Viele Organisationen stehen vor derselben Abwägung: Mehr Transparenz über die eigene Umgebung ist eindeutig erforderlich, doch ein vollständiges SIEM-Plattform erscheint als großer Schritt – kostspielig, komplex im Betrieb und aufwendig in der Implementierung. Gibt es einen pragmatischeren Weg?
Bei Nomios beobachten wir bei vielen unserer Kunden, dass Cortex XDR von Palo Alto Networks diese Rolle hervorragend übernehmen kann. Nicht in jedem Fall als Ersatz für ein Enterprise-SIEM, sondern als ausgereiftes, zentralisiertes Erkennungs- und Analyseplattform, das für die meisten deutschen Organisationen mehr als ausreichend ist, um die Security Posture auf das gewünschte Niveau zu heben.
Mehr als nur Endpoint-Schutz
Die meisten Organisationen kennen Cortex XDR über die Cortex XDR Endpoint Pro-Lizenz, eine der leistungsstärksten EDR/XDR-Lösungen auf dem Markt. Doch die Plattform bietet darüber hinaus weitaus mehr. Mit der geeigneten Lizenzform können Organisationen zusätzliche Protokollquellen einbinden und Cortex XDR effektiv als zentrales Security-Datenplattform nutzen: ein SIEM Light.
Das ist kein Marketing. Es handelt sich um eine architektonische Entscheidung, die sich für viele Organisationen als äußerst praktisch erweist.
Breite Log-Erfassung, sofort einsatzbereit
Was macht Cortex XDR so geeignet als SIEM Light? Die Bandbreite der unterstützten Protokollquellen ist beeindruckend und deckt den Technologie-Stack ab, den die meisten deutschen Organisationen im Einsatz haben.
Netzwerk und Firewall Check Point, Cisco ASA/AnyConnect, Fortinet FortiGate, Zscaler Internet Access und Private Access, Corelight Zeek, AWS VPC Flow Logs, Azure Network Watcher – die gängigste Netzwerkinfrastruktur wird direkt unterstützt.
Cloud und SaaS AWS CloudTrail, GCP Pub/Sub, Google Workspace, Microsoft 365 und Office 365, Azure Event Hub, Okta, OneLogin, PingFederate, PingOne, Salesforce, Box, Dropbox, Workday und ServiceNow CMDB. Für Organisationen mit starker Cloud-Ausrichtung bietet dies unmittelbare Transparenz über die wichtigsten Plattformen.
Endgeräte und Infrastruktur Neben dem nativen Cortex XDR-Agenten können auch Windows-DHCP-Protokolle, Elasticsearch-Filebeat-Daten, NetFlow-Datensätze, Syslog-Quellen, Apache-Kafka-Ereignisse sowie CSV-Dateien und Datenbankdaten eingebunden werden.
Security-Tools BeyondTrust Privilege Management, Forcepoint DLP, Proofpoint TAP sowie externe Alarme über einen HTTP Log Collector – auch spezialisierte Security-Lösungen lassen sich integrieren.
Für die große Mehrheit deutscher KMU- und Midmarket-Organisationen ist dies mehr als ausreichend, um ein vollständiges Lagebild der eigenen Umgebung zu erhalten.
Compliance: Datenspeicherung ohne dediziertes SIEM
Eines der am häufigsten genannten Argumente für ein SIEM ist Compliance: Organisationen sind verpflichtet, Protokolldaten für einen definierten Zeitraum aufzubewahren – sei es im Rahmen von NIS2, ISO 27001 oder branchenspezifischen Anforderungen.
Cortex XDR bietet hierfür eine elegante Lösung. Nach einer konfigurierten Anzahl von Tagen können Protokolldaten automatisch in externen Speicher exportiert werden. Dies kann eine Cloud-Lösung wie ein AWS-S3-Bucket sein. Kostengünstig, skalierbar und zuverlässig, aber auch eine On-Premises-Speicherlösung wie ein NAS oder ein lokaler Objektspeicher für Organisationen, die ihre Daten bevorzugt innerhalb der eigenen Infrastruktur halten möchten. Die Daten bleiben in beiden Fällen für Audits und gegebenenfalls forensische Untersuchungen verfügbar, ohne dass zu Archivierungszwecken eine vollständige SIEM-Plattform betrieben werden muss.
Das Ergebnis: Die Compliance-Anforderungen an die Datenspeicherung werden erfüllt – zu einem Bruchteil der Kosten eines dedizierten SIEM.
Verwaltet durch das Nomios SOC – einschließlich XSOAR-Automatisierung
Eine Plattform ist nur so leistungsstark wie die Menschen und Prozesse dahinter. Das Nomios-SOC-Team verwaltet Cortex-XDR-Umgebungen für Kunden, die diese nicht selbst einrichten möchten oder können. Wir verbinden tiefgreifende Palo-Alto-Networks-Expertise mit einer modernen SOC-Arbeitsweise.
Zentrales Element dabei ist Cortex XSOAR, die Automatisierungsplattform von Palo Alto Networks. XSOAR ermöglicht es uns, repetitive Aufgaben zu automatisieren, die Alarmbearbeitung zu beschleunigen und Playbooks auszuführen, die konsistent und auditierbar sind. Weniger Rauschen, schnellere Reaktion, mehr Fokus auf echte Bedrohungen.
Für Organisationen, die den Schritt zu einer verwalteten Erkennungs- und Reaktionskapazität gehen möchten, ohne den Aufwand eines eigenen SOC-Teams, ist dies ein praxisnaher und kosteneffizienter Weg.
Die richtige Wahl für die richtige Situation
Ein vollständiges Enterprise-SIEM hat seine Berechtigung – bei Organisationen mit komplexen Multi-Tenant-Umgebungen, anspruchsvollen Korrelationsanforderungen oder spezifischen Compliance-Rahmenwerken, die ein dediziertes SIEM voraussetzen. Doch das trifft nicht auf jede Organisation zu.
Für viele Unternehmen in Deutschland ist Cortex XDR als SIEM Light die bessere Wahl: schneller zu implementieren, einfacher zu verwalten und wahlweise durch das Nomios SOC betrieben. In Kombination mit einer durchdachten Datenexportstrategie in externen Speicher für die Langzeitaufbewahrung entsteht eine vollständige, konforme Security-Architektur – ohne unnötige Komplexität.
Möchten Sie wissen, ob dieser Ansatz zu Ihrer Organisation passt? Nehmen Sie unverbindlich Kontakt mit Nomios auf.
Unser Team ist bereit für Sie
Möchten Sie mehr über dieses Thema erfahren? Hinterlassen Sie eine Nachricht oder Ihre Telefonnummer und wir rufen Sie zurück. Wir freuen uns darauf, Ihnen weiterzuhelfen.
