← Terug naar het overzicht

SIEM vs Security Data Lake

Bij IT Security is het hebben van een centrale database met alle security events essentieel voor analyse en rapportage met een SIEM oplossing. Echter, het opschalen en up-to-date houden ervan is een uitdaging. Security Data Lake biedt hiervoor een oplossing. Lees verder en ontdek waarom.

Deze zomer werkte mijn collega Joost samen met SentinelOne aan een Security Data Lake project bij een van onze global klanten. Eerlijk gezegd; op dat moment begreep ik het concept niet volledig. Pas later vroeg ik: “Joost, waar hebben we de klant nu precies mee geholpen?”

Joost zijn uitleg over Security Data Lake deed me denken aan het SIEM-verhaal van 10 jaar geleden. Namelijk: een slimme oplossing die logs van diverse bronnen verzamelt, analyseert, correleert en waardevolle inzichten produceert om de IT-beveiliging te versterken.

Eerlijk gezegd, wist ik toen niet het verschil tussen een security data lake en een SIEM database. Voor de mensen die dit ook niet weten, heb ik mijn eerste bevindingen in een blog verwerkt.

Wat is een SIEM?

Een SIEM, oftewel: Security Information and Event Management systeem, is ontworpen voor real-time analyse van beveiligingsmeldingen gegenereerd door diverse bronnen in een organisatie. Centraal in een SIEM staat een database die logs en gebeurtenissen bewaart voor snelle identificatie en respons op bedreigingen.

Wat is een Security Data Lake?

Een Security Data Lake is een gecentraliseerd opslagplatform waarmee je grote hoeveelheden ruwe data van diverse bronnen in hun originele formaat kunt bewaren. Het voornaamste verschil met een SIEM is dat de gegevens in een Data Lake bewaard worden in hun oorspronkelijke, ruwe vorm. Dit zorgt ervoor dat later flexibele analyse mogelijk zijn.

Security Data Lake voor grotere datasets

Veel SIEM-oplossingen hebben databases met vaste structuren, wat het uitdagender maakt om nieuwe databronnen snel toe te voegen. In tegenstelling hiermee zijn Security Data Lakes ontworpen voor grote datasets en schalen ze eenvoudig mee.

Bespaar kosten met SentinelOne Security Data Lake

Het uitbreiden van een SIEM kan prijzig zijn, vooral als de kosten zijn gebaseerd op datavolume. Bij Data Lakes zijn de kosten vaak voorspelbaarder en schaalbaar, mede dankzij oplossingen zoals cloudopslag. Er zijn momenteel veel Splunk-gebruikers die besparen door de Splunk-database grotendeels te vervangen door het voordeligere Security Data Lake van SentinelOne. Splunk ondersteunt dit ook en daardoor werkt dit precies zoals je gewend bent. Alleen veel goedkoper. Gebruik je ook Splunk? Neem dan gerust contact met ons op om te kijken of er ook voor jou een kostenbesparing mogelijk is. 

Hoge retentie

SIEMs zijn geoptimaliseerd voor snelle toegang en korte tot middellange termijn opslag. In tegenstelling hiermee zijn Data Lakes ideaal voor langdurige opslag van grote datasets, wat diepgaande historische analyses mogelijk maakt.

Samenvattend

Veel organisaties kiezen voor zowel een SIEM als een Security Data Lake om de voordelen van beide systemen te benutten. Als organisatie kun je SIEM's snelle toegang en real-time analyse combineren met de flexibele en uitgebreide opslagcapaciteit van een Security Data Lake. Door deze synergie profiteer je van directe beveiligingsinzichten én diepgaande historische analyses. Zo haal je het beste uit beide werelden voor een robuuste IT-beveiliging.

Zoals jullie hebben gelezen, is de "ruwe data" in een security data lake ideaal voor machine learning en AI. SentinelOne introduceert binnenkort een interessante tool: Purple AI. Hiermee kunnen security teams, vergelijkbaar met ChatGPT, specifieke beveiligingsvragen stellen. Purple AI benut onder andere het Security Data Lake om SOC-analysten of het IT-team gedetailleerd inzicht en advies te geven. Blijf op de hoogte van deze innovatieve stap!

Wil je meer leren over Security Data Lake? Neem dan contact met ons op voor een vrijblijvende demonstratie: sales@mydigitals.nl

Meer weten?

Joram van Til helpt je graag verder. Je kunt hem bereiken op: joram+website@mydigitals.nl

Contact

Neem contact met ons op. We helpen je graag verder!

Contact
Volgend artikel

Trellix Techupdate: Zo gebruik je tags in ePolicy Orchestrator voor policy assignment rules

Max van der Veer van MyDigitals heeft een handleiding geschreven over het gebruik van tags in Trellix ePolicy Orchestrator (ePO) voor het beheren van security policies. Deze gids helpt beheerders met het aanpassen van beveiligingsinstellingen door het aanmaken van tags, policies en server tasks, specifiek gericht op het tijdelijk uitschakelen van beveiligingsmodules voor troubleshooting.