XM Cyber und Google SecOps: Warnmeldungen in konkrete Maßnahmen verwandeln

Sicherheitsteams stehen unter enormem Druck: Sie werden mit einer Flut von Warnmeldungen aus SIEM-, SOAR-, EDR- und anderen Sicherheitslösungen überschwemmt. Jede Meldung verlangt Aufmerksamkeit – doch oft ist unklar, welche tatsächlich relevant ist. Die Gefahr besteht darin, sich auf weniger dringliche Probleme zu konzentrieren, während ernsthafte Bedrohungen unentdeckt bleiben.

Das Problem verschärft sich in Hybrid- und Multi-Cloud-Umgebungen, in denen Systeme eng miteinander verbunden und Assets über verschiedene Plattformen verteilt sind. Die Angriffsflächen wachsen ständig, Daten strömen unaufhörlich herein und die Menge der zu bewertenden Schwachstellen ist enorm. Selbst die besten Teams können nicht jedes Problem verfolgen – und ohne klare Richtung ist es nur allzu leicht, Zeit mit den falschen Problemen zu verschwenden. Entscheidungen werden zu langsam getroffen, Fehler sind sehr wahrscheinlich und echte Risiken werden übersehen. Gleichzeitig ist es angesichts der Fülle an Informationen, die in alle Richtungen gesendet werden, schwierig zu beurteilen, welche Szenarien das größte Risiko darstellen.

Es ist klar, dass die Erkennung allein nicht mehr ausreicht, um Cyberangriffe abzuwehren. Laut Gartner könnte die Ergänzung von SOC-Daten um Kontextinformationen bis 2028 die Häufigkeit und die Auswirkungen von Angriffen um bis zu 50 Prozent reduzieren. (Transform SecOps via Proactive Exposure Management and Threat Defense, Jonathan Nunez, Mitchell Schneider)

Das ist die Idee hinter der Integration von XM Cyber in Google Security Operations. Gemeinsam bringen wir die Angriffsgraphen-Kartierung und Expositionsanreicherung von XM Cyber in die Google SecOps-Lösungen ein. Das Ergebnis ist eine einheitliche Methode, um Bedrohungen zu erkennen, das tatsächliche Risiko zu verstehen und durch automatisierte, gezielte Workflows schnell Maßnahmen zu ergreifen.

In diesem Blogbeitrag erläutern wir, wie die Integration funktioniert, welche Probleme sie löst und welche technischen Vorteile sie für Sicherheitsteams bietet.

Mit XM Cyber und Google Security Operations den gesamten Angriff überblicken

Die Menge der Warnmeldungen ist nur ein Teil des Problems für Sicherheitsteams. Die größere Herausforderung besteht darin, zu verstehen, wie diese Ereignisse zusammenhängen und was sie für das Unternehmen bedeuten, wenn nichts unternommen wird.

Eine Warnmeldung allein zeigt selten, ob eine bestimmte Schwachstelle direkt zu den „Kronjuwelen“ eines Unternehmens führt, ob mehrere Schwachstellen in einer Angriffskette miteinander verknüpft werden könnten oder wo eine einzelne Schwachstelle einem Angreifer umfassenden Zugriff ermöglichen könnte. Ohne diese Transparenz können Teams wertvolle Zeit damit verschwenden, den falschen Problemen nachzugehen, während die tatsächlichen Einstiegspunkte weit offen bleiben.

Wie wir bereits in früheren Blogs erläutert haben, hilft Exposure Management Teams dabei, ihre Umgebung so zu sehen, wie ein Angreifer sie sehen würde. Echte Angreifer verfügen über eine umfangreiche und anpassungsfähige Toolbox, im Gegensatz zu herkömmlichen isolierten Tools, und echte Angriffspfade sind in der Regel hybrid. Indem Exposure Management aufzeigt, wie Schwachstellen miteinander verbunden sind, welche Assets in Reichweite sind und wo sich Risiken konzentrieren, schafft es die Grundlage für schnellere und gezieltere Maßnahmen.

Die Integration von XM Cyber und Google Security Operations liefert Sicherheitsinformationen direkt in die Sicherheitsabläufe. Google SecOps erhält erweiterte Warnmeldungen von XM Cyber, die die Erreichbarkeit von Assets hervorheben und eine Choke-Point-Analyse sowie robuste Risikobewertungen liefern. Umgekehrt erhält XM Cyber von Google SecOps Informationen zu Sicherheitsverletzungen und Details zu Vorfällen, um Angriffsszenarien in Echtzeit zu verfeinern. Diese kontinuierliche Feedbackschleife stellt sicher, dass Erkennung, Untersuchung und Reaktion maximale Wirkung erzielen. Teams erhalten Klarheit und Tools, um sich auf die wichtigsten Probleme zu konzentrieren und schnell zu reagieren, indem sie unsere Simulationen/Szenarien mit der realen Welt/beobachtbaren Ereignissen verknüpfen.

So funktioniert die Integration

Erkennen Sie Ereignisse im gesamten Ökosystem

Google SecOps SIEM protokolliert Ereignisse von allen verbundenen Plattformen, darunter Tools wie CrowdStrike, Splunk, SentinelOne und mehr. Diese Ereignisse können Aktivitäten wie Anmeldeversuche, Hinzufügen von Benutzern und andere aufgezeichnete Aktionen in der gesamten Umgebung umfassen. Dank dieser zentralen Protokollierung können Sicherheitsteams Aktivitäten aus mehreren Quellen an einem Ort einsehen.

Erweitern Sie Warnmeldungen um reale Risikokontexte

XM Cyber erweitert die direkt in SOAR erstellten SIEM-Ereignisse und Warnmeldungen um Daten aus dem Continuous Exposure Management. Dazu gehören die Erreichbarkeit von Assets, die Identifizierung von Engpässen und Risikobewertungen. Ereignisse werden außerdem mit MITRE ATT&CK-Techniken und Belegen für Sicherheitslücken korreliert, sodass Analysten einen klaren Überblick über potenzielle Risiken durch Vernetzung und das Potenzial für den nächsten Angriff erhalten.

Konzentrieren Sie sich auf die wichtigsten Bedrohungen

Mithilfe von XM Cyber-Daten kann Google SecOps Warnmeldungen so filtern, dass nur solche angezeigt werden, die sich auf hochprivilegierte Entitäten, kritische Assets oder bekannte Engpässe beziehen. Dadurch wird die Aufmerksamkeit auf die Warnmeldungen gelenkt, die sich am ehesten auf die wichtigsten Systeme des Unternehmens auswirken.

Reagieren Sie mit automatisierten Playbooks

Benutzerdefinierte XM Cyber-Playbook-Aktionen in Google SecOps SOAR nehmen die angereicherten Warnmeldungsdaten und führen die zuvor definierten spezifischen Reaktionsschritte aus. Die Workflows werden automatisch ausgeführt und zeigen die wichtigsten Informationen und Berechnungen innerhalb der Warnmeldung an, sodass Analysten den Kontext erhalten, den sie für ihre Reaktion benötigen.

Ergebnisse in Angriffsszenarien zurückführen

Google SecOps sendet Verletzungspunkte aus Vorfällen zurück an XM Cyber. XM Cyber verwendet diese als CEM-Labels, um Szenarien zu erstellen. Anschließend werden die Angriffspfadmodelle aktualisiert, sodass zukünftige Analysen die neuesten Erkenntnisse aus realen Vorfällen widerspiegeln.

Erzielen Sie echte Ergebnisse

Die Integration von XM Cyber und Google SecOps verbessert die Erkennung, Untersuchung und Reaktion im gesamten Sicherheitsworkflow und bietet folgende Vorteile:

• Höhere Erkennungsgenauigkeit

Die Attack Graph Analysis von XM Cyber erweitert Google SecOps-Warnmeldungen um Risikoattribute, validierte Angriffstechniken, die Erreichbarkeit kritischer Assets und Details zu Engpässen. Auf diese Weise können SIEM/SOAR-Warnmeldungen, Ereignisse und Fälle anhand des tatsächlichen Ausmaßes und der geschäftlichen Auswirkungen priorisiert werden.

• Bedrohungsbasierte Untersuchung

Analysten können MITRE ATT&CK-Techniken mit den Expositionsnachweisen von XM Cyber abgleichen, um zu sehen, wie sich ein Vorfall entwickeln könnte. Das Fallmanagement und die interaktiven Alarmgrafiken von Google SecOps arbeiten mit den Informationen von XM Cyber zusammen, um einen vollständigen Überblick über die Bedrohungslage zu geben.

• Gezielte, automatisierte Reaktion

Reaktionsworkflows nutzen die proaktiven Erkenntnisse von XM Cyber, um Aktionen in Google SecOps SOAR auszulösen. Einzigartige Playbooks und Playbook-Aktionen von XM Cyber bieten automatisierte Schritte, mit denen Sie Bedrohungen besser verstehen, organisieren und schneller und effektiver darauf reagieren können.

• Verbesserte Kontexttransparenz mit XM-Widgets

Mit den benutzerdefinierten Widgets von XM Cyber erhält SecOps einen Überblick über die Risikostufen von Entitäten und kann so die Priorisierung von Bedrohungen und die Entscheidungsfindung optimieren.

Kontinuierliche Verfeinerung von Angriffsszenarien

Breach Points aus Echtzeit-Vorfällen werden an XM Cyber gesendet, das die Angriffsdiagramme aktualisiert, um Änderungen in der Umgebung und der Bedrohungslandschaft widerzuspiegeln. So wird sichergestellt, dass jeder Erkennungs- und Reaktionszyklus die aktuellsten Risikoinformationen nutzt.

Reale Auswirkungen und nächste Schritte

Sicherheitsteams müssen sich mit mehr Warnmeldungen, mehr Systemen und mehr Bedrohungen als je zuvor auseinandersetzen. Die Integration von XM Cyber und Google SecOps beseitigt Unübersichtlichkeit, indem sie Teams den Kontext liefert, um zu verstehen, welche Bedrohungen wichtig sind und wie sie zu bekämpfen sind.

Die Integration stärkt Sicherheitsprogramme mit jedem Vorfall. Erkenntnisse aus realen Ereignissen fließen in die Angriffsmodellierung ein, verfeinern Prioritäten und verstärken die Abwehrmaßnahmen. Die Entscheidungsfindung bleibt an die tatsächlichen Auswirkungen auf das Geschäft gekoppelt, und jede Reaktion führt zu einer messbaren Risikominderung.

Die Integration von XM Cyber und Google SecOps ist ab sofort über den Google SecOps Marketplace verfügbar und bietet eine direkte Möglichkeit, die Transparenz zu verbessern, schneller zu reagieren und mit Zuversicht zu agieren.

Möchten Sie mehr über die Integration von XM Cyber und Google SecOps erfahren? Lesen Sie alles darüber hier.

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky