Bij IT Security is het hebben van een centrale database met alle security events essentieel voor analyse en rapportage met een SIEM oplossing. Echter, het opschalen en up-to-date houden ervan is een uitdaging. Security Data Lake biedt hiervoor een oplossing. Lees verder en ontdek waarom.
Deze zomer werkte mijn collega Joost samen met SentinelOne aan een Security Data Lake project bij een van onze global klanten. Eerlijk gezegd; op dat moment begreep ik het concept niet volledig. Pas later vroeg ik: “Joost, waar hebben we de klant nu precies mee geholpen?”
Joost zijn uitleg over Security Data Lake deed me denken aan het SIEM-verhaal van 10 jaar geleden. Namelijk: een slimme oplossing die logs van diverse bronnen verzamelt, analyseert, correleert en waardevolle inzichten produceert om de IT-beveiliging te versterken.
Eerlijk gezegd, wist ik toen niet het verschil tussen een security data lake en een SIEM database. Voor de mensen die dit ook niet weten, heb ik mijn eerste bevindingen in een blog verwerkt.
Wat is een SIEM?
Een SIEM, oftewel: Security Information and Event Management systeem, is ontworpen voor real-time analyse van beveiligingsmeldingen gegenereerd door diverse bronnen in een organisatie. Centraal in een SIEM staat een database die logs en gebeurtenissen bewaart voor snelle identificatie en respons op bedreigingen.
Wat is een Security Data Lake?
Een Security Data Lake is een gecentraliseerd opslagplatform waarmee je grote hoeveelheden ruwe data van diverse bronnen in hun originele formaat kunt bewaren. Het voornaamste verschil met een SIEM is dat de gegevens in een Data Lake bewaard worden in hun oorspronkelijke, ruwe vorm. Dit zorgt ervoor dat later flexibele analyse mogelijk zijn.
Security Data Lake voor grotere datasets
Veel SIEM-oplossingen hebben databases met vaste structuren, wat het uitdagender maakt om nieuwe databronnen snel toe te voegen. In tegenstelling hiermee zijn Security Data Lakes ontworpen voor grote datasets en schalen ze eenvoudig mee.
Bespaar kosten met SentinelOne Security Data Lake
Het uitbreiden van een SIEM kan prijzig zijn, vooral als de kosten zijn gebaseerd op datavolume. Bij Data Lakes zijn de kosten vaak voorspelbaarder en schaalbaar, mede dankzij oplossingen zoals cloudopslag. Er zijn momenteel veel Splunk-gebruikers die besparen door de Splunk-database grotendeels te vervangen door het voordeligere Security Data Lake van SentinelOne. Splunk ondersteunt dit ook en daardoor werkt dit precies zoals je gewend bent. Alleen veel goedkoper. Gebruik je ook Splunk? Neem dan gerust contact met ons op om te kijken of er ook voor jou een kostenbesparing mogelijk is.
Hoge retentie
SIEMs zijn geoptimaliseerd voor snelle toegang en korte tot middellange termijn opslag. In tegenstelling hiermee zijn Data Lakes ideaal voor langdurige opslag van grote datasets, wat diepgaande historische analyses mogelijk maakt.
Samenvattend
Veel organisaties kiezen voor zowel een SIEM als een Security Data Lake om de voordelen van beide systemen te benutten. Als organisatie kun je SIEM's snelle toegang en real-time analyse combineren met de flexibele en uitgebreide opslagcapaciteit van een Security Data Lake. Door deze synergie profiteer je van directe beveiligingsinzichten én diepgaande historische analyses. Zo haal je het beste uit beide werelden voor een robuuste IT-beveiliging.
Zoals jullie hebben gelezen, is de "ruwe data" in een security data lake ideaal voor machine learning en AI. SentinelOne introduceert binnenkort een interessante tool: Purple AI. Hiermee kunnen security teams, vergelijkbaar met ChatGPT, specifieke beveiligingsvragen stellen. Purple AI benut onder andere het Security Data Lake om SOC-analysten of het IT-team gedetailleerd inzicht en advies te geven. Blijf op de hoogte van deze innovatieve stap!
Wil je meer leren over Security Data Lake? Neem dan contact met ons op voor een vrijblijvende demonstratie: sales@mydigitals.nl
Meer weten?
Joram van Til helpt je graag verder. Je kunt hem bereiken op: joram+website@mydigitals.nl