|
Splunk |
IBM QRadar |
Ökosystem und Integrationen |
Splunk bietet über die Splunk-Plattform hinaus Zugang zu einer lebendigen User-Community und einem Ökosystem mit über 2.200 Partnern und mehr als 2.800 Anwendungen in Splunkbase. |
Mit lediglich 600 Drittanbieter-Integrationen für QRadar SIEM und SOAR ist IBM in Sachen Kompatibilität eingeschränkt. |
Datenoptimierung |
Mit Splunk optimieren Sie Ihre Datenquellen für die bestmögliche Nutzung in der Splunk-Plattform. Daten sind unmittelbar am Speicherort auffindbar und werden nur dann erfasst, wenn sie für Aufgaben wie Normalisierung, Anreicherung, Datenverfügbarkeit und -aufbewahrung benötigt werden. Mit Splunk Enterprise Security können Sie Ihre Daten selbst am Edge flexibel speichern und abrufen. Ebenso können Sie definieren, welche wichtigen Daten für Security-Anwendungsfälle berücksichtigt werden sollen. Dies ermöglicht eine Datenoptimierungsstrategie zu den geringstmöglichen Kosten. |
QRadar SIEM hat nur begrenzte Funktionen, mit denen Sie Ihre Daten optimieren können. Zur Datenaufnahme benötigt die Lösung nach wie vor ein Schema, was den Umgang mit Daten aus Nicht-IBM-Quellen erschwert. Dieser Ansatz erfordert eine Zuordnung, um Security-Log-Daten richtig parsen zu können. Die Folgen sind versteckte Kosten bei der Erstellung von benutzerdefiniertem Code, Kapazitätsüberschüsse bei der Log-Suche und -Abfrage sowie Hindernisse bei der Automatisierung des Log-Parsings. |
Proaktive Risikominimierung |
Splunk Enterprise Security erleichtert dank risikobasierten Warnmeldungen (Risk-Based Alerting – RBA) die Priorisierung von Risikoereignissen. Benutzern und Systemen wird eine Risikoeinstufung zugewiesen, Benachrichtigungen werden Cybersicherheits-Frameworks zugeordnet und bei Überschreiten bestimmter Risiko-Schwellenwerte erfolgen automatisch Warnmeldungen. Das reduziert Fehlalarme und richtet den Fokus auf wirklich relevante Bedrohungen und Risiken, mit denen sich Ihr Team dann proaktiv auseinandersetzen kann. |
Fortschrittliche risikobasierte Warnmeldungen fehlen in QRadar SIEM ebenso wie Funktionen, die SOC-Teams zur schnellen Erkennung, Untersuchung und Behebung von Sicherheitsbedrohungen benötigen. |
Kunden-Support |
Splunk unterstützt seine Kundschaft mit führenden Innovationen und einem engagierten Support. In puncto Einsatzbereitschaft und Treue ihrer Mitglieder sucht die globale Splunk-Community ihresgleichen im SIEM-Bereich. |
Einige Kunden, die von IBM QRadar SIEM auf Splunk Enterprise Security umgestiegen sind, geben an, dass die nachlassende Qualität des Supports ein wichtiger Grund für den Wechsel war. IDC zufolge „liegt das Hauptaugenmerk bei IBM nicht immer auf Kundenservice“. |
Innovation |
Damit Splunk-Kunden Cyberkriminellen immer eine Nasenlänge voraus sind, investiert Splunk fortlaufend in SecOps-Innovationen für seine hochmodernen SIEM- und Security-Analysefunktionen. Branchenführende Lösungen wie Splunk Enterprise Security, Splunk SOAR, Splunk User Behavior Analytics und Splunk Attack Analyzer sind in einer einheitlichen Plattform zur Erkennung, Analyse und Bekämpfung von Bedrohungen (Threat Detection, Investigation and Response – TDIR) integriert, die ein breites Spektrum an SecOps-Anwendungsfällen abdeckt. Und es kommen laufend weitere Innovationen hinzu. |
Branchenanalysten zufolge hat IBM QRadar das Innovationstempo seiner SIEM-Lösung zurückgefahren. Folglich hat der Anbieter immer größere Schwierigkeiten, mit den dynamischen Sicherheitsanforderungen moderner SOC-Teams mitzuhalten. IBM richtet sein Augenmerk nicht allein auf Security, sondern deckt mit seinem umfangreichen Portfolio auch zahlreiche andere Bereiche wie Hybrid-Cloud, Daten und KI, Automatisierung, Halbleiter und Quantencomputer ab. Dieser breit gestreute Fokus erklärt, warum QRadar in Sachen SIEM nur noch langsam vorankommt – ein Manko, dass immer mehr QRadar SIEM-Kunden umtreibt. |