LogRhythm 7.4

LogRhythm Kunden setzen verstärkt auf neue Embedded-SOAR-Funktionalität

, München, LogRhythm | Autor: Herbert Wieler

LogRhythm Kunden setzen verstärkt auf neue Embedded-SOAR-Funktionalität

NextGen-SIEM-Plattform

LogRhythm, die Security Intelligence Company, gibt bekannt, dass einer aktuellen Umfrage zufolge unter ihren bestehenden Kunden 33 Prozent die neuen eingebetteten Funktionen für Security-Orchestration, -Automation and -Response Optionen (SOAR) sofort übernommen und eingesetzt haben. Diese extrem hohe Akzeptanz übertrifft bei weitem Schätzungen, die Gartner 2018 veröffentlicht hat. Die Marktforscher hatten vorausgesehen, dass bei ähnlichen Standalone-Produkten in Organisationen mit fünf oder mehr Security-Spezialisten lediglich mit einer Einführungsrate von weniger als einem Prozent zu rechnen sei. Das Wachstum in diesem Bereich sollte Gartner zufolge bis 2020 nur bei nur 15 Prozent liegen.

Die Aussicht, Arbeitsabläufe effizienter zu gestalten und den Sicherheitsstatus zu erhöhen, lässt Kunden in großer Zahl zur NextGen-SIEM-Plattform greifen. Die integrierten Playbook-Funktionen und Metriken für die SOC-Performance spielen dabei eine zentrale Rolle

Die eingebetteten SOAR-Funktionen in der NextGen-SIEM-Plattform von LogRhythm stellen Security-Teams eingebaute Funktionen zur Steuerung von Prozessen zur Verfügung, mit denen sich die Erkennung und Response bei echten Cyber-Bedrohungen besser managen lässt. Die Gegenwehr wird optimiert und läuft schneller und effizienter ab. LogRhythms Ende-zu-Ende-Plattform gewährt Einblicke in das Geschehen, aus denen sich Optionen zur Verbesserung der SOC-Leistung ablesen lassen. Klare, nachvollziehbare Metriken machen es den Führungskräften leichter, Engpässe in den Security-Prozessen zu identifizieren und zu beseitigen, um die Effektivität ihrer Security-Operations-Teams zu erhöhen. Die Metriken tragen außerdem dazu bei, den Nutzen im Sicherheitsbereich zu erhöhen und Kosten einzusparen.

Security-Teams finden Unterstützung dabei, effektive Ende-zu-Ende-Workflows im Operations-Bereich zu implementieren. Dabei spielen vor allem zwei neue Funktionen der aktuellen Software-Version 7.4 von LogRhythm eine Rolle: Case-Playbooks und SOC-Metriken. Kombiniert mit dem existierenden Framework für Case-Management und Automation machen es die neuen Werkzeuge möglich, konsistente und messbare Ergebnisse beim Threat-Lifecycle-Management zu erzielen. Dazu tragen vor allem folgende Details bei:

  • Case-Playbooks, die in die Plattform integriert und nicht einfach als Zusatzfunktion von Dritt-Anbietern angeflanscht wurden, verhelfen den Security-Teams auch bei Ressourcen-Mangel zu besseren Ansätzen, konsistente Resultate zu liefern, denen sie selbst vertrauen können. Die Playbooks greifen die jeweilige institutionelle Prozess-Methodik auf, addieren dazu das Wissen von leitenden Analysten und stellen auf dieser Basis Schritt-für-Schritt-Arbeitsprozeduren zur Verfügung, an denen sich alle Analysten leicht orientieren können – auch solche, die noch neu im Team sind oder erst Erfahrungen sammeln müssen. Out-of-the-Box stehen vorkonfigurierte Playbooks zur Verfügung, die leicht kundenspezifisch anzupassen sind. Gleich, ob ein Ein-Mann-Team oder eine große Gruppe darauf baut – die eingebetteten Playbooks von LogRhytm verhelfen zu größerer Konsistenz und zuverlässigerer Schlagkraft bei der Reaktion auf verschiedene Typen von Bedrohungen. Dies gilt auch dann, wenn die Bedrohungen zuvor noch nirgendwo registriert wurden.
  • SOC-Metriken, die jetzt ebenfalls ein Bestandteil der Plattform sind, erhöhen den Reifegrad einer Organisation im Bereich Sicherheit, indem sie Workflow-orientierte Metriken für die Prozesse zur Einschätzung, Untersuchung und Bekämpfung von Bedrohungen liefern. Analysten haben die Möglichkeit, diese Metriken auf einzelne Bedrohungstypen oder andere Kategorien anzuwenden. Security-Teams sammeln Kennzahlen aus ihrer LogRhythm-NextGen-SIEM-Plattform und werten sie aus, um mehr über ihre Mean-Time-to-Detect (MTTD) und Mean-Time-to-Respond (MTTR) zu erfahren, also über die Zeit, die sie bis zur Erkennung von Bedrohungen und bis zum Einsetzen der Bekämpfung benötigen. Noch granularere Messungen, darunter Time-to-Qualify (TTQ) und Time-to-Investigate (TTI), ermöglichen noch genauere Analysen der Effektivität. Auf der Basis all dieser Kennzahlen lassen sich Ansatzpunkte identifizieren, Operations-Abläufe zu optimieren. Außerdem zeigt sich anhand der Daten, wo eine Automatisierung angebracht sein könnte.

„Dadurch, dass wir diese neuen Fähigkeiten in unsere NextGen-Plattform eingefügt haben, bauen wir eine Reihe kritischer Hindernisse ab, die Security-Teams mehr und mehr zu schaffen machen. Wir helfen Organisationen, Response-Prozesse auch unter hohem Zeitdruck zu orchestrieren“, erklärt Chris Petersen, Mitbegründer and Chief-Product- and Technology-Officer bei LogRhythm. „Playbooks erlauben es unseren Kunden, typische Untersuchungen in konsistenter Weise durchzuführen und das Risiko zu verringern, kritische Informationen zu übersehen. Sie implementieren wiederholbare Abläufe, deren Effizienz sich messen lässt. Mit Playbooks und Automation profitieren unsere SOC-Kunden optimal von der Expertise der LogRhythm-Labs, von den Erfahrungen anderer LogRhythm-Kunden und von den Kenntnissen ihrer eigenen besten Team-Mitglieder. Die hohe Akzeptanz und Adoptionsrate, die wir nun sehen, zeigt in hervorragender Weise, dass wir mit dieser Einschätzung richtig liegen.“