Security Information and Event Management (Sicherheitsinformations- und -ereignismanagement, SIEM) 

Was ist SIEM und wie funktioniert es?

Definition von SIEM

SIEM-Tools zentralisieren, korrelieren und analysieren Daten im gesamten IT-Netzwerk, um Sicherheitsprobleme zu erkennen. Zu den Kernfunktionen des SIEM gehören die Protokollverwaltung und -zentralisierung, die Erkennung von Sicherheitsereignissen sowie die Erstellung von Berichten und Suchfunktionen. Diese Kombination hilft Unternehmen bei der Erfüllung von Compliance-Anforderungen und der schnelleren Identifizierung und Eindämmung von Angriffen.

Was ist ein SIEM und wie funktioniert es?

Ein modernes SIEM benötigt drei Kernkompetenzen – die Datenerfassung, Analyse und Reaktion – um die in den heutigen hybriden und Multi-Cloud-Umgebungen erforderliche Sicherheit zu gewährleisten. Die Aufgabe eines SIEM ist es, Daten über Ihr gesamtes Netzwerk zu erfassen (Datenerfassung), schädliches Verhalten zu identifizieren (Analyse) und Warnungen an Sicherheits- und IT-Teams zu senden, um ihnen den nötigen Einblick und die erforderlichen Informationen zu geben, um darauf zu reagieren, ehe das Problem ernst wird (Reaktion). Falls Compliance-Berichtswesen ein wichtiger Faktor ist, so sollte ein SIEM außerdem in der Lage sein, mit Dashboards zu helfen und sicherzustellen, dass die Sicherheitsrichtlinien durchgesetzt werden.

Die Vorteile eines SIEM

Bei ordnungsgemäßem Einsatz bietet ein SIEM Unternehmen die nötige Transparenz, um das Risiko im gesamten Netzwerk messbar zu reduzieren und sowohl bekannte als auch unbekannte Bedrohungen zu erkennen. SIEM-Lösungen gibt es seit fast zwei Jahrzehnten, und die modernen SIEMs von heute ähneln ihren auf die Protokollverwaltung ausgelegten Ahnen von einst kaum noch. So wie sich die Sicherheitslandschaft weiterentwickelt hat, haben sich auch die SIEMs weiterentwickelt (zumindest einige von ihnen). Die effektivsten, automatisierten Lösungen von heute beinhalten:

  • Weniger Falschmeldungen
  • Genaue Erkennung von Malware
  • Umfangreiche Analyse der gesamten Infrastruktur
  • Fähigkeit, neue Bedrohungen zu erlernen
  • Endpunkterkennung

Worauf Sie bei einer SIEM-Lösung achten sollten

Zeit und Genauigkeit sind hier wichtig. Mit einem SIEM-Tool kann Ihr Unternehmen jeden Tag Milliarden von Ereignissen sehen, und das ist eine Menge an Informationen, die es zu sichten gilt. Sie brauchen eine SIEM-Lösung, die prüfen kann, was nachverfolgt werden sollte und – und das ist ebenso wichtig – welches Verhalten harmlos ist. Je anpassungsfähiger Ihre Lösungen sind, desto besser stehen Ihre Chancen, dass Ihnen ein PR-Albtraum oder eine finanzielle Krise erspart bleibt. 

Hier ist eine kurze Checkliste von dem, was eine SIEM-Lösung beinhalten sollte:

Einrichten eines SIEM-Tools

Die Einrichtung von SIEM-Tools ist selbst für erfahrene Sicherheitsexperten eine komplexe Aufgabe, aber wenn sie richtig durchgeführt wird, können tote Winkel in Ihrem Netzwerk beseitigt werden. Der erste Schritt besteht darin, Ihr bestehendes Netzwerk und Ihren Sicherheits-Stack zu verstehen und herauszufinden, wie Sie Protokollinformationen von diesen Punkten erfassen können. Sie müssen auch die Planung für Hardware in Betracht ziehen, wenn der Anbieter keine Software-as-a-Service-Speicheroption (SaaS) anbietet. Schließlich besteht ein weiterer Schritt darin, Regeln zu verfassen, um Ereignisse von Interesse zu identifizieren und Berichte zu erstellen, die wichtige Kennzahlen zum Gesamtrisiko des Netzwerks hervorheben. Eine Analyse von Drittanbietern zu Funktionen und Anbietern von SIEM-Tools finden Sie im Gartner Magic Quadrant 2018 für SIEM.

Verwaltung von Protokollen in einem SIEM zur Gewährleistung der Sicherheit und Einhaltung der Compliance

Die effektive Verwaltung von Protokollen mit Ihrem SIEM-Tool ist unerlässlich für die Transparenz des Netzwerks, die Einhaltung der Compliance sowie die zuverlässige Erkennung und Reaktion auf Vorfälle. Als Sicherheitsexperte müssen Sie Ihre Daten befragen können (in der Regel unter Verwendung von Structured Query Language oder SQL), um Indicators of Compromise (IoCs) zu identifizieren, die betroffenen Benutzer und Systeme zu finden und den endgültigen Umfang mit den Remediation Teams zu teilen. Die Verwaltung von Protokollen beinhaltet in der Regel die Indizierung von Daten und deren Korrelation mit anderen Datensätzen. Ziel ist es, Ihnen eine einfache Möglichkeit zu geben, von einem einheitlichen Dashboard aus Bedrohungen aufzuspüren.

Warnmeldungen und Berichte mit Ihrem SIEM-Tool

Nach der allgemeinen Einrichtung ist die Konfiguration Ihrer Warnmeldungen und Berichte der Schlüssel zu einem effizienten Umgang mit Ihrem SIEM. Als Sicherheitsexperte müssen Sie Ihr SIEM kontinuierlich verfeinern, damit es Ihnen die wichtigen Sicherheitsereignisse in Ihrem Netzwerk liefert. Ein häufiges Problem mit SIEM-Tools ist, dass sie zu viele nicht priorisierte Warnmeldungen liefern, zu viele, als dass sich das Sicherheitsteam die Zeit nehmen könnte, um sie alle zu untersuchen. Deshalb ist es wichtig, neue und bestehende Regeln kontinuierlich zu optimieren, um effektiv nur die relevanten Bedrohungen gemeldet zu bekommen.

Es ist eine Menge zu merken und eine Menge zu verarbeiten. Aber das Gefühl, überfordert zu sein, darf Sie nicht davon abhalten, tätig zu werden. Angriffe kommen in allen Formen und Größen her, und deren vollständige Umfang zu verstehen, ist nicht nur etwas, das „ganz nett zu haben“ ist. Wenn Sie Incident- und Detection-Response effektiv einsetzen, so ermöglichen Sie es Ihrem Unternehmen, mehr Aufgaben zu rationalisieren, indem Sie besser verstehen, welche Richtlinien funktionieren und welche möglicherweise überarbeitet werden müssen, sowohl jetzt als auch in Zukunft.