In unseren Systemen können wir nun Schwachstellen entdecken, die uns mit anderen Plattformen verborgen blieben. Mit Splunk haben wir alles Nötige, um unsere Sicherheitsstrategie zu verbessern und die Ressourcen und Informationen von Soriana besser zu schützen.
Splunk vs. Google Chronicle
Splunk Enterprise Security bietet Ihnen handfeste Vorteile: neben umfassenden Einblicken in Ihre Umgebung auch präzise Erkennung mit Kontextinformationen und mehr betriebliche Effizienz. So können Sie relevante Incidents rechtzeitig erkennen, ganzheitlich untersuchen und schnell beheben. Unsere SIEM-Lösung wurde als einzige in gleich drei wichtigen Analystenberichten als ein „Leader“ ausgezeichnet.
Google Chronicle
Keine Flexibilität und Wahlfreiheit bei der Architektur
In der heutigen dynamischen IT-Landschaft, in der über 80 % der Unternehmen Multi-Cloud-Umgebungen nutzen, stößt Google Chronicle zusehends an seine Grenzen. Der Grund dafür ist eine Bereitstellungsarchitektur, die ausschließlich auf Google Cloud Platform basiert und daher nicht die Flexibilität bietet, die moderne Organisationen für ihre Cloud-Strategie benötigen.
Splunk-Vorteil
Splunk bietet Ihrem SOC flexible Optionen, die ein erfolgreiches Arbeiten in einer dynamischen Landschaft ermöglichen. Ob Multi-Cloud-, Hybrid- oder On-Premises-Umgebungen – mit Splunk haben Sie Ihre gesamte Architektur unter Kontrolle und sind für die Zukunft vorbereitet.
Google Chronicle
Mangelnde kontextualisierte Bedrohungserkennung
Die sofort einsatzbereiten Erkennungsoptionen von Google Chronicle sind deutlich begrenzt. Wer individuelle Erkennungsregeln erstellen möchte, muss daher mit erhöhtem Zeit- und Ressourcenaufwand rechnen. Hinzu kommt die Komplexität der erweiterten Korrelierung, der Warnfunktionen und der benutzerdefinierten Risikoeinstufungen bei Chronicle – mit der Folge, dass SOC-Teams mit Warnmeldungen überflutet werden und kritische Bedrohungen nicht schnell genug erkennen.
Splunk-Vorteil
Splunk Enterprise Security umfasst über 1.500 kuratierte Erkennungen, die vom Splunk Threat Research Team spezifisch auf Branchen-Frameworks zugeschnitten wurden. Unsere risikobasierten Warnmeldungen (Risk-Based Alerting – RBA) reduzieren Fehlalarme, da Nutzern und Systemen Risikoeinstufungen zugewiesen werden und Warnmeldungen nur bei Überschreiten vordefinierter Schwellenwerte erfolgen. Das bedeutet bis zu 90 % weniger Warnmeldungen insgesamt, sodass sich Ihr Team auf wirklich wichtige Bedrohungen konzentrieren kann. Außerdem sind Erkennungen innerhalb von Splunk Enterprise Security nativ auf Branchen-Frameworks wie MITRE ATT&CK, NIST, CSF 2.0 und Cyber Kill Chain® abgestimmt.
Google Chronicle
Überforderte Teams aufgrund ineffizienter Workflows
Google Chronicle bietet SOC-Analysten nicht die nötigen Tools, um kritische Abläufe zur Erkennung, Analyse und Bekämpfung von Bedrohungen (Threat Detection, Investigation and Response – TDIR) effizient koordinieren zu können. Bloßes Suchen in zahllosen Abfrageantworten reicht heute nicht mehr aus. SOC-Teams benötigen vielmehr Echtzeit-Zugriff auf zuverlässige, aussagekräftige Warnmeldungen, damit sie schnelle Entscheidungen treffen können – diese Anforderung erfüllt Chronicle nicht.
Splunk-Vorteil
Splunk Enterprise Security bietet koordinierte, risikobasierte Workflows für den gesamten TDIR-Prozess in einer einheitlichen, modernen Oberfläche. Sämtliche Workflows lassen sich in Splunk SOAR integrieren, sodass Ihrem SOC-Team zusätzliche Orchestrierungs- und Incident-Response-Features zur Verfügung stehen. Dadurch kann Ihr Team Reaktionen je nach Dringlichkeit optimal koordinieren und priorisieren, um Risiken für Ihr Unternehmen zu minimieren.
| Splunk | Google Chronicle | |
|---|---|---|
| Flexibilität bei der Architektur | Die Bereitstellung von Splunk Enterprise Security ist in jeder Umgebung möglich – ob lokal, cloudbasiert oder hybrid. Unsere Lösung passt sich an Ihre geschäftlichen Anforderungen an, nicht umgekehrt.
|
Chronicle erlaubt nur die Bereitstellung innerhalb der Google Cloud – ein Nachteil für viele Organisationen, die keine reine Cloud-Umgebung nutzen.
|
| Datenoptimierung |
Mit Splunk optimieren Sie Ihre Datenquellen für die bestmögliche Nutzung in der Splunk-Plattform. Daten sind unmittelbar am Speicherort auffindbar und werden nur dann erfasst, wenn sie für Aufgaben wie Normalisierung, Anreicherung, Datenverfügbarkeit und -aufbewahrung benötigt werden. Mit Splunk Enterprise Security können Sie Ihre Daten selbst am Edge flexibel speichern und abrufen. Ebenso können Sie definieren, welche wichtigen Daten für Security-Anwendungsfälle berücksichtigt werden sollen. Dies ermöglicht eine Datenoptimierungsstrategie zu den geringstmöglichen Kosten. |
Die Datenaufnahme ist bei Chronicle so aufwändig und kompliziert, dass viele Kunden professionelle Services in Anspruch nehmen müssen. Bis sich die Kosten dafür amortisiert haben, vergeht viel Zeit. Um Kosten zu sparen, entscheiden sich manche Kunden sogar, auf die Erfassung bestimmter Datenquellen ganz zu verzichten – mit Transparenzlücken als Folge.
|
| Kuratierte Erkennungen | Splunk bietet über 1.500 kuratierte Erkennungen, die auf Branchen-Frameworks abgestimmt sind. Das macht es Ihnen leicht, das Potenzial der Lösung sofort voll auszuschöpfen. Außerdem erhalten Sie automatisch aktualisierte Sicherheitsinhalte direkt vom Splunk Threat Research Team, damit Sie bei neuen Bedrohungen die Nase vorn haben. |
Security-Teams werden zuerst an von der Community gepflegte GitHub-Repositorys verwiesen – vor allem dann, wenn sie sich außerhalb bestimmter Cloud-Inhalte bewegen. Ein guter SIEM-Anbieter sollte aber ein ebenso großes Interesse an neuen und stets aktuellen Security-Inhalten haben wie seine Kundschaft.
|
| Proaktive Risikominimierung | Splunk Enterprise Security erleichtert dank risikobasierten Warnmeldungen (Risk-Based Alerting – RBA) die Priorisierung von Risikoereignissen. Benutzern und Systemen wird eine Risikoeinstufung zugewiesen, Benachrichtigungen werden Cybersicherheits-Frameworks zugeordnet und bei Überschreiten bestimmter Risiko-Schwellenwerte erfolgen automatisch Warnmeldungen. Das reduziert Fehlalarme und richtet den Fokus auf wirklich relevante Bedrohungen und Risiken, mit denen sich Ihr Team dann proaktiv auseinandersetzen kann. |
Fortschrittliche risikobasierte Warnmeldungen gibt es bei Chronicle nicht. Auch moderne Korrelierungsfunktionen und individuelle Risikobewertungen fehlen. In Chronicle ist es daher nicht möglich, Warnmeldungen effektiv zu priorisieren. So werden kritische Security-Risiken möglicherweise nicht schnell genug erkannt und angegangen.
|
| Betriebliche Effizienz | Splunk bietet Erweiterungsoptionen, nahtlose Integrationen und Unterstützung für hybride Umgebungen, sodass Ihr SOC-Team Bedrohungen und Risiken genau auf den Grund gehen kann. Branchenführende Produkte wie Splunk Enterprise Security, Splunk SOAR, Splunk User Behavior Analytics und Splunk Attack Analyzer sind in einer einheitlichen TDIR-Plattform integriert, die ein breites Spektrum an SecOps-Anwendungsfällen abdeckt. | Google Chronicle bietet zwar grundlegende SOC-Funktionen, aber keine effizient koordinierten Workflows zur Erkennung, Analyse und Behebung von Security-Incidents. Da es an zuverlässigen, aussagekräftigen Echtzeit-Warnmeldungen fehlt, müssen sich SOC-Teams oft durch eine riesige Zahl an Abfrageantworten wühlen. Das kostet wertvolle Zeit und kann einer schnellen Reaktion im Weg stehen.
|
Nummer 1 im IDC-Bericht „Market Share for SIEM“
