Wir haben jetzt Einblick in alle unsere Tools und Ressourcen, unabhängig davon, ob es sich um selbst entwickelte oder Drittanbieter-Anwendungen handelt. Diese Informationen schärfen das Sicherheitsbewusstsein und dienen als Grundlage für unsere unternehmensweiten Maßnahmen.
Splunk vs. Microsoft Sentinel
Splunk Enterprise Security bietet Ihnen handfeste Vorteile: neben umfassenden Einblicken in Ihre Umgebung auch präzise Erkennung mit Kontextinformationen und mehr betriebliche Effizienz. So können Sie relevante Incidents rechtzeitig erkennen, ganzheitlich untersuchen und schnell beheben. Unsere SIEM-Lösung wurde als einzige in gleich drei wichtigen Analystenberichten als ein „Leader“ ausgezeichnet.
Microsoft Sentinel
Kompliziertes Preismodell
Die Preise für Microsoft Sentinel sind abhängig von der Datenaufnahme, wobei weitere versteckte Kosten hinzukommen können, etwa für Speicherung, Archivierung, Wiederherstellung und Suche. Microsoft E5 stellt zwar eine tägliche Datengutschrift in Aussicht, doch diese ist auf eine bestimmte Auswahl von Datenquellen beschränkt.
Splunk-Vorteil
Das flexible Tarifmodell von Splunk basiert auf der erfassten Datenmenge oder der Nutzung. Dadurch sind die Kosten transparent und kalkulierbar. Wir möchten Ihnen die bestmöglichen Technologien für Ihre Umgebung bieten.
Microsoft Sentinel
Keine Flexibilität bei der Architektur
Um mit den Anforderungen ihrer Kundschaft mithalten zu können, wechseln viele Unternehmen immer häufiger ihren Technologieansatz. Bei Microsoft Sentinel sind Sie jedoch an Azure Cloud als SIEM-Backend-Lösung gebunden. Daran lässt sich nichts ändern – es sei denn, Sie wechseln den Anbieter.
Splunk-Vorteil
Splunk bietet Ihrem SOC flexible Optionen, die ein erfolgreiches Arbeiten in einer dynamischen Landschaft ermöglichen. Ob Multi-Cloud-, Hybrid- oder On-Premises-Umgebungen – mit Splunk haben Sie Ihre gesamte Architektur unter Kontrolle und sind für die Zukunft vorbereitet.
Microsoft Sentinel
Wenig ausgereifte kontextualisierte Bedrohungserkennung
Sentinel bietet zwar Warnungen, Informationen zu Incidents und Angriffsketten, aber wenig Hilfe für überlastete SOC-Teams. Schnelle Analysen zur Priorisierung der wichtigsten Bedrohungen haben bei Microsoft keine Priorität. Die Funktion zur nativen Zuordnung von Ereignissen zu Branchen-Frameworks wie MITRE ATT&CK, NIST CSF 2.0 und Cyber Kill Chain ist unausgereift und nur mit dem Azure Security Center verfügbar.
Splunk-Vorteil
Splunk Enterprise Security umfasst über 1.500 kuratierte Erkennungen, die vom Splunk Threat Research Team spezifisch auf Branchen-Frameworks zugeschnitten wurden. Unsere risikobasierten Warnmeldungen (Risk-Based Alerting – RBA) reduzieren Fehlalarme, da Nutzern und Systemen Risikoeinstufungen zugewiesen werden und Warnmeldungen nur bei Überschreiten vordefinierter Schwellenwerte erfolgen. Das bedeutet bis zu 90 % weniger Warnmeldungen insgesamt, sodass sich Ihr Team auf wirklich wichtige Bedrohungen konzentrieren kann. Außerdem sind Erkennungen innerhalb von Splunk Enterprise Security nativ auf Branchen-Frameworks wie MITRE ATT&CK, NIST, CSF 2.0 und Cyber Kill Chain® abgestimmt.
Microsoft Sentinel
Isolierte, ineffiziente SOC-Workflows
Die Erkennungs-, Untersuchungs- und Incident-Response-Abläufe sind bei Microsoft Sentinel kaum aufeinander abgestimmt. Zwar stehen Playbooks zur Verfügung, aber die Automatisierung mit Logic Apps ist vorrangig auf das Azure-Ökosystem ausgerichtet. Die Erweiterung auf Nicht-Microsoft-Technologien ist daher nur eingeschränkt möglich.
Splunk-Vorteil
Splunk Enterprise Security bietet koordinierte Workflows für den gesamten Prozess zur Erkennung, Untersuchung und Behebung von Security-Incidents – alles in einer einheitlichen, modernen Oberfläche. Sämtliche Workflows lassen sich in Splunk SOAR integrieren, sodass Ihrem SOC-Team zusätzliche Orchestrierungs- und Incident-Response-Features zur Verfügung stehen. Dadurch kann Ihr Team Reaktionen je nach Dringlichkeit optimal koordinieren und priorisieren, um Risiken für Ihr Unternehmen zu minimieren.
| Splunk | Microsoft Sentinel | |
|---|---|---|
| Technologieauswahl | Splunk Enterprise Security ermöglicht die Aufnahme, Normalisierung und Analyse von Daten aus jeder beliebigen Quelle und in jedem Umfang. Die Nutzer bestimmen, welche Daten erfasst werden sollen – inklusive Edge-Daten –, und profitieren dank Data Tiering von günstigen Speicherkosten. Splunk Enterprise Security bietet vielfältige Integrationsoptionen für führende globale Anbieter und überlässt Kunden damit die freie Technologieauswahl. Anbieterbindung gibt es bei Splunk nicht.
|
Wer Sentinel nutzt, muss mit den von Microsoft vorgegebenen Datenaufnahmeprioritäten vorliebnehmen. Microsoft-Produkte stehen dabei immer an erster Stelle. Doch selbst innerhalb des Microsoft-Ökosystems werden nicht alle Datenquellen voll unterstützt, stehen nur als Vorschau bereit oder erfordern einen hohen Konfigurationsaufwand. Darüber hinaus empfiehlt Microsoft Sentinel für wertvolle Log-Quellen wie Firewall-Logs weniger leistungsstarken Datenspeicher, was Untersuchungen erschweren und die Kosten in die Höhe treiben kann. |
| Kuratierte Erkennungen |
Splunk bietet über 1.500 kuratierte Erkennungen, die auf Branchen-Frameworks abgestimmt sind. Das macht es Ihnen leicht, das Potenzial der Lösung sofort voll auszuschöpfen. Außerdem erhalten Sie automatisch aktualisierte Sicherheitsinhalte direkt vom Splunk Threat Research-Team, damit Sie bei neuen Bedrohungen die Nase vorn haben. |
Bei Microsoft Sentinel lassen sich wichtige, leistungsstarke Features außerhalb der Konsole nur schwer identifizieren. Dadurch kann es vorkommen, dass Security-Verantwortliche Updates für solche Features verpassen oder die MITRE ATT&CK-Zuordnung erst dann nachvollziehen können, wenn es bereits zu einem Angriff gekommen ist. |
| Datenoptimierung | Mit Splunk optimieren Sie Ihre Datenquellen für die bestmögliche Nutzung in der Splunk-Plattform. Daten sind unmittelbar am Speicherort auffindbar und werden nur dann erfasst, wenn sie für Aufgaben wie Normalisierung, Anreicherung, Datenverfügbarkeit und -aufbewahrung benötigt werden. Mit Splunk Enterprise Security können Sie Ihre Daten selbst am Edge flexibel speichern und abrufen. Ebenso können Sie definieren, welche wichtigen Daten für Security-Anwendungsfälle berücksichtigt werden sollen. Dies ermöglicht eine Datenoptimierungsstrategie zu den geringstmöglichen Kosten. |
Microsoft räumt nach wie vor seinen eigenen Produkten absoluten Vorrang ein. Kunden können zwar zwischen Basis- und Analyseprotokollen auswählen, haben aber nur wenige Optionen für den Speicherort dieser Daten. Dadurch verlieren Unternehmen im Laufe der Zeit die Kontrolle darüber, wo sie eigene kritische Daten aufbewahren können. |
| Proaktive Risikominimierung | Splunk Enterprise Security erleichtert dank risikobasierten Warnmeldungen (Risk-Based Alerting – RBA) die Priorisierung von Risikoereignissen. Benutzern und Systemen wird eine Risikoeinstufung zugewiesen, Benachrichtigungen werden Cybersicherheits-Frameworks zugeordnet und bei Überschreiten bestimmter Risiko-Schwellenwerte erfolgen automatisch Warnmeldungen. Das reduziert Fehlalarme und richtet den Fokus auf wirklich relevante Bedrohungen und Risiken, mit denen sich Ihr Team dann proaktiv auseinandersetzen kann. |
Fortschrittliche risikobasierte Warnmeldungen gibt es bei Sentinel nicht. Security-Profis müssen sich manuell durch eine Flut an Warnmeldungen und Angriffsketten wühlen, ohne zu wissen, welche davon besonders kritisch sind. Auch moderne Korrelierungsfunktionen und individuelle Risikobewertungen fehlen. In Sentinel ist es daher nicht möglich, Warnmeldungen effektiv zu priorisieren. So werden kritische Security-Risiken möglicherweise nicht schnell genug erkannt und angegangen. |
| Betriebliche Effizienz | Splunk bietet einheitliche Abläufe zur Erkennung, Analyse und Bekämpfung von Bedrohungen (Threat Detection, Investigation and Response – TDIR), mit denen Ihr SOC-Team Bedrohungen und Risiken genau auf den Grund gehen kann. Ebenso stehen Erweiterungsoptionen, nahtlose Integrationen und Unterstützung für hybride Umgebungen zur Verfügung. Branchenführende Produkte wie Splunk Enterprise Security, Splunk SOAR, Splunk User Behavior Analytics und Splunk Attack Analyzer sind in einer einheitlichen TDIR-Plattform integriert, die ein breites Spektrum an SecOps-Anwendungsfällen abdeckt.
|
Sentinel umfasst zwar Playbooks, aber die Automatisierung mit Logic Apps ist vorrangig auf das Azure-Ökosystem ausgerichtet. Die Erweiterung auf Nicht-Microsoft-Technologien ist daher nur eingeschränkt möglich. Ein effektives SOC benötigt jedoch eine erweiterbare SIEM-Plattform, die nahtlose Integrationen bietet, verschiedene hybride Umgebungen unterstützt und Unternehmen umfassende Einblicke zu Bedrohungen und Risiken ermöglicht. Angesichts seines eingeschränkten Leistungsumfangs kann Sentinel diese dynamischen SOC-Anforderungen nur bedingt erfüllen. |
| Zukunftssicherheit | Wer im Security-Bereich arbeitet, weiß, wie wichtig es ist, auf die Zukunft vorbereitet zu sein. Splunk punktet nicht nur mit Flexibilität bei der Architektur, freier Anbieterwahl und kalkulierbaren Kosten, sondern investiert auch kontinuierlich in die Security-Community. Wir sind Mitbegründer des Open Cybersecurity Schema Framework (OCSF) und blicken mit Stolz auf unsere bisherigen Erfolge und unsere Ausrichtung für die Zukunft.
|
Microsoft engagiert sich mittlerweile ebenfalls im OCSF, allerdings nur in geringem Umfang. Die höchste Priorität räumt Microsoft offenbar noch immer der Förderung seiner eigenen Produkte und Standards ein. Für seine Kundschaft bedeutet dies, dass sie im Zuge der Weiterentwicklung von Technologien und Standards irgendwann ins Hintertreffen geraten könnte.
|
Nummer 1 im IDC-Bericht „Market Share for SIEM“
