Cloud-SIEM is het antwoord op die verschuiving. Het maakt gebruik van mogelijkheden voor beveiligingsinformatie- en gebeurtenisbeheer binnen een cloud-native architectuur, waardoor organisaties hetzelfde gecentraliseerde inzicht, dezelfde dreigingsdetectie en dezelfde nalevingsdekking krijgen als bij een traditioneel SIEM-systeem — zonder de infrastructuurkosten, hardwarebeperkingen of schaalbaarheidsbeperkingen die de exploitatie van verouderde systemen zo duur maakten.
Volgens Mordor Intelligence is cloudgebaseerde SIEM momenteel het snelst groeiende segment van de SIEM-markt, met een samengesteld jaarlijks groeipercentage (CAGR) van 12,84%, nu organisaties steeds vaker afstappen van kapitaalintensieve on-premises implementaties. Die groei is niet te danken aan het feit dat cloud-SIEM in de mode is. Ze vindt plaats omdat het echte problemen oplost waar on-premises SIEM consequent niet in slaagde.
In deze gids wordt uitgelegd wat cloud-SIEM is, hoe het zich verhoudt tot on-premises SIEM, welke functies en implementatiemodellen het belangrijkst zijn, en waar u op moet letten bij het beoordelen van oplossingen, inclusief hoe Kaseya SIEM aan elk van deze criteria voldoet.
Wat is cloud-SIEM?
Cloud SIEM is een oplossing voor beveiligingsinformatie- en gebeurtenisbeheer die via een cloudinfrastructuur wordt geleverd in plaats van lokaal te worden geïmplementeerd. Het verzamelt en bundelt log- en gebeurtenisgegevens uit de gehele IT-omgeving van een organisatie, waaronder eindpunten, netwerkapparaten, cloudplatforms, SaaS-toepassingen en identiteitssystemen, zet die gegevens om in een consistent formaat en past correlatierules en gedragsanalyses toe om bedreigingen te detecteren en in realtime waarschuwingen te genereren.
De term ‘cloud’ in ‘cloud-SIEM’ verwijst naar de manier waarop de oplossing wordt geleverd en beheerd. In plaats van zelf servers in te richten, opslagcapaciteit te beheren en software op uw eigen infrastructuur te onderhouden, draait het SIEM-systeem op een cloudinfrastructuur die door de leverancier wordt beheerd. Hierdoor verschuift de operationele last van het onderhoud van een SIEM-systeem van uw team naar de leverancier, terwijl uw beveiligingsteam via een browsergebaseerde interface toegang blijft houden tot alle functionaliteiten op het gebied van detectie, onderzoek en compliance.
Cloud-SIEM heeft verschillende benamingen, afhankelijk van wie het beschrijft. In de meeste contexten worden de termen ‘cloudgebaseerde SIEM’ en ‘SIEM-as-a-service’ door elkaar gebruikt met ‘cloud-SIEM’. ‘Cloud-native SIEM’ is een specifiekere term die verwijst naar oplossingen die vanaf de basis zijn ontwikkeld om in cloudomgevingen te functioneren, in tegenstelling tot traditionele SIEM’s die achteraf zijn aangepast voor levering via de cloud. Dit onderscheid is van belang bij het evalueren van leveranciers, aangezien een cloud-native architectuur doorgaans beter omgaat met schaalbaarheid, multitenant-omgevingen en API-gebaseerde integraties dan een legacy SIEM die is verpakt in een cloudhostingoplossing.
Als SIEM helemaal nieuw voor je is, geeft onze algemene inleiding tot SIEM je een goed overzicht van het geheel, voordat je je hier verdiept in de specifieke aspecten van de cloud.
Cloud-SIEM versus on-premises SIEM
De afweging tussen cloud- en on-premises SIEM draait om een afweging tussen kosten, controle, schaalbaarheid en de tijd die nodig is om rendement te behalen. Geen van beide modellen is in alle opzichten beter, maar voor de meeste organisaties is de balans inmiddels duidelijk doorgeslagen naar de cloud.
| Cloud-SIEM | SIEM op locatie | |
| Infrastructuur | Door de leverancier beheerde cloud | Door de klant beheerde hardware en software |
| Implementatietijd | Dagen tot weken | Weken tot maanden |
| Schaalbaarheid | Flexibel, schaalt mee met de hoeveelheid gegevens | Beperkt door de hardwarecapaciteit |
| Initiële kosten | Laag, meestal op basis van een abonnement | Hoge investeringsuitgaven |
| Lopend onderhoud | Wordt afgehandeld door de leverancier | Hiervoor is een intern team nodig |
| Updates en patches | Automatisch | Handmatig, vaak met vertraging |
| Gegevensbeheer | Verschilt per aanbieder | Volledige controle op locatie |
| Naleving in gereguleerde omgevingen | Ondersteund, controleer de voorwaarden inzake gegevensopslag | Geschikter voor strenge eisen op het gebied van gegevenssoevereiniteit |
| Inzicht in meerdere cloudomgevingen | Krachtige, native integraties met AWS/Azure/GCP | Beperkt zonder aangepaste connectoren |
Hieronder volgt een gedetailleerd overzicht van de punten waarmee u rekening moet houden bij het vergelijken van de twee modellen:
Kosten
Een on-premises SIEM-oplossing vereist een aanzienlijke initiële investering. Hardware, opslagruimte, softwarelicenties en de infrastructuur om dit alles te laten draaien moeten allemaal worden aangeschaft voordat er ook maar één logboekgegeven kan worden geanalyseerd. Naarmate de gegevensvolumes toenemen – en dat gebeurt steevast – moet er meer hardware worden aangeschaft. De kosten lopen op en de operationele lasten van het beheer komen voor rekening van uw interne team.
Met Cloud SIEM zijn die kapitaaluitgaven niet meer nodig. Je betaalt alleen voor wat je gebruikt, meestal per gebruiker of per datavolume, en de leverancier neemt de infrastructuurkosten voor zijn rekening. Voor organisaties die zich voorheen geen SIEM op bedrijfsniveau konden veroorloven, is dit de verandering die moderne dreigingsdetectie financieel haalbaar heeft gemaakt.
Schaalbaarheid
Traditionele on-premises SIEM-systemen zijn ontworpen voor omgevingen met voorspelbare datavolumes en relatief stabiele architecturen. Moderne omgevingen werken niet op die manier. Een hybride organisatie kan tegelijkertijd beveiligingsgebeurtenissen verwerken van tientallen clouddiensten, honderden SaaS-applicaties en duizenden eindpunten. Wanneer er iets ongewoons gebeurt, kan het aantal gebeurtenissen drastisch stijgen. Een on-premises SIEM-systeem dat is afgestemd op normale bedrijfsomstandigheden, faalt juist tijdens de incidenten die het juist had moeten opvangen.
Cloud-SIEM-platforms zijn elastisch schaalbaar, waardoor opslag- en rekencapaciteit automatisch worden uitgebreid naarmate het aantal gebeurtenissen toeneemt. De leverancier zorgt voor de systeemprestaties en de schaalbaarheid van de infrastructuur naarmate de omgevingen groeien, waardoor het niet meer nodig is om vooraf capaciteit te plannen of extra hardware aan te schaffen.
Onderhoud
Om een on-premises SIEM-systeem effectief te beheren, is toegewijd personeel nodig. Er moet iemand zijn die de infrastructuur beheert, software-updates installeert, integraties onderhoudt, correlatieregels afstemt en de systeemstatus in de gaten houdt. Voor veel organisaties is die inzet van middelen de echte reden waarom hun investering in een SIEM-systeem niet het gewenste resultaat oplevert. De tool is er wel, maar komt nooit volledig tot zijn recht omdat niemand de tijd heeft om hem optimaal te laten functioneren.
Met een cloud-SIEM komt het grootste deel van die onderhoudslast bij de leverancier te liggen. Updates worden automatisch uitgevoerd. Integraties worden door de provider onderhouden. Het monitoren van de infrastructuur is niet langer uw zorg. Uw team kan zich concentreren op de informatie die het SIEM-systeem u geeft, in plaats van op het draaiende houden ervan.
Bijzondere omstandigheden
On-premises SIEM biedt in bepaalde situaties nog steeds voordelen. Organisaties met strenge eisen op het gebied van gegevenssoevereiniteit, waardoor gevoelige loggegevens hun eigen infrastructuur niet mogen verlaten, hebben wellicht geen andere keuze dan een on-premises oplossing te gebruiken. Air-gapped omgevingen in de defensie- of kritieke infrastructuursectoren hebben vergelijkbare beperkingen. En organisaties die al fors hebben geïnvesteerd in on-premises SIEM-infrastructuur en over het personeel beschikken om deze goed te beheren, zullen wellicht tot de conclusie komen dat een hybride aanpak, waarbij on-premises de gereguleerde gegevens verwerkt en de cloud al het overige, zinvoller is dan een volledige migratie.
Belangrijkste kenmerken van cloud-SIEM
Cloud-SIEM-oplossingen beschikken over een reeks gemeenschappelijke kernfuncties, maar de kwaliteit en diepgang van de implementatie lopen per leverancier sterk uiteen. Dit is wat een cloud-SIEM van de huidige generatie zou moeten bieden.
Het verzamelen en normaliseren van loggegevens uit zowel cloud- als on-premises bronnen
Een cloud-SIEM moet gegevens kunnen verzamelen uit alle mogelijke bronnen in een moderne IT-omgeving, waaronder AWS CloudTrail, Azure Monitor, auditlogs van Google Cloud, Microsoft 365, SaaS-toepassingen, on-premises netwerkapparaten en endpoint-agents. Kant-en-klare connectoren voor veelgebruikte bronnen verkorten de integratietijd aanzienlijk in vergelijking met het bouwen van aangepaste connectoren.
Realtime dreigingsdetectie met gedragsanalyse
Een cloud-native architectuur geeft een geheel nieuwe invulling aan het begrip ‘realtime’. Omdat opslag- en rekencapaciteit elastisch kunnen worden geschaald, kan cloud-SIEM gedragsanalyses en machine learning-modellen toepassen op de volledige hoeveelheid binnenkomende gegevens, zonder de prestatievermindering die on-premises systemen ondervinden naarmate de gegevensvolumes toenemen. Op regels gebaseerde correlatie identificeert bekende aanvalspatronen. Gedragsanalyse identificeert afwijkingen die niet aan een vooraf gedefinieerde regel voldoen, waaronder 'low-and-slow'-aanvallen, gecompromitteerde inloggegevens en bedreigingen van binnenuit, op de schaal die moderne omgevingen genereren.
AI-ondersteunde onderzoeks
Moderne cloud-SIEM-tools maken steeds vaker gebruik van AI om analisten te helpen waarschuwingen sneller af te handelen. Door beveiligingsgegevens in natuurlijke taal te doorzoeken, AI-gegenereerde samenvattingen van waarschuwingen te gebruiken en de tijdlijn automatisch te reconstrueren, wordt de tijd tussen het ontvangen van een waarschuwing en het oplossen ervan verkort. Hierdoor kunnen analisten gecompromitteerde systemen opsporen en afwijkingen identificeren zonder handmatig zoekopdrachten te hoeven schrijven. Voor meer informatie over hoe AI de detectie en het onderzoek binnen SIEM verandert, zie ons artikel over AI-SIEM.
Regels voor geautomatiseerde reacties
Wanneer een bevestigde bedreiging wordt gedetecteerd, moet het SIEM-systeem kunnen handelen zonder te wachten op handmatige tussenkomst van een analist. Regels voor geautomatiseerde reacties kunnen een apparaat isoleren, een account blokkeren, een aflopende sessie markeren of een workflow in gekoppelde tools in gang zetten. Dankzij de cloudimplementatie kunnen deze regels in één enkele handeling gelijktijdig worden uitgevoerd op zowel cloudapplicaties als eindpunten, iets wat on-premises SIEM-architecturen met afzonderlijke cloudconnectoren doorgaans niet kunnen evenaren.
Langdurige logboekopslag met volledige doorzoekbaarheid
Bij on-premises SIEM-oplossingen moet vaak een afweging worden gemaakt tussen de bewaartermijn en de zoekprestaties naarmate de opslagkosten stijgen. Leveranciers van cloud-SIEM maken gebruik van elastische, door de leverancier beheerde opslag die automatisch meegroeit met de toename van gegevens. Hierdoor kunnen organisaties een beleid voor langdurige opslag hanteren zonder dat ze extra hardware hoeven aan te schaffen of genoegen moeten nemen met tragere zoeksnelheden. Een doorzoekbare bewaartermijn van 400 dagen of meer voldoet aan de meeste compliance-eisen, zonder dat er een aparte archiveringsinfrastructuur nodig is.
voor multitenant-beheer Voor organisaties die de beveiliging in meerdere omgevingen beheren – of het nu gaat om verschillende bedrijfsonderdelen, dochterondernemingen of klantomgevingen – is het een belangrijke operationele vereiste om elke omgeving afzonderlijk te kunnen bekijken en beheren, terwijl het centrale overzicht behouden blijft. Een cloud-SIEM die speciaal is ontworpen voor multitenant-gebruik maakt dit eenvoudig. On-premises SIEM-oplossingen zijn hier doorgaans slecht op ingesteld: ze vereisen afzonderlijke instances per omgeving, zonder dat er een uniform overzicht over al deze omgevingen heen is.
De elastische opslagcapaciteit en permanente beschikbaarheid van de Cloud SIEM-
en maken deze oplossing bijzonder geschikt voor de continue monitoring en langdurige logboekopslag die door compliance-kaders worden voorgeschreven. Kant-en-klare rapportsjablonen voor HIPAA, PCI-DSS, AVG, SOC 2 en NIST 800-53 verminderen het handmatige werk dat nodig is om aan auditvereisten te voldoen, en de mogelijkheid om rapporten te genereren op basis van een compleet, doorzoekbaar logboekarchief zonder opslaglacunes is iets wat on-premises implementaties vaak niet kunnen garanderen.
Voordelen van cloud-SIEM
De argumenten voor cloud-SIEM zijn gebaseerd op een reeks praktische voordelen die zich gedurende de gehele levensduur van de implementatie opstapelen.
Organisaties die overstappen van een on-premises naar een cloud-SIEM melden steevast dat ze sneller rendement behalen. Terwijl bij een on-premises implementatie maanden aan infrastructuurinrichting en integratiewerk nodig kunnen zijn voordat de eerste waarschuwing wordt gegenereerd, neemt een cloud-SIEM doorgaans binnen enkele dagen gegevens op en levert het zinvolle resultaten op. De koppelingen zijn al ingebouwd. De infrastructuur is al operationeel. Het enige wat nog rest, is het configureren van de bronnen en het afstemmen van de detectielogica.
Een lager totaal eigendomskosten is het tweede grote voordeel. U hoeft geen hardware aan te schaffen, geen ruimte in een datacenter te reserveren en geen infrastructuur te onderhouden. Dankzij de voorspelbare abonnementsprijzen van cloud-SIEM is het opstellen van een begroting aanzienlijk eenvoudiger dan bij de variabele kapitaaluitgaven van on-premises implementaties.
Het derde punt is operationele continuïteit. Leveranciers van cloud-SIEM-oplossingen zorgen voor een continue beschikbaarheid, installeren beveiligingspatches en bewaken de status van de infrastructuur als onderdeel van hun dienstverlening. Een scenario waarbij een on-premises SIEM-systeem tijdens een beveiligingsincident uitvalt omdat een server onderhoud nodig heeft, wordt door een cloudarchitectuur volledig uitgesloten.
Inzicht in hybride en multi-cloudomgevingen is een voordeel dat op andere manieren steeds moeilijker te realiseren is. Dankzij native integraties met AWS, Azure en Google Cloud krijgt cloud-SIEM direct toegang tot de telemetrie die deze omgevingen genereren, zonder de vertraging en complexiteit die gepaard gaan met het doorsturen van cloudlogs via een on-premises aggregator.
Ten slotte biedt de verschuiving van kapitaaluitgaven naar operationele uitgaven organisatorische voordelen die verder reiken dan alleen de IT. Beveiligingsbudgetten die voorheen vastzaten in meerjarige afschrijvingscycli voor hardware, worden hierdoor flexibeler. Medewerkers die zich voorheen bezighielden met het onderhoud van de infrastructuur, kunnen zich nu richten op beveiligingsactiviteiten.
Implementatiemodellen voor cloud-SIEM
Niet alle cloud-SIEM-oplossingen zijn op dezelfde manier opgezet. Er zijn drie verschillende implementatiemodellen, die elk hun eigen afwegingen met zich meebrengen op het gebied van kosten, controle en verantwoordelijkheid van de leverancier.
In de cloud gehost (beheerd voor één klant)
De SIEM-leverancier host de oplossing in de cloud op een speciale infrastructuur die uitsluitend voor één klant is bestemd. De leverancier beheert de hardware en software. De klant profiteert van minder verantwoordelijkheid voor de infrastructuur in vergelijking met een on-premises oplossing, maar behoudt een grotere gegevensisolatie dan in een gedeelde omgeving. Dit model is doorgaans duurder dan volledig multitenant SaaS, maar kan noodzakelijk zijn voor organisaties met vereisten inzake gegevensopslag die het gebruik van een gedeelde infrastructuur verbieden.
Cloud-native SaaS (multitenant)
Het volledige Software-as-a-Service-model. De leverancier beheert alle hardware, software en infrastructuur binnen een gedeelde tenantarchitectuur, waarbij de gegevens van elke klant afgeschermd zijn, maar de backend-bronnen worden gebundeld. Dit model biedt de laagste kosten, de meest flexibele schaalbaarheid en de snelste implementatie. Leveranciers kunnen het product voor alle klanten tegelijkertijd updaten en verbeteren, zonder dat er per klant aparte upgradecycli nodig zijn. Dit is het model dat cloud-SIEM financieel haalbaar maakt voor kleine en middelgrote ondernemingen.
Hybride
De on-premises infrastructuur verwerkt gegevens die vanwege soevereiniteits- of wettelijke vereisten de omgeving van de klant niet mogen verlaten, terwijl de cloudinfrastructuur al het overige voor haar rekening neemt. Analyses en correlatie worden in de cloud uitgevoerd op basis van de geaggregeerde dataset. Dit model komt veel voor in sterk gereguleerde sectoren en overheidsomgevingen, waar bepaalde gegevens onder directe controle van de klant moeten blijven.
Voor de meeste MSP’s, IT-teams en middelgrote bedrijven die niet gebonden zijn aan strenge eisen op het gebied van gegevenssoevereiniteit, biedt het cloud-native SaaS-model de beste combinatie van kosten, mogelijkheden en gebruiksgemak.
Toepassingen van Cloud SIEM
Cloud-SIEM is geschikt voor een breed scala aan beveiligingstoepassingen, waarvan er veel moeilijk of onmogelijk effectief kunnen worden aangepakt met lokale implementaties.
Hybride en multi-cloud beveiligingsmonitoring
Een organisatie die workloads uitvoert op AWS, Azure en een lokaal datacenter heeft behoefte aan een beveiligingslaag die alle drie de omgevingen tegelijkertijd in beeld brengt. Cloud-SIEM met native integraties tussen verschillende cloudproviders biedt dat eenduidige overzicht, zonder dat er voor elke omgeving een aparte aggregatielaag nodig is.
voor de beveiliging van SaaS-applicaties Microsoft 365, Salesforce, Slack en andere SaaS-applicaties genereren beveiligingsrelevante gebeurtenissen – zoals authenticatie, bestandstoegang, wijzigingen in machtigingen en gegevensexport – die door on-premises tools vaak niet kunnen worden verwerkt. Cloud-SIEM met SaaS-connectoren voegt die telemetrie samen met netwerk- en endpointgegevens toe aan de correlatie-engine, waardoor beveiligingsteams inzicht krijgen in de applicatielaag, waar aanvallers zich steeds vaker op richten.
Snelle implementatie voor groeiende organisaties
Organisaties die snel groeien, hebben geen tijd voor maandenlange SIEM-implementatieprojecten. Cloud-SIEM is binnen enkele dagen operationeel en kan via kant-en-klare connectoren gegevens uit bestaande bronnen verwerken, zonder dat er infrastructuur hoeft te worden aangeschaft of complexe netwerkconfiguraties nodig zijn.
Security-as-a-service-leverings
Voor organisaties die beveiligingsdiensten aan anderen leveren, waaronder IT-teams die verantwoordelijk zijn voor meerdere bedrijfsonderdelen en MSP’s die klantomgevingen beheren, maakt cloud-SIEM met een multi-tenant-architectuur het praktisch om één enkele SIEM-instantie te gebruiken die alle omgevingen bestrijkt, met voor elke omgeving afzonderlijke inzicht- en rapportagemogelijkheden. Het alternatief, namelijk een afzonderlijke on-premises SIEM per omgeving, is op grote schaal operationeel en financieel onhoudbaar.
Compliance binnen gedistribueerde en multi-cloudinfrastructuren
Lokale SIEM-oplossingen hebben moeite om een volledig compliance-overzicht te genereren wanneer de infrastructuur verspreid is over meerdere locaties, cloudproviders en netwerksegmenten, omdat logbestanden eerst via de lokale aggregator moeten worden geleid voordat ze kunnen worden geanalyseerd. Dit leidt tot vertraging en mogelijke hiaten. Cloud-SIEM haalt gegevens rechtstreeks uit gedistribueerde bronnen via API, waardoor een continu, ononderbroken logboek wordt geproduceerd, ongeacht waar de onderliggende gegevens vandaan komen. In combinatie met elastische opslag die nooit een afweging tussen bewaartermijn en kosten dwingt, maakt dit cloud-SIEM bijzonder geschikt voor organisaties met complexe, multi-omgevingsarchitecturen die in al deze omgevingen tegelijkertijd moeten voldoen aan HIPAA, PCI-DSS, AVG of SOC 2.
Waar je op moet letten bij een cloud-SIEM
Bij het beoordelen van cloud-SIEM-oplossingen moet u verder kijken dan de standaardlijst met functies. De mogelijkheden lijken bij verschillende leveranciers misschien op elkaar. De verschillen die in de praktijk het meest van belang zijn, zitten in de diepgang van de implementatie, de kwaliteit van de detectie en de mate waarin het operationele model bij uw team past.
Omvang en kwaliteit van de connectoren
Hoeveel native integraties biedt de oplossing, en hoe diepgaand zijn deze? Een leverancier met 60 native connectoren die schone, genormaliseerde gegevens opleveren, is nuttiger dan een leverancier met 200 oppervlakkige integraties die veel maatwerk vereisen. Vraag specifiek naar de cloudplatforms, SaaS-toepassingen en endpoint-tools in uw huidige omgeving. Lees meer over het belang van SIEM-integraties.
Transparantie van prijsmodellen
De prijsmodellen voor cloud-SIEM lopen sterk uiteen. Bij op datainvoer gebaseerde prijsmodellen worden organisaties benadeeld naarmate hun omgevingen groeien en de datavolumes toenemen, waardoor de kosten onvoorspelbaar kunnen worden. Op gebruikers gebaseerde prijsmodellen zorgen voor beter voorspelbare kosten en ontmoedigen organisaties niet om de gegevens in te voeren die ze nodig hebben. Zorg dat u het prijsmodel goed begrijpt voordat u een leverancier kiest.
Detectiekwaliteit, niet alleen het aantal regels
Vraag hoe de correlatieregels worden onderhouden en bijgewerkt. Een cloud-SIEM met een grote bibliotheek aan verouderde regels biedt minder bescherming dan een systeem met een kleinere, actief onderhouden set. Vraag hoe snel nieuwe regels worden toegevoegd als reactie op opkomende bedreigingen, en of feeds met informatie over bedreigingen automatisch worden geïntegreerd.
voor logbewaring en zoekprestaties Controleer de bewaartermijn en ga na of historische logs volledig doorzoekbaar blijven. Sommige leveranciers slaan langetermijnlogs op in een ‘cold storage’-opslag, waar het opvragen ervan uren in beslag neemt, waardoor forensisch onderzoek onpraktisch wordt. Een doorzoekbare bewaartermijn van 400 dagen of meer vormt de basisnorm om aan de meeste compliance-eisen te voldoen zonder dat dit ten koste gaat van de onderzoeksmogelijkheden.
Gegevensopslaglocatie en naleving van regelgeving
Leveranciers van cloud-SIEM-oplossingen slaan loggegevens op in hun eigen infrastructuur, wat betekent dat de locatie van die gegevens van belang is voor de naleving van regelgeving. AVG beperkingen aan de overdracht van persoonsgegevens buiten de EU. HIPAA en FedRAMP stellen hun eigen eisen in de Amerikaanse context. Controleer of de door u gekozen leverancier regionale opties voor gegevensopslag biedt die in overeenstemming zijn met de relevante regelgevingskaders, voordat u tot implementatie overgaat. Dit is een overweging die specifiek geldt voor de cloud en die bij on-premises SIEM niet aan de orde is.
Beheerde versus zelfbeheerde cloud-SIEM Een zelfbeheerde cloud-SIEM vereist nog steeds analisten om waarschuwingen te onderzoeken, regels af te stemmen en integraties te beheren. Een gedeeltelijk of volledig beheerde cloud-SIEM vult dit aan met SOC-ondersteuning door de leverancier. Voor teams met beperkte beveiligingscapaciteit verandert het beheerde model aanzienlijk wat er operationeel haalbaar is. Raadpleeg onze gids over beheerde SIEM voor meer informatie over het beheerde servicemodel.
Kaseya SIEM: cloud-native, speciaal ontworpen voor kleine teams
Cloud-SIEM is geen afzonderlijk product. Het is een leveringsmodel dat varieert van eenvoudige gehoste logboekregistratie tot volledig beheerde, met AI ondersteunde beveiligingsactiviteiten. De juiste oplossing is degene die aansluit bij de complexiteit van uw omgeving, de capaciteit van uw team en de nalevingsverplichtingen waaraan u moet voldoen.
Kaseya SIEM is een cloud-native, gezamenlijk beheerde SIEM-oplossing die speciaal is ontwikkeld voor MSP’s en IT-teams die behoefte hebben aan detectie op bedrijfsniveau, zonder de personeels- en infrastructuurvereisten die traditionele SIEM-implementaties met zich meebrengen. Het systeem correleert bedreigingsgegevens via meer dan 60 native connectoren voor eindpunten, cloudapps, netwerken, identiteitsproviders en e-mail, met een doorzoekbare logboekbewaartermijn van 400 dagen die voldoet aan auditvereisten zonder dat er een vervaldatum geldt.
Geautomatiseerde responsregels zorgen tegelijkertijd voor beheersmaatregelen in de cloud en op eindpunten, waarbij accounts worden geblokkeerd, apparaten worden geïsoleerd en aflopende sessies worden gemarkeerd zonder dat er handmatig hoeft te worden ingegrepen. Dankzij AI-gestuurd onderzoek kunnen analisten beveiligingsgegevens in natuurlijke taal doorzoeken, gecompromitteerde assets opsporen en afwijkingen identificeren zonder handmatige zoekopdrachten te hoeven schrijven. Bovendien houden de eigen analisten van Kaseya 24/7 toezicht op bedreigingen, beoordelen ze de ernst ervan en reageren ze erop, ondersteund door dezelfde AI die ruis vermindert en de respons versnelt.
Voor teams die cloud-SIEM-oplossingen evalueren, is de vraag die ze zich moeten stellen niet alleen welke oplossing de meeste functies biedt. Het gaat erom welke oplossing uw team vanaf dag één daadwerkelijk optimaal kan benutten, en welke leverancier medeverantwoordelijkheid neemt voor het eindresultaat.
