In modernen SOC-Infrastrukturen ist die schiere Menge an Logdaten oft Fluch und Segen zugleich. Während maximale Sichtbarkeit entscheidend für die Erkennung von Bedrohungen ist, sprengen die Kosten für Datentransfer und Speicherung im SIEM oft das Budget. Mit Falcon Onum bietet CrowdStrike eine Lösung, die als intelligenter "Broker" zwischen Datenquellen und dem Next-Gen SIEM agiert.

Onum ermöglicht es, die Kontrolle über den Datenfluss zurückzugewinnen, weg vom einfachen Sammeln, hin zur aktiven Steuerung.

Was ist Falcon Onum? Einordnung und Einsatzzweck

Falcon Onum ist eine cloudnative Data Observability Pipeline. Sie wird zwischen die Erzeugung der Daten (Endpoint, Cloud, Netzwerk) und deren Ziel (SIEM, Data Lake) geschaltet. Das Ziel ist es, Datenströme in Echtzeit zu beobachten, zu filtern und zu transformieren, bevor sie wertvolle Ressourcen verbrauchen.

Die zentralen Use Cases:

• Kostenoptimierung durch Noise Reduction: Nicht jedes Log-Event ist sicherheitsrelevant. Onum filtert "Rauschen" (z.B. repetitive "Firewall Deny Einträge" ohne Mehrwert) heraus, bevor diese im SIEM indiziert werden und Lizenzkosten verursachen.
• Intelligentes Routing: Relevante Sicherheitsereignisse werden in Echtzeit an das Next-Gen SIEM übertragen, während die Umleitung von Rohdaten für Compliance-Zwecke kostengünstig in einen S3-Bucket oder einen anderen Cloud-Speicher erfolgt.
• Daten-Anreicherung und Maskierung: Logs werden direkt im Datenstrom mit Kontextinformationen ergänzt oder sensible, personenbezogene Daten (PII) maskiert, um Compliance-Vorgaben (DSGVO) bereits an der Quelle zu erfüllen.
• Format-Standardisierung: Onum bringt Ordnung in heterogene Log-Landschaften. Unterschiedliche Formate werden in ein einheitliches Schema transformiert, was die spätere Korrelation im SOC massiv beschleunigt.

Architektur: Das Pipeline-Prinzip

Die Funktionsweise von Onum basiert auf einem einfachen, aber mächtigen Modell:

1. Listeners: Die Eingangstore für Ihre Daten (z.B. LogScale Collector)
2. Pipelines: Das Herzstück. Hier erfolgt die Definition logischer Abfolgen von Aktionen (Filtern, Transformieren, Aggregieren).
3. Sinks: Die Zielorte. Hier wird festgelegt, wo die verarbeiteten Daten final landen sollen (z.B. CrowdStrike Next-Gen SIEM)

Fazit

Falcon Onum ist das strategische Werkzeug, um die Balance zwischen maximaler Visibilität und wirtschaftlicher Effizienz zu halten. Es ermöglicht eine Security-First-Datenstrategie, bei der die Qualität der Logs über der bloßen Quantität steht.

ByteRay Ausblick: Der nächste Artikel zu diesem Thema vertieft die technische Umsetzung. Gezeigt wird Schritt für Schritt die Anbindung eines Falcon LogScale Collectors an Onum sowie die Konfiguration einer ersten Pipeline.