In einem früheren Blog haben wir über die Vorteile von Zeek-formatierten Metadaten geschrieben. In diesem Blog geht es darum, warum unsere Kunden uns als Unternehmenslösung zur Unterstützung ihrer Zeek-Implementierungen wählen.
Der Grund dafür lässt sich am besten anhand der Erfahrungen eines unserer Regierungskunden erläutern, der sich anfangs dafür entschied, seine eigene Zeek/Bro-Installation einzurichten und zu warten. Zu dieser Zeit war die Begründung vernünftig: Die Nutzung interner Ressourcen für eine einmalige Bereitstellung in kleinem Umfang und die schrittweise Wartung zusammen mit der restlichen Infrastruktur bei gleichzeitiger Bereitstellung eines beträchtlichen Werts für das Sicherheitsteam.
Im Laufe der Zeit wurde sie jedoch immer unhaltbarer:
- Es war schwierig, das System auf dem neuesten Stand zu halten. Bei jedem Patch oder jeder neu veröffentlichten Version musste der Administrator eine Binärdatei neu kompilieren und erneut bereitstellen.
- Die Skalierung wurde schwierig. Auch wenn dies zum Teil eine architektonische Entscheidung ist, können Sensoren standardmäßig nur selten skaliert werden - vor allem solche, die einen Großteil der Analyse und Verarbeitung auf den Sensor verlagern. Wir sehen nicht viele Bereitstellungen, die sogar mit 3 Gbit/s pro Sensor arbeiten können. Mit der Zeit fingen die Sensoren an, Pakete zu verlieren. Der Kunde musste plötzlich Cluster aufbauen, um die erforderliche Verarbeitung zu unterstützen.
- Die Verwaltung von Legionen verteilter Sensoren an mehreren geografischen Standorten war äußerst schwierig, insbesondere wenn die Sensorkonfigurationen heterogen waren. Wenn Administratoren, die mit dem System vertraut waren, das Unternehmen verließen, blieb ein wichtiger Teil der Sicherheitsinfrastruktur unverwaltet zurück.
Viele unserer Kunden fragen uns deshalb, wie ihre Sicherheitsteams ihre Zeit besser nutzen können. Manuelle Verwaltung von Tools (auch bekannt als "sich gerade so über Wasser halten") oder Sicherheitsexperten und Bedrohungsjäger sein? Betrachten Sie den folgenden Vergleich zwischen einem selbstverwalteten Szenario und einer Vectra Bereitstellung.
Zusätzlich zu den Herausforderungen, die dieser Kunde bei der Bereitstellung zu bewältigen hat, stellen die täglichen betrieblichen Anforderungen wie Systemüberwachung, Systemprotokollierung und sogar Front-End-Authentifizierung eine große Belastung dar. Die meisten entscheiden sich dafür, einen Partner zu finden, der die Komplexität einer solchen Bereitstellung vereinfachen kann: Verkürzen Sie die Zeit bis zur Bereitstellung, ermöglichen Sie automatische Updates, die regelmäßige Patches und Wartungsarbeiten überflüssig machen, und führen Sie eine kontinuierliche Systemüberwachung durch.
Dies sind Standardfunktionen, die es Ihnen ermöglichen, sich auf die ursprüngliche Aufgabe Ihres Sicherheitsteams zu konzentrieren. Denken Sie über die Architektur und den Einsatz Ihrer Datenerfassung und -analyse nach. Wir laden Sie ein, sich mit einem Vertreter von Vectra in Verbindung zu setzen, um ein Beratungsgespräch über Ihren Einsatz zu führen, oder sich mit den Autoren dieser Gartner-Studie in Verbindung zu setzen, um mehr über diese Themen zu erfahren.