Select your country

BelgiumBelgium

ChinaChina

DenmarkDenmark

FranceFrance

GermanyGermany

GlobalGlobal

Maghreb & West AfricaMaghreb & West Africa

NetherlandsNetherlands

NorwayNorway

South AfricaSouth Africa

SwedenSweden

SwitzerlandSwitzerland

United KingdomUnited Kingdom

Not finding what you are looking for, select your country from our regional selector:

Suche

  1. Germany
  2. Insights
  3. Blog
  4. Managed Detection & Response
  5. Google SecOps: Ein Gamechanger für die IT-Security

Google SecOps: Ein Gamechanger für die IT-Security

Managed Detection & Response

Share

Autor: Philipp Rieblinger

 

Bevor wir einsteigen, möchte ich einige Definitionen aus dem Weg räumen:

  • Ein SIEM (Security Information and Event Management) ist eine Software, die Ereignisprotokolle von allen möglichen Softwarekomponenten sammelt. Es macht diese Informationen durchsuchbar, wertet sie aber auch automatisch aus, um Indikatoren für die Ausführung von z.B. Malware zu finden.
  • SOAR (Security Orchestration, Automation and Response) ist eine Software, die Warnungen von verschiedenen Sicherheitssoftwarekomponenten (wie Anti-Malware, SIEM, Network Intrusion Detection) empfangen und automatisch Reaktionsabläufe auf diese Warnungen ausführen kann (als Playbooks bezeichnet).
  • Threat Intelligence bezeichnet Informationen über Bedrohungen auf IT-Systeme, einschließlich der Aktivitäten von Bedrohungsakteuren (z.B. Cyberkriminelle), Indikatoren für Malware, die derzeit bei Angriffen verwendet wird, usw.

Googles Position im Markt

Als ich während meines Studiums das erste Mal von SIEM-Systemen hörte, sagte mir mein Professor: "Es gibt drei relevante SIEM-Systeme auf dem Markt: Splunk, Splunk und Splunk". Damals schien das den Nagel auf den Kopf zu treffen: ArcSight hatte den Ruf, kompliziert und recht teuer zu sein, vor allem die Erweiterungen. QRadar von IBM sah alt aus und fühlte sich alt an - es war im Grunde die IBM iNotes der SIEMs. Splunk schien die einzige zeitgemäße Option für den Einsatz in Unternehmen zu sein.

Seitdem haben sich die Dinge geändert. Die IT-Giganten, die den globalen Markt von Kalifornien aus dominieren, haben sich inzwischen engagiert und eine neue Generation von SIEMs auf den Markt gebracht, die auf einer Cloud-Infrastruktur laufen. Microsoft hat sein Azure Sentinel auf den Markt gebracht. Google übertraf sie mit der Einführung von Chronicle, das jetzt nur noch Google SecOps heißt und nicht nur SIEM-Funktionalität, sondern auch eine vollwertige SOAR- und Threat Intelligence-Funktion bietet. Außerdem kaufte Cisco Splunk, das eine Cloud-basierte Version seines SIEMs anbietet, Palo Alto kaufte QRadar von IBM und brachte sein eigenes XSIAM auf den Markt. Es bleibt auf jeden Fall spannend.

In diesem Blogeintrag geht es nicht um die allgemeinen Trends in der SIEM-Branche, sondern um Google SecOps im Besonderen. In den letzten Jahren waren Splunk und Microsoft Sentinel die vorherrschenden SIEMs in Deutschland und Europa, die von den größten Organisationen implementiert wurden und oft alte Lösungen wie ArcSight oder QRadar ersetzten. In den letzten zwei bis drei Jahren ist es Google gelungen, auf dem Markt Fuß zu fassen, was angesichts der etablierten Konkurrenz keine leichte Aufgabe ist. Bei Orange Cyberdefense haben wir kürzlich Google SecOps als drittes SIEM-Produkt in unser Managed SOC-Angebot aufgenommen (Splunk und Sentinel sind die beiden anderen). Daher lohnt es sich, die SecOps-Lösung von Google genauer unter die Lupe zu nehmen. Was veranlasst potenzielle Kunden, uns gezielt nach einem Service für Google SecOps zu fragen?

Die Vorteile

Beginnen wir mit dem Alleinstellungsmerkmal: Google SecOps (zumindest die Enterprise-Lizenz) ist nicht nur ein SIEM, sondern SIEM und SOAR in einem. Google übernahm 2022 den israelischen SOAR-Anbieter Siemplify und integriert das Produkt seither in sein selbst entwickeltes SIEM. Inzwischen sind SIEM und SOAR über eine einheitliche Weboberfläche zugänglich. Google behauptet, dass seine SecOps-Lösung das einzige Tool sei, das ein Security Analyst für seine Arbeit benötigt, was seine Arbeit effizienter machen soll. Eine gewagte Behauptung, die aber nicht ganz unberechtigt ist: Anstatt ein Ticket-System zu verwenden, kann ein Team von Analysten die Cases innerhalb der SOAR-Komponente nutzen, um Aufgaben zuzuweisen oder Vorfälle zu eskalieren. Anstatt E-Mails zu Vorfällen von Hand zu schreiben, können diese automatisch aus einem Playbook heraus versendet werden. Anstatt zu einem separaten SIEM-System zu wechseln, kann die weitere Untersuchung innerhalb desselben Tools durchgeführt werden. Die gemeinsame Implementierung von SIEM und SOAR von Grund auf hat für den Käufer ebenfalls große Vorteile: Die Entwicklung von SIEM-Erkennungsregeln und SOAR-Playbooks in einem gemeinsamen Prozess führt in der Regel zu einem viel besseren Workflow. Eine später hinzugefügte SOAR kann leicht dazu führen, dass ihr Potenzial nicht voll ausgeschöpft wird, und macht den Prozess unnötig kompliziert.

Ein weiterer Vorteil gegenüber der Konkurrenz liegt in der SIEM-Komponente und bezieht sich auf die Leistung. Als SIEM-Systeme noch ausschließlich on-premises verfügbar waren (d.h. auf Hardware im Kundennetzwerk installiert werden mussten), war ihre Leistung häufig mangelhaft, was bedeutete, dass die Suchvorgänge sehr langsam waren (also ca. eine Kaffeepause pro größerer Suchanfrage). Das wurde oft dadurch verursacht, dass das in ein SIEM eingehende Logvolumen im Laufe der Zeit zunahm, während die Hardwareressourcen im System nicht mitwuchsen. Cloud-SIEMs verbesserten diese Situation erheblich, da das Hochskalieren von Ressourcen dauerhaft oder sogar für kurze Zeiträume viel einfacher wurde oder sogar automatisch erfolgte. Die Suchleistung wurde nur noch durch die Speicher-Performance begrenzt. Splunk oder Sentinel verlagern ältere Ereignisse mit der Zeit auf langsamere Speicher, um Kosten zu sparen, sodass die Suche nach alten Ereignissen deutlich langsamer ist als die Suche nach neueren. Google hat beschlossen, für alle Ereignisse in SecOps SIEM einen gleich schnellen Speicher zu verwenden, speichert aber standardmäßig Ereignisse nicht länger als ein Jahr. Das bedeutet, dass jede Suche gleich performant ist, und zwar sehr performant - wie Google immer wieder betont: Ein SIEM erfordert Suche und Datenanalyse, und Google hat viel Erfahrung mit beidem.

Lassen Sie uns abschließend einen Moment lang ehrlich sein: Ein Schlüsselfaktor für Google, um auf dem SIEM- und SOAR-Markt Fuß zu fassen, ist die Preisgestaltung. Sie ist nicht nur äußerst wettbewerbsfähig, sondern auch sehr berechenbar und transparent. Data Ingestion wird nach Volumen abgerechnet. Der Preis pro Volumeneinheit unterscheidet sich zwischen den Enterprise- und Enterprise Plus-Lizenzen und erhöht sich, wenn ein Kunde die Speicherzeit verlängert. Das war's auch schon - unangenehme Überraschungen bei den Kosten sind also sehr unwahrscheinlich. Natürlich kann dieser Preis pro Volumeneinheit im Laufe der Zeit steigen, vor allem wenn Google sich irgendwann in einer ähnlichen Marktposition wie Splunk oder Microsoft befindet.

Die Partnerschaft

Die vorhersehbare Preisgestaltung und der klare Fokus des Produkts auf Security-Analysten als Kunden machen Google SecOps zu einem äußerst attraktiven Tool für einen Sicherheitsdienstleister wie Orange Cyberdefense. Als Google nach MSSP-Partnern in Mitteleuropa suchte, haben wir die Gelegenheit daher gerne ergriffen. Nachdem wir etwa zwei Jahre lang Beratungsdienstleistungen für das Produkt erbracht haben, bieten wir jetzt unseren Managed Threat Detection [log]-Service für Google SecOps an. Das bedeutet, dass Kunden einen Google SecOps-Tenant und unseren SOC-Service in einem Paket erwerben können. Unser Angebot umfasst einen verbesserten Google-Support, die Entwicklung benutzerdefinierter Erkennungsregeln und Playbooks sowie den Import von Protokollen.

Als SecOps-Partner pflegen wir direkten Kontakt zu Google, sodass wir immer über die neuesten Features und Änderungen informiert sind. Außerdem verfügen wir über eine große Zahl an Analysten, die durch die Teilnahme an den SecOps-Bootcamps direkt von Google zu SecOps geschult sind. Hier ist zum Beispiel unsere Gruppe beim Besuch des Bootcamps in Warschau:

Die Zukunft

Aus der Sicht eines Consultants war diese Reise ziemlich aufregend. Google verbessert die SecOps-Plattform ständig, wobei die auffälligste Neuerung der Bindplane-Agent und die Verwaltungsplattform für Protokollierungsagenten, Protokollfilterung und Protokollverteilung ist. Googles Ambitionen im Multi-Cloud-Bereich, die sich in der enorm kostspieligen Übernahme von Wiz zeigen, sind ein Zeichen dafür, dass im SecOps-Bereich noch mehr spannende Dinge auf uns zukommen werden. Wir freuen uns auf jeden Fall darauf.

Incident Response Hotline

Ein Cybersecurity Incident, bei dem Sie sofortige Hilfe benötigen?

Kontaktieren Sie unsere 24/7/365 Incident Response Hotline.