Skip to the main content.

2 minute gelesen

Google Chronicle & indevis MDR: ein starkes Team

Google Chronicle & indevis MDR: ein starkes Team

Google und Security – passt das zusammen? Ja, denn mit Google Chronicle bietet der Hyperscaler ein Cloud-natives SIEM, das völlig neue Möglichkeiten eröffnet. Was der SaaS-Service bringt und warum wir ihn in unser Portfolio integriert haben, erfahren Sie nachfolgend. 

Google kennt man vor allem als Suchmaschinen-Anbieter und Cloud Provider. Doch auch in Sachen Security ist der Internet-Gigant kein Neuling. In der Vergangenheit hat er sich vor allem darauf konzentriert, die eigenen Dienste abzusichern. Dass dafür geballte Security Expertise nötig ist, steht außer Frage. Akquisitionen von Branchen-Spezialisten, zuletzt von Mandiant für satte 5,4 Milliarden Dollar, machen klar, dass Google künftig kräftig im Security-Markt mitmischen will. Mit Google Chronicle bietet der Hyperscaler ein Cloud-natives SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation & Response). Die Plattform ersetzt keine Endpunkt-, Netzwerk-, E-Mail- oder Cloud Security, sondern fungiert als zentraler Data Lake: Sie sammelt die Logdaten aller angeschlossenen Systeme, normalisiert, indexiert, korreliert und analysiert sie. Dabei spielt Google seine Stärke voll aus, denn riesige Datenmengen blitzschnell zu durchsuchen liegt in der DNA des Unternehmens. Diese Fähigkeit wird auch in der Security immer wichtiger. Cyberangriffe verlaufen heute häufig über einen längeren Zeitraum und erstrecken sich über mehrere Ebenen. Dabei tun die Eindringlinge alles dafür, unbemerkt zu bleiben. Um solche Angriffe zu erkennen, muss man die Security-Informationen vieler Systeme im Zusammenhang betrachten. Täglich fallen Unmengen an Daten an, die es zu korrelieren und auszuwerten gilt. Ein SIEM als zentrale Speicher- und Analyseplattform schafft die Basis, um Bedrohungen schneller aufzudecken und schneller zu reagieren.

Herausforderungen bei SIEM-Projekten

Bisher waren SIEM-Projekte sehr teuer. Vor allem der Storage verursacht in der Regel hohe Kosten, die sich bei zehn Terabyte schnell einmal auf mehr als 100.000 Euro belaufen können. Cloud-SIEMs skalieren zwar besser, sind aber nicht wesentlich günstiger. In der Praxis bedeutet das: Man kann nie alle Daten speichern, sondern muss genau überlegen, welche man unbedingt braucht und wie lange man sie aufbewahrt. Im Falle eines Cyberangriffs fehlen dann wichtige Informationen, oder Daten müssen erst langwierig wieder aktiviert werden, weil sie ausgelagert auf preiswerterem Cold Storage liegen. Außerdem sind rekursive Analysen, die einen längeren Zeitraum zurückgehen, kaum möglich. Gerade sie aber sind wichtig, um zu erkennen, ob ein Unternehmen von einem Zero-Day-Angriff betroffen war.

Neben dem Speicher ist die Anbindung der Logquellen ein Kostentreiber bei SIEM-Projekten. Meist erfolgt diese über Syslog und ist aufwändig. Lösungen von Drittanbietern lassen sich oft nur schwer oder gar nicht integrieren. Dazu kommt, dass jedes Security-System anders loggt. Damit man die Daten zusammenführen und analysieren kann, muss man sie erst normalisieren – also so aufbereiten, dass gleiche Inhalte in der gleichen Datenbankspalte gespeichert werden. Auch das kostet Zeit.

Das macht Google Chronicle besser

Google Chronicle löst die genannten Herausforderungen und macht SIEM-Projekte dadurch einfacher, preiswerter und schneller umsetzbar. Mit ihrer Lizenz erhalten Kunden Cloud-Storage im Petabyte-Bereich ohne Mehrkosten – und können mit festen, vorhersehbaren Preisen kalkulieren. Die Daten werden ein Jahr lang in einem privaten Container aufbewahrt. So sind auch schnelle, rekursive Analysen jederzeit möglich. Dank der Cloud-nativen Architektur ist Google Chronicle nahezu grenzenlos skalierbar. Man kann die Plattform also nach Herzenslust mit Daten füttern und umfassende Big-Data-Analysen durchführen. Logquellen von Drittanbietern lassen sich ganz einfach per API einbinden. Die Normalisierung der Daten erfolgt in der Regel automatisiert. Neben der integrierten Threat Intelligence zur Bedrohungserkennung kann man auch externe Threat Intelligence-Feeds hinzufügen. Als SaaS-Lösung ist Google Chronicle schnell einsatzbereit, einfach zu managen und erfordert keine Hardware-Investition. Haben Unternehmen bereits ein SIEM im Einsatz, lässt sich Chronicle auch einfach als zusätzlicher leistungsstarker Data Lake „dazuschalten“.  

indevis ist Google Cloud-Partner

Google Chronicle hat das Potenzial, viel zu verändern. Endlich muss man keine Kompromisse mehr zwischen Sicherheit und Kosten machen. Die offene Security-Plattform ermöglicht SIEM-Projekte auch für mittelständische Unternehmen und verbessert die Detection und Response. Um diese Vorteile an unsere Kunden weiterzugeben, werden wir Google Chronicle in unseren MDR-Service integrieren. Dort spielt es mit dem Cortex xSOAR von Palo Alto zusammen, einer der führenden SOAR-Lösungen auf dem Markt. Die indevis-Spezialisten binden Logquellen an, erstellen Use Cases, überwachen die Warnmeldungen und helfen im Falle eines Cyberangriffs bei der Bewältigung. Außerdem bieten wir Google Chronicle auch als Reseller an und unterstützen unsere Kunden mit Professional Services. Durch das Zusammenspiel von Google Chronicle und den Managed Security Services von indevis können Unternehmen ihre Bedrohungserkennung auf das nächste Level heben.


Wolfram Dorfner

Head of Marketing, indevis

Das könnte Sie auch interessieren:

Neu im indevis Portfolio: Google Chronicle Cloud-native SIEM und Security Operations Suite

2 minuutin luku

Neu im indevis Portfolio: Google Chronicle Cloud-native SIEM und Security Operations Suite

Die Chronicle Cloud-native SIEM und Security Operations Suite für das moderne SOC ermöglichet Bedrohungsanalysen mit der Geschwindigkeit, Skalierbarkeit und Intelligenz von Google. Das disruptive Lizenzmodell offeriert feste und vorhersehbare Preise, die von Kapazität, Rechenleistung und Anzahl der Protokollquellen entkoppelt sind.

Wie Google Security Operations (ehem. Chronicle) die Cybersicherheitslandschaft verändert

4 minuutin luku

Wie Google Security Operations (ehem. Chronicle) die Cybersicherheitslandschaft verändert

Angesichts des Trends zur Cloud-Nutzung durch Unternehmen agieren nun alle großen Hyperscaler im Sicherheitsbereich. Google positioniert sich durch die Akquisition führender Threat Intelligence als Wegweiser in der Bedrohungserkennung und -bekämpfung. Welche einzigartigen Eigenschaften und Vorteile Google Security Operations (früher Chronicle) bietet und was wir in Zukunft von Google bei der Sicherheitsüberwachung erwarten können, erfahren Sie in diesem Blogbeitrag.

Google Chronicle: Hersteller-agnostischer Katalysator für SOC-/Security Projekte

2 minuutin luku

Google Chronicle: Hersteller-agnostischer Katalysator für SOC-/Security Projekte

Mit Google Chronicle vermarktet der Onlineriese seit einiger Zeit die eigenentwickelte cloud-native SIEM und Security Operations Suite, mit der er sich selbst vor Cyberangriffen verteidigt. Das Spannende daran: Chronicle ist beim Thema Logdaten absolut herstellerneutral. Dank zahlreicher Schnittstellen zu führenden IT-Security Anbietern bleiben Unternehmen bei der Wahl ihrer Security-Infrastruktur vollkommen flexibel.