Tags: Log-Management, Sicherheit, Monitoring
Der weltweite Markt für SIEM-Produkte wächst in beachtlichem Tempo. Gleichzeitig kommen immer wieder neue Anbieter hinzu, was die Entwicklung der Technik beschleunigt und die Konkurrenzsituation verschärft. Gartner hat die führenden Hersteller im SIEM-Markt identifiziert und ihre Produkte miteinander verglichen.
Das Security Information and Event Management, kurz SIEM, dient dazu, sicherheitsrelevante Ereignisse in einer IT-Umgebung zu erkennen und dem Unternehmen die Möglichkeit zu geben, darauf zu reagieren.
Zu diesem Zweck sammelt und analysiert das System Logdaten aus der gesamten IT-Infrastruktur, von Cloud-Systemen über Anwendungen bis hin zu Netzwerk- und Security-Devices wie Firewalls und Antiviren-Programmen, und gibt Warnungen aus, sobald es Auffälligkeiten feststellt.
Gleichzeitig hat sich SIEM von einer auf dem Client bereitgestellten Software zu einer SaaS- oder in der Cloud gehosteten Lösung entwickelt. Die Anwender profitieren damit von einer vereinfachten Bereitstellung, höherer Skalierbarkeit und besserer Flexibilität.
Diese Verlagerung zu SaaS hat zunehmend auch kleine und mittelständische Unternehmen dazu gebracht, in SIEM zu investieren. Parallel dazu beobachtet Gartner eine Zunahme der Angebote von SIEM-Services durch Dienstleister, die eine Vollzeit-SOC-Überwachung und Optimierung von kundeneigenen SIEM-Lösungen bieten.
Laut einem im Oktober veröffentlichten Report von Gartner verzeichnete dieser Markt von 2020 auf 2021 eine Wachstumsrate von rund 20 Prozent, von 3,41 auf 4,10 Milliarden US-Dollar.
Vor- und Nachteile der einzelnen Lösungen
Die wichtigsten Anbieter im Leaders-Quadrant der SIEM-Hersteller sind Microsoft, Splunk, Exabeam, Securonix und IBM. Die Analysten von Gartner erkennen jeweils die folgenden Stärken und Schwächen der Produkte dieses Firmen.
Microsoft Sentinel
Sentinel wird ausschließlich als SaaS-Lösung über die Azure-Datacenter bereitgestellt. Die Kosten für die Lizenzierung richten sich nach dem Volumen der erfassten Daten und nach der vom Kunden reservierten Kapazität, zudem ist ein Pay-as-you-go-Modell verfügbar.
Viele Enterprise-Lizenzen für Microsoft 365 umfassen jedoch eine Gutschrift für die Nutzung von Sentinel und Defender. Ein erweiterter Datenspeicher und ergänzende Funktionen wie Defender for Endpoint und Defender for IoT sind gegen Aufpreis erhältlich.
Stärken
Umfangreiches Ökosystem: Microsoft verfügt im Security-Umfeld bereits über eine breite Palette von Produkten. Unternehmen, die in erster Linie auf eine Infrastruktur von Microsoft setzen, erhalten damit eine gute Übersicht zu ihrer aktuellen Sicherheitslage.
Sich schnell entwickelnde Roadmap: Die Funktionalität, Benutzerfreundlichkeit und das Wachstum der Endbenutzer-Communities nehmen ständig zu.
Mehrstufiger und hybrider Betrieb: Mehrere Sentinel-Instanzen lassen sich mithilfe der Lighthouse-Funktionalität konsistent konfigurieren, verwalten und überwachen.
Schwächen
- Die tatsächlich entstehenden Kosten sind nur schwer durchschaubar.
- Möglicher Vendor-Lock-in
- Begrenzte Out-of-the-Box-Funktionalität: Im Vergleich mit anderen SIEM-Produkten fehlen bei Sentinel einige Features wie etwa Compliance-Reports.
Splunk Enterprise Security (Splung ES)
Splunk ES ist ein Addon zur Enterprise-Lösung der Firma, die Gartner nicht als SIEM-System ansieht. Die Lizenzierung richtet sich entweder nach dem Volumen pro Tag oder den Cloud-Workloads.
Stärken
- Mitgelieferte Security-Funktionen: Das SaaS-Modell von Splunk ES umfasst von Haus aus eine Threat Intelligence Platform (TIP) sowie User and Entity Behavior Analytics (UEBA).
- Übersicht und Sicherheit: Splunk stellt auch für normale Anwender Funktionen für die Beobachtung der IT und die Analyse bereit. Gleichzeitig erhalten geschulte Sicherheits-Teams auch Features für gemeinsame Sicherheitsoperationen.
- Positive Rückmeldungen von den Anwendern
Schwächen
- Hohe Preise
- Die Komplexität des Systems erfordert viel Fachwissen. Spezialisten für Splunk sind jedoch rar und schwer zu finden.
- Mangelnde Kompetenz bei regionalen Vertriebsmitarbeitern außerhalb der USA
Exabeam Fusion SIEM
Die SIEM-Lösung von Exabeam wird als Stand-alone-Produkt oder im Bundle mit verschiedenen Enterprise-Versionen vertrieben. Alle Produkte sind auch für eine Hybrid-Cloud-Infrastruktur erhältlich.
Die Enterprise-Version umfasst Advanced Analytics, einen Threat Hunter, Entity Analytics und einen Case Manager. Zusätzlicher Cloud-Speicher (Cloud Archive) und ein Incident Responder (SOAR) sind als Addons erhältlich.
Stärken
- Langfristige Speicherung von Log-Dateien mit Suchfunktion
- Live-Zugriff auf die Daten der Systeme von Drittherstellern
- Priorisierung von Alarm-Meldungen: Mithilfe von Kontextualisierung und analytischen Modellen lassen sich auch in den Alarm-Meldungen der Produkte von Drittanbietern Bedrohungen in Echtzeit zu erkennen.
Schwächen
- Exabeam greift bei der Endpoint Detection and Response (EDR) und der Network Detection and Response (NDR) auf die Komponenten von Drittherstellern zurück.
- Mangelnde Konsistenz bei Produktnamen und Funktionen der Exabeam-Produkte Fusion XDR und Fusion SIEM
- Das SIEM-System von Exabeam erfordert eine längere Konfigurationszeit als andere Produkte auf dem Markt und verursacht damit höhere Kosten.
IBM QRadar
QRadar ist als On-premise-Installation, Cloud-Produkt oder unter der Bezeichnung QRadar on Cloud (QROC) als SaaS-Angebot erhältlich. Zusätzlich hat IBM eine Reihe weiterer Security-Produkte wie QRadar Network Insights, QRadar Vulnerability Manager, QRadar XDR Connect, QRadar SOAR (formally Resilient) und Cloud Pak for Security (CP4S) im Portfolio.
Die Lizenzkosten richten sich nach den Events pro Sekunde (EPS) und/oder den Flows pro Minute (FPM). Für Cloud-basierte Instanzen ist auch eine unbegrenzte Server-Lizenz verfügbar.
Stärken
- Starke Analytik und Möglichkeiten für individuelle Anpassungen
- IBM hat viel Erfahrung mit Security-Produkten und ist weltweit aktiv.
- Zahlreiche ergänzende Angebote an Produkten und Services etwa für das Schwachstellen-Management, den Datenschutz, zur Threat Intelligence, für die User and Entity Behavior Analytics (UEBA), für Security Orchestration, Automation and Response (SOAR) sowie für MSSs- und MDR-Services
Schwächen
- QROC unterscheidet nicht zwischen Korrelationsregeln und Analysen. Daher gibt es beim Out-of-the-Box-Inhalt unterschiedliche Grade der Komplexität, was einen Vergleich erschwert.
- Die Weiterentwicklung von QRadar hat sich verlangsamt, da IBM seine Ressourcen zur Cloud Pak for Security-Plattform und zu den Sicherheitsfunktionen der nächsten Generation verlagert hat.
- Die Implementierung von QRadar ist laut IBM-Kunden ein äußerst komplexer Prozess.
Den vollständigen Report kann man aktuell hier abrufen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Verdächtige Aktivitäten und unsichere Systeme entdecken mit EventSentry
- Auditing: Administratoren im Active Directory überwachen
- ManageEngine mit Log-Analyse-Tool für Multi-Clouds
- Dell und Securonix bieten Security Analytics für Active Directory
- ManageEngine erweitert Monitoring-Software um neue Funktionen
Weitere Links
- Webinar: Warum Perimeter- und Endpunktschutz alleine zur Abwehr von Bedrohungen nicht mehr genügen
- Webinar: Was ist Network Detection and Response (NDR) und wie kann man damit Angriffe frühzeitig entdecken?
- Technisches Webinar: Angriffe auf das Netzwerk und AD schnell bemerken, Gegenmaßnahmen ergreifen