Anstatt die Auswahl und Implementierung einer unternehmensweiten SIEM-Lösung selbst in Angriff zu nehmen, wandte sich der Versicherer an den IBM Platinum-Geschäftspartner Sirius (Link befindet sich außerhalb von ibm.com). Das Unternehmen unterhielt bereits eine Geschäftsbeziehung zu Sirius, und Sirius war bereits für die Arbeit in der IT-Umgebung des Unternehmens zugelassen – beides Faktoren, die den IT-Lösungsanbieter in die Lage versetzten, die Anforderungen des Unternehmens möglichst schnell zu erfüllen.
„Schritt eins war die Auswahl des SIEM-Tools, das den aktuellen Anforderungen dieses Kunden gerecht würde und – was noch wichtiger ist – eine strategische Plattform für den Weg des Unternehmens in die Zukunft böte“, so Brian Reichart, Sirius Managed Services Solutions Sales Specialist, der die Zusammenarbeit leitete. Sirius empfahl IBM QRadar SIEM, eines der Tools, die bereits im Unternehmen verwendet wurden.
„Der neue CISO hat uns sehr intensiv ausgefragt, warum QRadar unserer Meinung nach das richtige Produkt sei. Wir hatten auch eine lange Diskussion über den Wert einer lokalen Bereitstellung im Vergleich zur Cloud. Nachdem wir die strategischen Anforderungen des Unternehmens in Bezug auf die Sicherheit durchgearbeitet und das erwartete jährliche Wachstum von 10 bis 15 % mit einbezogen hatten, waren wir der Meinung, dass eine dedizierte lokale QRadar-Lösung das Richtige für diesen Kunden sei.“
Zu den Unterscheidungsmerkmalen, die zur Auswahl von QRadar gegenüber anderen möglichen SIEM-Plattformen beigetragen haben, gehören die umfangreichen Standardberichtsfunktionen sowie die Flexibilität der Berichterstellung. Das bedeutet, dass für die Einrichtung der Sicherheitssoftware nur wenige Anpassungen erforderlich waren. Die Log-Manager-Plattform bietet schnellen Zugriff auf Daten zur betrieblichen Überprüfung und ermöglicht die Analyse von Aktivitäten in Teilbereichen der Umgebung.
Dem CISO des Versicherers gefiel auch, dass Funktionen über den IBM Security App Exchange hinzugefügt werden konnten, ein Ökosystem von Entwicklern, die Apps und Add-Ons für QRadar und andere Sicherheitslösungen anbieten.
Etwas mehr als sechs Monate vor dem angestrebten Einführungsdatum im Unternehmen machte sich Sirius an die Arbeit, um eine Architektur für die skalierbare QRadar-Lösung zu entwickeln und Kollektoren und Konsolen in den drei großen Rechenzentren des Versicherers sowie an mehreren entfernten Standorten zu installieren. Die Sirius-Lösung umfasst Korrelationsregeln, die falsch-positive Ergebnisse herausfiltern und für die Effizienz jeder SIEM-Lösung entscheidend sind, so Reichart: „Zusätzlich zu den von IBM empfohlenen Korrelationsregeln hat Sirius seine eigenen Korrelationsregeln entwickelt, die wir hinzufügen. Diese detaillierte Anpassung trägt dazu bei, die Anzahl der vom System generierten Warnmeldungen deutlich zu reduzieren.“