontrollieren und optimieren zu können oder Ansatzpunkte für eine Automatisierung zu finden. Ziel ist es, die Effizienz der wertvollen Fachkräfte im SOC zu verbessern, sodass sie sich nicht mit einer Flut aus Alarmen und unzähligen manuellen Tätigkeiten herumschlagen müssen, sondern sich auf wichtige Dinge konzentrieren können.

»Das ist es, was uns auszeichnet. Firmen merken meist ziemlich schnell, dass sie mehr und mehr mit unserer Plattform erledigen können«, sagt Pronk. Dazu tragen auch neue Technologien wie künstliche Intelligenz und Machine Learning bei. Die nutzt der Hersteller schon lange, um beispielsweise verdächtiges Anwenderverhalten aufzuspüren oder sicherheitsrelevante Ereignisse zu priorisieren. Gerade in den letzten Jahren gab es hier jedoch noch mal einen Entwicklungssprung, wodurch sich mithilfe von KI und ML auch geeignete Reaktionen auf Vorfälle empfehlen lassen. Mit »Smart Response« bietet der Hersteller sogar die Möglichkeit einer automatischen Incident Response. »Wir empfehlen jedoch, den Computer nicht alles entscheiden zu lassen«, erklärt Pronk. »Man sollte Technologie nutzen, um dort zu automatisieren, wo es sinnvoll ist, aber dem Menschen die kritischen Entscheidungen überlassen.«

Übersicht