SIEM – die besten Softwareanbieter
Es gibt Dutzende von SIEM-Anbietern – die folgenden neun sind in den aktuellen Analysten-Reports Forrester Wave und Gartner Magic Quadrant vertreten:
Exabeam: Fusion SIEM von Exabeam ist eine reine Cloud-Lösung, die SIEM-Analysen mit XDR (Extended Detection and Response) kombiniert. Die Software zeichnet sich in erster Linie dadurch aus, dass sie sich sowohl auf die Prozesse fokussiert, die mit der Diagnose und Behebung von Problemen verbunden sind, als auch auf technische Innovationen.
IBM: Big Blue wird sowohl von Forrester als auch von Gartner als „führend“eingestuft und bietet sein Security QRadar SIEM sowohl On-Premises als auch in der Cloud unter dem Motto „intelligente Sicherheitsanalysen“an. Die SIEM-Lösung arbeitet mit IBMs Security QRadar Advisor zusammen, um die Untersuchung von Anomalien und andere Sicherheitsaufgaben zu automatisieren.
LogRhythm: Die LogRhythm-Lösung rühmt sich eines umfangreichen Funktionsumfangs, der die Integration mit Hunderten von anderen IT-Systemen, eine Bibliothek von Modulen zur Bewertung der Konformität mit verschiedenen Industriestandards sowie eine Reihe von Angeboten umfasst, die von grundlegendem SIEM bis hin zu fortgeschrittener SOAR-basierter Automatisierung und Reaktion reichen.
Microsoft: Azure Sentinel ist nur in der Microsoft-Cloud verfügbar, bietet aber auch eine Übersicht über On-Premises-Systeme. Ein wichtiges Alleinstellungsmerkmal ist die einfache Integration mit Microsoft 365 und Windows Defender – darüber hinaus kann das Microsoft SIEM Protokolle aus einer Vielzahl von Quellen aufnehmen. Azure Sentinel versteht sich sowohl als SIEM als auch als SOAR-Plattform, die KI-, Automatisierungs- und Collaboration Tools bietet.
Rapid7: Die Identifizierung von Angriffen und kompromittierten Ressourcen – und die anschließende Reaktion – ist der Bereich, in dem sich Rapid7 auszeichnet. Kunden können sich an einem kuratierten Satz von Bedrohungsmustern orientieren, andere aus Community-Vorschlägen auswählen oder Ihre eigenen erstellen. Mit Rapid7 lassen sich auch Honeypots einrichten, mit gefälschten Anmeldedaten testen oder ein individuelles Frühwarnsystem einrichten. Sobald eine Bedrohung identifiziert wurde, hilft die Lösung dabei, eine Zeitleiste mit zusammenhängenden Ereignissen zu erstellen, die Benutzer oder Assets betreffen. Das ermöglicht Kunden, den Umfang Ihrer Untersuchung zu erweitern oder das Risiko zu bewerten, das durch kompromittierte Identitäten entstanden ist.
RSA: RSA-Produkte spielen bei der Absicherung der meisten großen Unternehmen eine Rolle. Die SIEM-Plattform von RSA wurde mit Blick auf Ereignisvolumen, geografische Verteilung und komplexe Architekturen konzipiert. Der Hersteller ermutigt seine Klientel, den geschäftlichen Kontext einzubeziehen, um kritische oder wertvolle Ressourcen zu identifizieren, die beim Auftreten von Bedrohungen priorisiert werden müssen.
Securonix: Diese Lösung erweitert die Protokoll- und Ereignisdaten der Anwender durch Datenanreicherung. Nutzer können Beziehungen zwischen verschiedenen Ereignistypen hinzufügen, um Alarm- und Analysefunktionen zu korrelieren und zu kontextualisieren. Als zusätzlicher Bonus läuft Securonix auf Hadoop mit einer offenen Architektur, so dass Kunden eine Vielzahl von Analysetools von Drittanbietern einsetzen können.
Splunk: Einer der ersten Softwareanbieter, der die Analyse von Log-Dateien für sich entdeckt hat, war Splunk. Die Lösung Splunk Enterprise Security nutzt die ausgereiften Datenanalyse- und Visualisierungsfunktionen des Unternehmens, um eine SIEM-Lösung zu liefern, die mit Threat Intelligence integriert und in der Cloud oder On-Premises verfügbar ist.
FireEye: Neben professionellen White-Glove-Services bietet FireEye in seiner Helix Security Plattform eine Vielzahl von Sicherheits-Tools, darunter auch SIEM-Funktionen. Helix bietet einen Großteil der gleichen Funktionen wie die Konkurrenz. Das Alleinstellungsmerkmal: Die FireEye-Spezialisten stehen mit Rat und Tat zur Seite, wenn Anwender zusätzliches Know-how benötigen.