|
Splunk |
Google Chronicle |
Flexibilität bei der Architektur |
Die Bereitstellung von Splunk Enterprise Security ist in jeder Umgebung möglich – ob lokal, cloudbasiert oder hybrid. Unsere Lösung passt sich an Ihre geschäftlichen Anforderungen an, nicht umgekehrt. |
Chronicle erlaubt nur die Bereitstellung innerhalb der Google Cloud – ein Nachteil für viele Organisationen, die keine reine Cloud-Umgebung nutzen. |
Datenoptimierung |
Mit Splunk optimieren Sie Ihre Datenquellen für die bestmögliche Nutzung in der Splunk-Plattform. Daten sind unmittelbar am Speicherort auffindbar und werden nur dann erfasst, wenn sie für Aufgaben wie Normalisierung, Anreicherung, Datenverfügbarkeit und -aufbewahrung benötigt werden. Mit Splunk Enterprise Security können Sie Ihre Daten selbst am Edge flexibel speichern und abrufen. Ebenso können Sie definieren, welche wichtigen Daten für Security-Anwendungsfälle berücksichtigt werden sollen. Dies ermöglicht eine Datenoptimierungsstrategie zu den geringstmöglichen Kosten. |
Die Datenaufnahme ist bei Chronicle so aufwändig und kompliziert, dass viele Kunden professionelle Services in Anspruch nehmen müssen. Bis sich die Kosten dafür amortisiert haben, vergeht viel Zeit. Um Kosten zu sparen, entscheiden sich manche Kunden sogar, auf die Erfassung bestimmter Datenquellen ganz zu verzichten – mit Transparenzlücken als Folge. |
Kuratierte Erkennungen |
Splunk bietet über 1.500 kuratierte Erkennungen, die auf Branchen-Frameworks abgestimmt sind. Das macht es Ihnen leicht, das Potenzial der Lösung sofort voll auszuschöpfen. Außerdem erhalten Sie automatisch aktualisierte Sicherheitsinhalte direkt vom Splunk Threat Research Team, damit Sie bei neuen Bedrohungen die Nase vorn haben. |
Security-Teams werden zuerst an von der Community gepflegte GitHub-Repositorys verwiesen – vor allem dann, wenn sie sich außerhalb bestimmter Cloud-Inhalte bewegen. Ein guter SIEM-Anbieter sollte aber ein ebenso großes Interesse an neuen und stets aktuellen Security-Inhalten haben wie seine Kundschaft. |
Proaktive Risikominimierung |
Splunk Enterprise Security erleichtert dank risikobasierten Warnmeldungen (Risk-Based Alerting – RBA) die Priorisierung von Risikoereignissen. Benutzern und Systemen wird eine Risikoeinstufung zugewiesen, Benachrichtigungen werden Cybersicherheits-Frameworks zugeordnet und bei Überschreiten bestimmter Risiko-Schwellenwerte erfolgen automatisch Warnmeldungen. Das reduziert Fehlalarme und richtet den Fokus auf wirklich relevante Bedrohungen und Risiken, mit denen sich Ihr Team dann proaktiv auseinandersetzen kann. |
Fortschrittliche risikobasierte Warnmeldungen gibt es bei Chronicle nicht. Auch moderne Korrelierungsfunktionen und individuelle Risikobewertungen fehlen. In Chronicle ist es daher nicht möglich, Warnmeldungen effektiv zu priorisieren. So werden kritische Security-Risiken möglicherweise nicht schnell genug erkannt und angegangen. |
Betriebliche Effizienz |
Splunk bietet Erweiterungsoptionen, nahtlose Integrationen und Unterstützung für hybride Umgebungen, sodass Ihr SOC-Team Bedrohungen und Risiken genau auf den Grund gehen kann. Branchenführende Produkte wie Splunk Enterprise Security, Splunk SOAR, Splunk User Behavior Analytics und Splunk Attack Analyzer sind in einer einheitlichen TDIR-Plattform integriert, die ein breites Spektrum an SecOps-Anwendungsfällen abdeckt. |
Google Chronicle bietet zwar grundlegende SOC-Funktionen, aber keine effizient koordinierten Workflows zur Erkennung, Analyse und Behebung von Security-Incidents. Da es an zuverlässigen, aussagekräftigen Echtzeit-Warnmeldungen fehlt, müssen sich SOC-Teams oft durch eine riesige Zahl an Abfrageantworten wühlen. Das kostet wertvolle Zeit und kann einer schnellen Reaktion im Weg stehen. |