So sichern Sie KI-Anwendungen
18 Februar 2025
Google SecOps: Ein Gamechanger für die IT-Security
Autor: Philipp Rieblinger
Bevor wir einsteigen, möchte ich einige Definitionen aus dem Weg räumen:
- Ein SIEM (Security Information and Event Management) ist eine Software, die Ereignisprotokolle von allen möglichen Softwarekomponenten sammelt. Es macht diese Informationen durchsuchbar, wertet sie aber auch automatisch aus, um Indikatoren für die Ausführung von z.B. Malware zu finden.
- SOAR (Security Orchestration, Automation and Response) ist eine Software, die Warnungen von verschiedenen Sicherheitssoftwarekomponenten (wie Anti-Malware, SIEM, Network Intrusion Detection) empfangen und automatisch Reaktionsabläufe auf diese Warnungen ausführen kann (als Playbooks bezeichnet).
- Threat Intelligence bezeichnet Informationen über Bedrohungen auf IT-Systeme, einschließlich der Aktivitäten von Bedrohungsakteuren (z.B. Cyberkriminelle), Indikatoren für Malware, die derzeit bei Angriffen verwendet wird, usw.
Googles Position im Markt
Als ich während meines Studiums das erste Mal von SIEM-Systemen hörte, war die Meinung meines Professors klar: "Es gibt drei relevante SIEM-Systeme auf dem Markt: Splunk, Splunk und Splunk". Diese Aussage spiegelte die damalige Wahrnehmung wider, dass Splunk die zeitgemäße Option für Unternehmen war.
In den letzten Jahren hat sich jedoch viel verändert. IT-Giganten haben sich engagiert und eine neue Generation von SIEMs auf Cloud-Infrastruktur-Basis entwickelt. Microsoft brachte Azure Sentinel auf den Markt, während Google mit Chronicle, jetzt bekannt als Google SecOps, eine Lösung präsentierte, die nicht nur SIEM-Funktionalität, sondern auch SOAR- und Threat Intelligence-Funktionen bietet. Außerdem hat Cisco Splunk übernommen, das eine Cloud-basierte Version seines SIEMs anbietet, während Palo Alto QRadar von IBM erworben hat und sein eigenes XSIAM auf den Markt gebracht hat. Diese Entwicklungen beleben den Wettbewerb in der Branche und machen die Situation auf jeden Fall spannend.
In diesem Blogeintrag geht es nicht um die allgemeinen Trends in der SIEM-Branche, sondern um Google SecOps im Besonderen. In den letzten Jahren waren Splunk und Microsoft Sentinel die vorherrschenden SIEMs in Deutschland und Europa, die von den größten Organisationen implementiert wurden und oft alte Lösungen wie ArcSight oder QRadar ersetzten. In den letzten zwei bis drei Jahren ist es Google gelungen, auf dem Markt Fuß zu fassen, was angesichts der etablierten Konkurrenz keine leichte Aufgabe ist. Bei Orange Cyberdefense haben wir kürzlich Google SecOps als drittes SIEM-Produkt in unser Managed SOC-Angebot aufgenommen, neben Splunk und Sentinel.
Die Vorteile
Ein herausragendes Merkmal von Google SecOps (insbesondere der Enterprise-Lizenz) ist die Kombination von SIEM und SOAR in einem Tool. Nach der Übernahme des SOAR-Anbieters Siemplify im Jahr 2022 integriert Google diese Funktionalität in seine SIEM-Lösung. Dies ermöglicht eine nahtlose Benutzererfahrung, da Security-Analysten alle notwendigen Funktionen über eine einheitliche Weboberfläche nutzen können.
Die gemeinsame Implementierung von SIEM und SOAR bietet erhebliche Vorteile, da die Entwicklung von Erkennungsregeln und Playbooks in einem integrierten Prozess zu einem effizienteren Workflow führt.
Ein weiterer Vorteil von Google SecOps liegt in der Leistung der SIEM-Komponente. Cloud-basierte SIEMs haben die Leistung erheblich verbessert, da Ressourcen einfacher skaliert werden können. Google hat sich entschieden, für alle Ereignisse in SecOps einen gleich schnellen Speicher zu verwenden, was die Suchgeschwindigkeit optimiert.
Ein entscheidender Faktor für den Markterfolg von Google SecOps ist die transparente und wettbewerbsfähige Preisgestaltung. Die Abrechnung erfolgt nach Volumen, was für Kunden eine klare Kostenstruktur bietet und unangenehme Überraschungen minimiert.
Die Partnerschaft
Die vorhersehbare Preisgestaltung und der klare Fokus des Produkts auf Security-Analysten als Kunden machen Google SecOps zu einem äußerst attraktiven Tool für einen Sicherheitsdienstleister wie Orange Cyberdefense. Als Google nach MSSP-Partnern in Mitteleuropa suchte, haben wir die Gelegenheit daher gerne ergriffen. Nachdem wir etwa zwei Jahre lang Beratungsdienstleistungen für das Produkt erbracht haben, bieten wir jetzt unseren Managed Threat Detection [log]-Service für Google SecOps an. Das bedeutet, dass Kunden einen Google SecOps-Tenant und unseren SOC-Service in einem Paket erwerben können. Unser Angebot umfasst einen verbesserten Google-Support, die Entwicklung benutzerdefinierter Erkennungsregeln und Playbooks sowie den Import von Protokollen.
Als SecOps-Partner pflegen wir direkten Kontakt zu Google, sodass wir immer über die neuesten Features und Änderungen informiert sind. Außerdem verfügen wir über eine große Zahl an Analysten, die durch die Teilnahme an den SecOps-Bootcamps direkt von Google zu SecOps geschult sind. Hier ist zum Beispiel unsere Gruppe beim Besuch des Bootcamps in Warschau:
Die Zukunft
Aus der Sicht eines Consultants war diese Reise ziemlich aufregend. Google verbessert die SecOps-Plattform ständig, wobei die auffälligste Neuerung der Bindplane-Agent und die Verwaltungsplattform für Protokollierungsagenten, Protokollfilterung und Protokollverteilung ist. Googles Ambitionen im Multi-Cloud-Bereich, die sich in der enorm kostspieligen Übernahme von Wiz zeigen, sind ein Zeichen dafür, dass im SecOps-Bereich noch mehr spannende Dinge auf uns zukommen werden. Wir freuen uns auf jeden Fall darauf.
Das könnte Sie auch interessieren:
Perfektes Zusammenspiel von Konnektivität und Security in der heutigen Arbeitswelt
1 April 2025
Cyber Experience Center
Das Cyber Experience Center bietet Einblicke in verschiedenen Aspekte eines Cyberangriffs aus Unternehmensperspektive. Wir führen Sie durch die Fakten und Zahlen, damit Sie bei Ihrer Cybersicherheitsstrategie die richtigen Entscheidungen treffen können.