Nach Darstellung von Dwayne Smith sammelte Vensure zunächst praktisch alles, was sich an Sicherheitsdaten erfassen ließ. Mit der Integration weiterer Umgebungen durch Fusionen und Übernahmen wurde dieses Vorgehen jedoch teuer. Smith verweist nicht nur auf Speicherkosten, sondern auch auf den Aufwand für Betrieb, Verwaltung sowie Richtlinien- und Nachweisfragen rund um die Datenhaltung.

Besonders deutlich zeigte sich das bei Firewall-Telemetrie. Während Bedrohungs- und Intrusion-Warnungen einen klaren Sicherheitswert hatten, machten rohe Verbindungslogs den Großteil der Ereignisse aus, wurden im Alltag für Erkennung und Reaktion aber nur selten benötigt. Sie blieben vor allem für den Fall erhalten, dass man sie irgendwann doch brauchen könnte. Genau darin sah Smith ein geschäftliches Problem.

Vensure machte Firewall-Daten deshalb zum ersten Anwendungsfall für eine gezielte Vorfilterung. In der Sicherheitsdaten-Pipeline kamen Machine Learning und große Sprachmodelle zum Einsatz, um eingehende Logs zu bewerten und Daten mit hohem Volumen, aber geringem Nutzen herauszufiltern. Laut dem Unternehmen wurden dabei Bedrohungs-, Intrusions- und Authentifizierungsereignisse nicht entfernt.

Das Ergebnis war nach Angaben von Vensure eine Reduktion der Firewall-Log-Ingestion um 83 Prozent. Um die Entscheidung gegen bestimmte Daten zu prüfen, führte Smiths Team Parallelvergleiche mit nativen Firewall-Metriken, historischen Daten und simuliertem Angriffsverkehr durch. Zusätzlich nutzte das Team Modelle für künstliche Intelligenz, die an Frameworks wie MITRE ATT&CK ausgerichtet waren, damit gefilterte Daten weiterhin im richtigen Bedrohungskontext interpretiert werden konnten.

Für Vensure ging es dabei nicht nur um niedrigere Ausgaben, sondern um belastbare Sicherheitserkenntnisse. Laut Smith half das geringere Volumen irrelevanter Ereignisse den Analysten, Scan-Aktivitäten, von Anbietern initiierte Tests und echte Anomalien klarer zu erkennen. In einzelnen Fällen habe das bereinigte Signal auch dabei geholfen zu bestätigen, ob externe Sicherheitswerkzeuge wie erwartet funktionierten, was zuvor verdeckt gewesen sei.

Den finanziellen Effekt beziffert das Unternehmen auf rund 250.000 US-Dollar jährliche Einsparungen, direkt verbunden mit sinkenden Ingestion- und Speicherkosten. Operativ seien die Auswirkungen noch wichtiger gewesen: Die mittlere Reaktionszeit sank laut Vensure um rund 50 Prozent, weil Analysten weniger Zeit mit der Triage von Fehlalarmen verbrachten. Zudem habe sich die Erkennungsgenauigkeit verbessert, weil breite Signaturen zu präziseren Indikatoren verfeinert wurden.

Auch das Verhalten von Administratoren ließ sich nach Angaben von Smith leichter nachverfolgen, was die Überwachung von Identitäten und Zugriffsrechten stärkte. Darüber hinaus verbesserte sich das Compliance-Reporting, insbesondere bei regionalen Anforderungen an den Umgang mit Daten. Smiths Fazit richtet sich weniger auf ein bestimmtes Produkt als auf die Grundannahme hinter vielen SIEM-Strategien: Mehr Daten bedeuten nicht automatisch mehr Sicherheit.