Montag, Januar 13, 2025
Netzpalaver
HomeSicherheit

Next-Gen-SIEM zur Unterstützung von KI-nativen SOCs

8. Mai 2024

Crowdstrike stellte die neuen Crowdstrike-Falcon-Next-Gen-SIEM-Innovationen vor, die Kunden von den Beschränkungen herkömmlicher SIEM-Produkte befreien und den Weg für ein KI-natives SOC ebnen. Um die SOC-Transformation zu beschleunigen, erhalten alle Falcon Insight-Kunden täglich zehn Gigabyte an Daten von Drittanbietern kostenlos, um die Geschwindigkeit und Leistung von Falcon-Next-Gen SIEM zu erleben.

In einer Zeit, in der Breakout-Zeiten in Minuten gemessen werden, ist es unerlässlich, Sicherheitsmaßnahmen zu ergreifen, die mit der Geschwindigkeit der Angreifer mithalten können. Herkömmliche SIEM-Lösungen sind zu langsam und zu komplex, um die von den Kunden geforderten Sicherheitsergebnisse zu liefern. SIEMs haben sich zu einem wahren Datenwust entwickelt, der Sicherheitsanalysten dazu zwingt, sich durch mehrere Datenquellen, Tools und Konsolen zu arbeiten, um die Daten zu interpretieren und Analysen durchzuführen. Gleichzeitig kämpfen die als SIEM-Alternativen positionierten Einzelprodukte mit langsamen Suchgeschwindigkeiten, begrenzten Datenvisualisierungs- und Analysemöglichkeiten und einem Datenimplementierungsprozess, der langwierige Implementierungen erfordert und die Gesamtkosten in die Höhe treibt. Um Sicherheitsteams die Geschwindigkeit zu geben, die sie benötigen, um Verstöße zu stoppen, benötigt das moderne SOC eine Plattform, die Daten, Sicherheit und IT zusammenbringt und in der KI und Workflow-Automatisierung nativ integriert sind.

„Mit der Ankündigung setzt Crowdstrike neue Maßstäbe für SIEMs der nächsten Generation, die speziell für ein KI-basiertes SOC entwickelt wurden. Die Geschwindigkeit der heutigen Cyberangriffe erfordert von den Sicherheitsteams eine schnelle Analyse großer Datenmengen, um Bedrohungen schneller zu erkennen, zu untersuchen und darauf zu reagieren. Bisherige SIEM-Systeme haben dieses Versprechen nicht gehalten. Kunden sehnen sich nach einer besseren Technologie, die einen sofortigen Nutzen und mehr Funktionalität bei geringeren Gesamtbetriebskosten bietet“, sagt George Kurtz, CEO und Mitgründer von Crowdstrike. „Ein Großteil der kritischen Sicherheitsdaten befindet sich bereits auf der Falcon-Plattform, wodurch Zeit und Kosten für die Datenübertragung zu einem herkömmlichen SIEM eingespart werden. Unsere Single-Agent- und Single-Plattform-Architektur vereint eigene und fremde Daten mit KI und Workflow-Automatisierung, um das Versprechen des KI-nativen SOC zu erfüllen.“

 

Das KI-native SOC: Volle Sichtbarkeit. Schnellere Erkennung und Reaktion

Falcon-Next-Gen-SIEM ist die Antwort von Crowdstrike auf das KI-native SOC und bietet eine bis zu 150-mal schnellere Suchgeschwindigkeit und 80 % niedrigere Gesamtbetriebskosten als herkömmliche SIEMs und Lösungen, die als SIEM-Alternativen positioniert werden. Zu den neuen und erweiterten Innovationen in der neuesten Version von Falcon Next-Gen SIEM gehören:

Generative KI und Workflow-Automatisierung:

  • Charlotte-AI für alle Falcon-Daten: Charlotte-AI, der generative KI-Sicherheitsanalyst von Crowdstrike, der jeden Anwender zum Power-User macht, ist jetzt für alle Falcon-Daten in Next-Gen-SIEM verfügbar. Analysten können jede beliebige Frage zu Falcon-Daten in der Falcon-Plattform, der Produktdokumentation oder den Wissensdatenbanken in einfacher Sprache stellen und erhalten innerhalb von Sekunden eine Antwort.
  • Charlotte-AI für Untersuchungen: Erhöht die Geschwindigkeit und Effizienz von Untersuchungen durch die automatische Korrelation aller zusammenhängenden Kontexte zu einem einzelnen Vorfall und die Erstellung einer LLM-basierten Incident-Zusammenfassung, die von Sicherheitsanalysten aller Qualifikationsstufen verstanden werden kann.
  • Neue GenAI-Promptbooks: Neue, sofort einsatzbereite Promptbooks steuern die gängigsten Analysten-Workflows in den Bereichen Erkennung, Untersuchung, Suche und Reaktion mit hoher Geschwindigkeit. Darüber hinaus können Teams benutzerdefinierte Prompts definieren, um spezifische Erkennungs- und Reaktionsworkflows zu standardisieren und wiederzuverwenden und so schneller und effizienter vom Vorfall zur Reaktion zu gelangen.
  • Native SIEM- und SOAR-Integration: Falcon-Fusion-SOAR bietet eine neue, modernisierte Benutzeroberfläche für die Erstellung von Playbooks und Workflows per Drag-and-Drop, wodurch die Erkennung, Untersuchung und Reaktion beschleunigt werden. Falcon-Next-Gen-SIEM enthält eine wachsende Bibliothek von Integrationen und Aktionen, um kritische Sicherheits- und IT-Anwendungsfälle über verschiedene Teams und Tools hinweg zu automatisieren.
  • Automatisierte Untersuchungen und Threat-Hunting: Falcon-Fusion-SOAR automatisiert die Arbeitsabläufe bei Untersuchungen und Threat-Hunting. Analysten können automatisch alle Daten in Falcon-Next-Gen-SIEM abfragen und den Kreis schließen, indem sie die Ergebnisse visualisieren oder Aktionen über Falcon und Tools von Drittanbietern hinweg orchestrieren.

 

Schnelle Datenerfassung für konsolidierte Erkennungs- und Reaktionsmöglichkeiten:

  • Ein erweitertes Daten-Ökosystem: Falcon-Next-Gen-SIEM enthält neue und aktualisierte Konnektoren, um IT- und Sicherheitsdaten von Drittanbietern auf der einheitlichen Falcon-Plattform zu konsolidieren.
  • Neue Cloud-Konnektoren: Auch umfassende Konnektoren für AWS, Azure und GCP sind enthalten. Die AWS-Abdeckung umfasst alle wichtigen Cloud-Dienste wie Guardduty, Security-Hub und S3-Access-Logs. Die Azure-Konnektoren umfassen Microsoft-Defender for Cloud und Microsoft-Exchange-Online.
  • Automatisierte Datennormalisierung nach einem gemeinsamen Standard: Das Onboarding von Daten wird durch neue Parser rationalisiert und vereinfacht. Die automatisierte Normalisierung von Daten von Drittanbietern auf Basis des neuen Crowdstrike-Parsing-Standards schafft ein gemeinsames Verständnis, das eine schnelle und präzise Erkennung und Reaktion über alle Datenquellen hinweg ermöglicht.
  • Automatisiertes SIEM-Daten-Onboarding: Neue Datenmanagement-Funktionen machen es einfach, den Zustand, das Volumen und den Status der Datenerfassung zu verstehen und benutzerdefinierte Parser zu verwalten und zu bearbeiten, um neue Datenquellen, einschließlich lokaler Log-Sammler, einfach zu integrieren.

Modernes Analystenerlebnis mit Incident-Workbench Innovationen:

  • Automatische Anreicherung von Vorfällen: Neue automatische Anreicherungsfunktionen ergänzen die Indikatoren, die ein Analyst zu einem Vorfall hinzufügt und liefern vollständigen Kontext von der Falcon-Plattform, einschließlich gegnerischer TTPs, Host- und Benutzerdaten und zugehöriger Schwachstellen – was die Untersuchungszeit verkürzt.
  • Fallmanagement und Zusammenarbeit bei Vorfällen: Neue und verbesserte Funktionen unterstützen die Zusammenarbeit zwischen Analysten und die Benutzerfreundlichkeit, einschließlich einer vereinfachten Benutzeroberfläche mit benutzerdefinierten Ansichten, direktem Zugriff auf die erweiterte Ereignissuche von der Incident-Workbench aus, Änderung des Schweregrades und der Bezeichnung sowie automatische Änderungsbenachrichtigungen, wenn ein anderer Analyst eine Notiz hinzufügt.
  • Hinzufügen von Bedrohungsdaten mit benutzerdefinierten Lookup-Dateien: Fügen Sie Bedrohungsdaten oder benutzerdefinierte Inhalte mühelos zu Falcon-Next-Gen-SIEM hinzu, um die Suche ohne langwierige manuelle Prozesse voranzutreiben.

#Crowdstrike

Tags:Charlotte-AICrowdstrikeCybersecurityGenAIkünstliche IntelligenzSecuritySecurity-Operations-CenterSicherheitsanalystSIEMSOARSOCThreat-Huntin

Weitere interessante Beiträge

load more