Gartner Quadrant für SIEM: IBM, Splunk, LogRhythm, HPE und Intel führend

    Security Information and Event ManagementBei Software für Security Information and Event Management (SIEM) handelt es sich längst um keine Nische mehr. Neben Größen wie IBM, HPE oder Intel finden sich dort viele kleinere Anbieter. In seinem Quadranten bewertet Gartner die nach seiner Einschätzung führenden 14 Hersteller.

    Mit der klassischen Logfile-Analyse, die primär dem Trouble­shooting dient, haben die modernen SIEM-Tools nicht mehr viel gemeinsam. Zwar gibt es immer wieder Hersteller, die auch simple Produkte für das Log-Management mit dem Etikett "SIEM" versehen.

    Primäre Aufgabe: Bedrohungen erkennen

    Die Analysten bezeichnen aber SIEM-Software insgesamt als ausgereift, wobei eine Vielzahl von Anbietern um die Kunden konkurriert. Gartner zufolge belief sich der Umsatz mit derartigen Produkten im Jahr 2015 weltweit bereits auf 1,73 Mrd. Dollar.

    Die wesentliche Funktion, weswegen Unternehmen SIEM-Lösungen einsetzen, ist das Aufdecken von gezielten Angriffen sowie von unerlaubten Zugriffen und dem Diebstahl von Daten. In vielen Unternehmen werden solche Ereignisse häufig nicht bloß übersehen, wenn sie passieren, sondern sie bleiben auch nachträglich oft noch unentdeckt.

    Gartner Quadrant 2016 zu Security Information and Event Management (SIEM).

    Insgesamt identifiziert Gartner drei Haupt­einsatz­gebiete für SIEM:

    • Advanced Threat Detection: Echtzeit­überwachung von Benutzer- und Anwendungs­aktivitäten sowie von Datenzugriffen. Die meisten Tools kombinieren dieses Feature mit der Möglichkeit zu Ad-hoc-Abfragen.
    • Basic Security Monitoring: Log-Management, Compliance Reporting und grundlegende Echtzeit­überwachung von einzelnen sicherheits­relevanten Komponenten.
    • Forensische Analyse und Reaktion auf Zwischenfälle: Für diese Aufgabe bieten Tools die Unterstützung für Workflows und Dokumentation, um Vorfälle identifizieren und untersuchen zu können. Hinzu kommen Dashboards und andere Möglichkeiten der visuellen Darstellung.

    Zahlreiche Quellen

    Um Bedrohungen frühzeitig erkennen zu können, erfassen und aggregieren SIEM-Tools nicht nur Log-Dateien von Rechnern, sondern auch von Netzwerk­geräten oder Firewalls. Darüber hinaus können solche Produkte auch NetFlow-Daten auswerten. SIEM-Lösungen kombinieren diese Informationen häufig mit Kontextdaten, also mit dem Verhalten von Benutzern und Eigenschaften IT-Ressourcen (User and Entity Behavior Analytics).

    Neben Komponenten der Infrastruktur beobachten einige SIEM-Tools auch Änderungen von Gruppenzuge­hörigkeiten und Privilegien von Benutzern durch die Integration mit IAM-Systemen. Weitere Quellen können Logs von Datenbanken, aber auch von ERP- oder anderen Business-Anwendungen sein.

    Analyse großer Datenmengen

    Die Kunst besteht nun darin, in der großen Datenmenge solche Anomalien zu entdecken, die auf eine Bedrohung oder einen Angriff hindeuten. Dieses Data Mining soll die einfachere regelbasierte Korrelation von Ereignissen ergänzen.

    Das anfallende Datenvolumen hängt von mehreren Faktoren ab. Dazu zählt die Anzahl der Quellen, wobei hier Server, Router und Switches, Firewalls und Systeme für Intrusion Detection vorherrschen. Die meisten Unternehmen beziehen laut Gartner jedoch keine Endgeräte mit ein. Weiterhin spielt die Zahl der Events pro Sekunde, die nach dem Filtern beibehalten werden, eine wesentliche Rolle.

    Große Hersteller verfügen oft über eine Datenanalyse-Plattformen, mit denen sie ihre SIEM-Produkte für die Auswertung integrieren. Andere Player greifen auf Open-Source-Optionen wie Hadoop zurück.

    Führende Anbieter nicht immer erste Wahl

    Die Analysten weisen aber darauf hin, dass nicht nur die komplexen Produkte von Anbietern, die sie als Leader einstufen, ihrer Aufgabe gerecht werden. Vielmehr sollten Anwender alle Hersteller in Erwägung ziehen, die im Quadranten berücksichtigt wurden.

    Vor einer Entscheidung sollte sie ihre Anforderungen formulieren und sich überlegen, ob sie aufwändige Projekte in diesem Bereich bewältigen können.

    Die Bewertung der einzelnen Anbieter findet sich in der Marktübersicht von Gartner.

    Keine Kommentare