LogPoint stellt Converged SIEM vor

SIEM plus Gefahrenabwehr aus der Cloud

12. April 2022, 7:00 Uhr | Wilhelm Greiner
Logpoint
© Logpoint

Der dänische Security-Anbieter LogPoint bringt seine SIEM-Lösung in die Cloud und erweitert sie zugleich um Funktionen für die Angriffsabwehr (SOAR). Damit schließen die Dänen zur Führungsgruppe der SIEM-Größen auf – als einziger europäischer Player in diesem Marktsegment.

LogPoint hat seine SIEM-Plattform (Security-Information- and Event-Management) komplett überarbeitet und stellt sie nun als Cloud-native SaaS-Plattform bereit. Unter dem Namen Converged SIEM umfasst die Software nun auch Funktionen für die automatisierte Reaktion auf Sicherheitsvorfälle (Security Orchestration, Automation, and Response, kurz SOAR). Hinzu kommen Features für die Kontrolle der Nutzer und Endpunkte auf verdächtiges Verhalten hin (User and Entity Behavior Analytics, UEBA) sowie für SAP-Sicherheit, bei LogPoint seit 2020 per Akquisition von agileSI im Portfolio.

Heraus aus der Nische

2021 war LogPoint in Gartners Magic Quadrant zum SIEM-Markt vom „Visionary“ zum „Niche Player“ abgerutscht: Das Analystenhaus kritisierte, dass die Software weder SOAR-Funktionalität bot noch als Cloud-Service verfügbar war (mit Ausnahme von UEBA). Diese beiden Mankos haben die Dänen nun in einem Aufwasch beseitigt. Damit halten sie Anschluss an die Marktführer der Branche, zu denen laut Gartner Exabeam, IBM, Securonix, Splunk, Rapid7 und LogRhythm zählen.

Während die derzeit hoch gehandelten XDR-Anbieter (Extensible Detection and Response) SIEM gerne zum Alteisen erklären, zeigen Entwicklungen wie bei LogPoint, dass der Markt nach wie vor sehr rege ist. „Das primäre Werkzeug im SOC muss ein SIEM-System sein“, sagt LogPoint-CTO Christian Have. Und CEO Jesper Zerlang ergänzt: „Ich habe noch von keinem Kunden gehört, der XDR eingeführt und deshalb sein SIEM-System abgeschafft hat.“

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass
„Das primäre Werkzeug im SOC muss ein SIEM-System sein“, sagt LogPoint-CTO Christian Have.
„Das primäre Werkzeug im SOC muss ein SIEM-System sein“, sagt LogPoint-CTO Christian Have.
© LogPoint

LogPoints Lösung nennt sich „Converged“, weil sie Security-Prozesse auf der Basis eines einheitlichen Datenbestands zusammenführt. Mittels Daten, die man seit über zehn Jahren mit einer sehr strikten Taxonomie strukturiert habe, so Have, erleichtere man Security-Teams die Analyse von Bedrohungen und die Entscheidung, wie damit umzugehen ist.

Das SOAR-Tool bietet im Fall von Auffälligkeiten Handlungsleitfäden („Playbooks“, siehe Bild oben) für das weitere Vorgehen. Auf die Vorfallserkennung folgt laut LogPoint-Angaben eine Analyse des Incidents anhand von IP-Adresse, Logdaten etc. mit ML-basierten Zuordnung des Incidents zu einer Vorfallsgruppe (etwa Phishing, Malware, Ransomware oder Innentäter), gefoglt von einer Priorisierung (Triage). Dies soll es dem Security-Team erlauben, schnell und gezielt auf Vorfälle zu reagieren.

Damit die Playbooks zum Ziel führen, bietet LogPoint zwei ergänzende Services: einen Setup- sowie einen Playbook-Design-Service. Weitere MDR-Dienste (Managed Detection and Response) übernimmt LogPoint jedoch nicht: Man wolle dies den Partnern überlassen.

„Wir sind eine Channel-first-Company“, sagt Zerlang. LogPoint habe rund 60 zertifizierte Partner in Europa, zehn in den USA. In Deutschland sind es 18, darunter Bechtle, TechData und Telonic. Ein Fokus liegt hier laut Zerlang auf SAP-Sicherheit mit speziellen Playbooks für SAP-Umgebungen, ein weiterer auf MSSPs (Managed Security Service Provider), denn die Software sei für Security Operations Center (SOCs) entwickelt.

„Wir nehmen Datenschutz ernst“, betont LogPoint-CEO Jesper Zerlang.
„Wir nehmen Datenschutz ernst“, betont LogPoint-CEO Jesper Zerlang.
© LogPoint

Die SaaS-Variante der SIEM/SOAR-Lösung (die es nach wie vor on-prem gibt) ist laut LogPoint-Angaben eine reine Eigenentwicklung. Sie werde in den USA sowie für Europa in Irland gehostet. Künftig soll die freie Datacenter-Wahl möglich sein.

Die Software ist für den Kritis-Einsatz EAL3+-zertifiziert, laut Zerlang die weltweit einzige SIEM-Lösung mit dieser Zertifizierungsstufe. Endpoint Protection soll künftig hinzukommen. Der LogPoint-CEO verweist auf die europäischen Wurzeln des Unternehmens und sagt: „Wir nehmen Datenschutz ernst!“ LogPoint anonymisiere alle Nutzerdaten, sodass ein MSSP sie ohne Zustimmung des Datenschutzbeauftragten aus dem Kundenunternehmen nicht einsehen könne.

LogPoint hat laut Zerlang 330 Mitarbeiter an 15 Standorten. Zu den rund 1.200 Anwenderunternehmen zählen Rolex, Nestlé und die Europäische Zentralbank.


Verwandte Artikel

LogPoint

SIEM

Threat Detection