Data Insider

Was ist SIEM?

Als SIEM (Security Information and Event Management) bezeichnet man ein einzelnes Security-Management-System, das volle Sichtbarkeit und Transparenz zu Aktivitäten innerhalb Ihres Netzwerks bietet – dies versetzt Sie in die Lage, in Echtzeit auf Bedrohungen zu reagieren. Es sammelt, analysiert und kategorisiert Maschinendaten aus einer Vielzahl von Quellen. Dann analysiert es die Daten, um Erkenntnisse bereitzustellen, damit Sie entsprechend agieren können.

Eine SIEM-Lösung erfasst ein großes Datenvolumen in Sekundenschnelle und durchsucht es, um ungewöhnliches Verhalten aufzuspüren und zu melden, wodurch Sie Echtzeit-Einblicke zum Schutz Ihres Unternehmens erhalten – dies wäre manuell nicht möglich. Ein SIEM liefert Ihnen zu jedem Zeitpunkt eine Momentaufnahme Ihrer IT-Infrastruktur und ermöglicht Ihnen, Logdaten zu speichern und zu verwalten, um die Einhaltung von Compliance-Anforderungen sicherzustellen. Diese Fähigkeit, Daten aus allen Anwendungen und sämtlicher Hardware im Netzwerk in Echtzeit zu analysieren, kann Unternehmen dabei helfen, internen und externen Bedrohungen immer einen Schritt voraus zu sein.

Der Begriff „SIEM“ existiert seit mehr als zehn Jahren und hat sich seit seiner Prägung durch Gartner im Jahr 2005 erheblich weiterentwickelt. SIEM hat vielleicht nicht die Faszination von KI-Technologien, ist aber noch immer entscheidend für die Bedrohungserkennung (Threat Detection) in der zunehmend komplexen und schnelllebigen IT- und Security-Landschaft.

Zugehörige Sicherheitskonzepte sind SEM (Security Event Management) und SIM (Security Information Management). Bei SIM liegt der Schwerpunkt auf der Erfassung und Verwaltung von Logs und anderen sicherheitsrelevanten Daten, während sich SEM um Echtzeitanalysen und -berichte dreht. In der Regel kombinieren SIEM-Systeme diese beiden Disziplinen des Sicherheitsinformationsmanagements.

In diesem Artikel behandeln wir die wesentlichen Merkmale und Funktionen von SIEM sowie die Wahl des richtigen SIEM-Tools.

Analystenbericht | Splunk auf Platz 1 im Gartner Magic Quadrant für SIEM

Wie funktioniert SIEM?

Ein SIEM-System aggregiert Event-Daten aus verschiedenen Datenquellen innerhalb Ihrer Netzwerkinfrastruktur, einschließlich Servern, Systemen, Geräten und Anwendungen, vom Perimeter bis zum End User. Letztendlich bietet eine SIEM-Lösung eine zentrale Sicht mit zusätzlichen Erkenntnissen, in der Kontextinformationen über Ihre User, Assets und mehr kombiniert werden. Sie konsolidiert und analysiert die Daten auf Abweichungen von den von Ihrem Unternehmen definierten Verhaltensregeln, um potenzielle Bedrohungen zu erkennen.

Mögliche Datenquellen sind:

  • Netzwerkgeräte: Router, Switches, Bridges, Wireless Access Points, Modems, Leitungstreiber, Hubs
  • Server: Web, Proxy, Mail, FTP
  • Sicherheitsgeräte: IDP/IPS, Firewalls, Antivirus-Software, Content-Filtergerät, Intrusion Detection-Anwendungen
  • Anwendungen: Jegliche Software, die auf einem der oben genannten Geräte genutzt wird

Zu den Attributen, die analysiert werden können, gehören Benutzer, Eventtypen, IP-Adressen, Speicher, Prozesse und mehr. SIEM-Produkte ordnen Abweichungen Kategorien zu, wie etwa „Fehlgeschlagene Anmeldung“, „Account-Änderung“ oder „Potenzielle Malware“. Eine Abweichung bewirkt, dass das System Sicherheitsanalysten informiert und/oder die ungewöhnliche Aktivität aussetzt. Sie legen die Richtlinien für die Auslösung von Benachrichtigungen fest und definieren die Verfahren für den Umgang mit potenziell bösartigen Aktivitäten.

Ein SIEM-System erkennt zudem Muster und anomales Verhalten. Das bedeutet, wenn ein einzelnes Event für sich genommen noch keine Alarmglocken klingeln lässt, kann das SIEM am Ende eine Korrelation über mehrere Ereignisse hinweg feststellen, die ansonsten unentdeckt bliebe, und eine Benachrichtigung auslösen. Die SIEM-Lösung speichert diese Logs in einer Datenbank, damit Sie die Möglichkeit haben, tiefer greifende forensische Untersuchungen durchzuführen oder die Einhaltung von Compliance-Anforderungen nachzuweisen.

Was ist ein SIEM-Tool?

Ein SIEM-Tool ist die Software, die als analysegestützte Cyber-Security-Zentrale fungiert. Alle Eventdaten werden an einem zentralen Ort erfasst. Das SIEM-Tool übernimmt die Analyse und Kategorisierung für Sie, und, was noch wichtiger ist, liefert Kontext, welcher Sicherheitsanalysten tiefere Einblicke in Security-Events innerhalb der Infrastruktur gibt.

SIEM-Technologien unterscheiden sich im Umfang. Dieser reicht von einfachem Log-Management und Altering-Funktionalität bis hin zu robusten Dashboards, Machine Learning und der Möglichkeit, umfassende Analysen mit historischen Daten durchzuführen. Führende Lösungen bieten Dutzende von Dashboards, wie etwa folgende:

  • Überblick über relevante Events in Ihrer Umgebung, die potenzielle Security-Incidents darstellen
  • Details zu allen relevanten Events, die in Ihrer Umgebung identifiziert wurden, damit Sie diese sichten und priorisieren können
  • Ein Workbook mit allen offenen Untersuchungen, in dem Sie Ihre Fortschritte und Aktivitäten verfolgen können, wenn Sie mehrere Security-Incidents untersuchen
  • Risikoanalyse für die Risikoeinstufung von Systemen und User in Ihrem Netzwerk, um Risiken zu identifizieren
  • Bedrohungsinformationen, die Kontext zu Ihren Security-Incidents hinzufügen und bekannte Bedrohungen in Ihrer Umgebung identifizieren
  • Protokollinformationen, die mithilfe der erfassten Paketdaten Netzwerkeinblicke bereitstellen, die für Ihre Sicherheitsuntersuchungen relevant sind, so dass Sie verdächtigen Traffic, DNS-Aktivitäten und E-Mail-Aktivitäten identifizieren können
  • Benutzerinformationen für die Untersuchung und das Monitoring der Aktivitäten von Usern und Assets in Ihrer Umgebung
  • Webinformationen für die Analyse des Web-Traffics in Ihrem Netzwerk

Auch nicht-traditionelle Tools finden den Weg in den SIEM-Bereich, allen voran UBA (User Behavior Analytics). UBA, auch UEBA (User and Entity Behavior Analytics) genannt, wird eingesetzt, um interne und externe Bedrohungen aufzuspüren und zu beheben. UBA wird zwar oft als fortschrittlicher Security Use Case angesehen, wird aber zunehmend dem SIEM-Bereich zugeordnet. So werden beispielsweise im Gartner Magic Quadrant für SIEM Informationen über UBA/UEBA-Angebote berücksichtigt.

UBA beinhaltet die Aufbereitung und Verwertung von Daten, durch die tiefere Einblicke und eine robustere Bedrohungserkennung möglich sind. Diese Einblicke unterscheiden ein modernes SIEM-Tool von herkömmlichen Lösungen. Die manuelle Durchführung dieser Art von Analyse ist fast unmöglich, lässt sich mit einem SIEM-Tool jedoch mit wenigen Klicks realisieren.

Moderne SIEM-Lösungen können lokal, in der Cloud oder in einer hybriden Umgebung bereitgestellt und meistens parallel zu Entwicklung und Wachstum des Unternehmens skaliert werden.

SOC

Welche Rolle spielt SIEM im SOC?

 

Das SIEM hat die Aufgabe, Analysten im SOC (Security Operations Center) fundierte Erkenntnisse aus der Analyse von Eventdaten zu liefern, welche ansonsten zu vielfältig und umfangreich für eine manuelle Überprüfung sind. Die SIEM-Analyse von Maschinendaten und Logdateien kann bedrohliche Aktivitäten aufdecken und automatisierte Reaktionen auslösen und damit die Reaktionszeit bei Angriffen erheblich verbessern.

 SOCs gab es zwar schon vor der Einführung von SIEM, doch SIEM ist ein wichtiges Tools für das Ziel moderner SOCs, interne und externe Angriffe abzuwehren, das Bedrohungsmanagement zu vereinfachen, Risiken zu minimieren, unternehmensweit für Transparenz zu sorgen und Security Intelligence zu gewinnen.

Wie nutzen Sie SIEM optimal?

Der beste Weg für die optimale Nutzung Ihrer SIEM-Lösung besteht darin, die Anforderungen des Unternehmens und die Risiken Ihrer Branche zu verstehen sowie Zeit in die Suche nach der richtigen Lösung zu investieren – und diese dann kontinuierlich zu verbessern.

Folgen Sie diesen Best-Practice-Tipps, um genau die solide Grundlage zu schaffen, die für den optimalen Einsatz Ihres SIEM-Tools notwendig ist:

  1. Investieren Sie Zeit in die Planung und den Review: Was soll die SIEM-Lösung für Ihr Unternehmen tun? Formulieren Sie spezifische Ziele. Dies ist der Schlüssel für die Wahl des richtigen SIEM-Tools, mit dem Sie auch erreichen, was Sie sich vorgenommen haben. Machen Sie Ihre Hausaufgaben. SIEM ist komplex, und die Bereitstellung kann langwierig sein – sparen Sie also nicht bei der anfänglichen Recherche.
  2. Ein SIEM-System braucht Zuwendung: Die Arbeit ist nicht mit der Bereitstellung getan – Sie müssen das Tool pflegen, damit es funktioniert. Denn selbst bei den intuitivsten Tools müssen Sie das System ständig prüfen und Anpassungen vornehmen, während sich Ihr Unternehmen an Marktveränderungen anpasst.
  3. Definieren Sie Verfahren und überwachen Sie sie engmaschig: Sie müssen die Kriterien für die Generierung von Alarmen und Benachrichtigungen angeben und die Maßnahmen festlegen, die das Tool als Reaktion auf potenziell böswillige Aktivitäten ergreifen soll. Ihr IT-Team wird sonst mit Benachrichtigungen überschwemmt, von denen viele Fehlalarme sind. Richten Sie diese Verfahren ein und optimieren Sie sie bei Bedarf, damit Fehlalarme reduziert werden und sich Ihre Mitarbeiter auf echte Bedrohungen konzentrieren können.
  4. Setzen Sie auf erfahrene Mitarbeiter: SIEM macht Ihrer IT- und Security-Abteilung das Leben leichter, ersetzt Ihre Mitarbeiter aber nicht. Schulen Sie Ihre Mitarbeiter, damit sie die Lösung implementieren, pflegen und kontinuierlich optimieren können, um mit der sich ständig wandelnden IT- und Sicherheitslandschaft Schritt zu halten.

Was sind die ersten Schritte beim Einstieg in SIEM?

Der erste Schritt bei jeder SIEM-Bereitstellung besteht in der Priorisierung der Anwendungsfälle (Use Cases) im Unternehmen. Was sind Ihre Ziele? Die meisten SIEM-Tools stellen zwar durch Regelsätze Anwendungsfälle bereit, die typischerweise für jeden Kunden gelten, doch entsprechen diese nicht unbedingt auch den Prioritäten Ihres Unternehmens. Die Anforderungen und Ziele in den Bereichen Fertigung, Gesundheitswesen, Finanzdienstleistungen, Einzelhandel, öffentliche Hand usw. variieren unter Umständen stark.

Berücksichtigen Sie bei der Entscheidung, wie Sie SIEM in Ihrem Unternehmen implementieren möchten, die folgenden Punkte:

  • Menge und Art der Daten, die im System zur Verfügung stehen
  • Das vorhandene interne Knowhow und die Möglichkeit, Mitarbeiter in IT oder Security für die Implementierung, Verwaltung und Pflege des SIEM zu schulen
  • Wächst das Unternehmen und, wenn ja, wie schnell?
  • Größe und Verteilung Ihres Netzwerks (z.B. Anzahl von Remote-Standorten und Grad an Benutzermobilität)
  • Ihre Compliance-Anforderungen
  • Ihr Budget

All diese Faktoren können Ihnen als Orientierungshilfe bei der Entscheidung und Implementierung dienen.

Identifizieren Sie auch nicht nur die unmittelbaren Anforderungen Ihres Unternehmens, sondern auch Möglichkeiten zur Erweiterung der Sicherheitsfunktionen, die sowohl das prognostizierte Wachstum als auch die zunehmende Sicherheitsreife berücksichtigen. Beispielsweise könnte ein kleineres Unternehmen oder eine weniger ausgereifte Sicherheitsorganisation mit einer einfachen Event-Erfassung beginnen und sich dann kontinuierlich hin zu robusteren Fähigkeiten wie UEBA und SOAR (Security Orchestration, Automation and Response) weiterentwickeln.

Die Beschreibung Ihrer Anwendungsfälle und die Security-Roadmap ermöglichen es Ihrem SOC- und IT-Team, sich die zahlreichen Event-Datenquellen anzusehen und sicherzustellen, dass dem Tool korrekte, vollständige und brauchbare Daten zur Verfügung gestellt werden. Ihr SIEM ist nur so gut wie die Daten, mit denen Sie es füttern.

Wie wählen Sie die richtige SIEM-Lösung?

Wenn es an die Entscheidung für eine SIEM-Lösung geht, werden Sie feststellen, dass Sie viele Optionen zu berücksichtigen haben. Achten Sie bei der Beurteilung der Tools auf folgende wichtige SIEM-Funktionen:

  1. Echtzeit-Monitoring: Angriffe erfolgen schnell, und je länger Sie mit der Abwehr warten, desto größer ist der Schaden. Ihre SIEM-Lösung sollte Ihnen in Echtzeit einen Überblick über das Geschehen in Ihrem Netzwerk geben, einschließlich der Aktivitäten im Zusammenhang mit Usern, Geräten und Anwendungen, sowie aller Aktivitäten, die nicht speziell mit einer Identität verknüpft sind. Sie benötigen Monitoring-Funktionen, die auf jedes lokale, Cloud- oder Hybrid-Data-Set angewendet werden können.

    Zusätzlich zu den Monitoring-Funktionen benötigen Sie die Möglichkeit, die Informationen in einem verwertbaren Format zusammenzuführen. Wählen Sie ein SIEM mit einer Bibliothek mit anpassbaren, vordefinierten Korrelationsregeln, einer Sicherheits-Event-Konsole für die Echtzeitdarstellung von Security-Incidents und -Events sowie Dashboards, die Live-Visualisierungen der Bedrohungsaktivitäten ermöglichen.
  2. Incident Response: Am wichtigsten ist, dass ein analysegestütztes SIEM über Autoresponse-Funktionen verfügen muss, die laufende Cyberangriffe unterbrechen können. Es sollte zudem die Möglichkeit bieten, relevante Events und ihren Status zu identifizieren, den Schweregrad von Events anzugeben, Abhilfemaßnahmen einzuleiten und eine Prüfung des gesamten Prozesses durchzuführen, der den Incident umgibt.
  3. Benutzer-Monitoring: Manche Bedrohungen können intern bestehen, entweder weil User eine tatsächliche Bedrohung darstellen oder weil ihr Verhalten das Unternehmen für externe Bedrohungen öffnet. Ihr SIEM-Tool sollte mindestens die Möglichkeit beinhalten, Zugriffs- und Authentifizierungsdaten zu analysieren, den Benutzerkontext zu ermitteln und Benachrichtigungen über verdächtiges Verhalten und Verstöße gegen unternehmensinterne und gesetzliche Richtlinien zu liefern. Wenn Sie für Compliance-Reporting zuständig sind, brauchen Sie eventuell auch eine Funktion für das Monitoring privilegierter Benutzer (Privileged User, d. h. Benutzer, die mit besonders hoher Wahrscheinlichkeit Ziel von Angriffen sind). Dies ist in den meisten betroffenen Branchen eine häufig auftretende Compliance-Anforderung.
  4. Threat Intelligence: Ihr SIEM-Tool sollte Sie dabei unterstützen, wichtige externe Bedrohungen zu identifizieren, wie etwa bekannte Zero-Day-Exploits und komplexe persistente Bedrohungen. Bedrohungsinformationen bieten Ihnen nicht nur die Möglichkeit, anormale Aktivitäten aufzudecken, sondern auch Schwachstellen in der Sicherheit zu erkennen, bevor diese ausgenutzt werden, und Reaktionen und Abhilfemaßnahmen zu planen.
  5. Advanced Analytics und Machine Learning: Alle Daten der Welt nützen Ihnen nichts, wenn Sie damit keine klaren Erkenntnisse gewinnen können. Bei komplexen Analysen werden anspruchsvolle quantitative Methoden wie Statistik, deskriptives und prädiktives Data Mining, Simulation und Optimierung eingesetzt, um tiefergreifende Erkenntnisse zu erhalten.

    Auf Machine Learning gestützte SIEM-Tools lernen mit der Zeit, was normales Verhalten darstellt und was eine echte Abweichung ist, und werden so immer genauer. Dies ist heute besonders wichtig, da sich Technologie, Angriffsvektoren und die Raffinesse von Hackern schneller denn je entwickeln.
  6. Erkennung komplexer Bedrohungen: Da die meisten Firewalls und Intrusion Protection Systems nur schwer an neue komplexe Bedrohungen angepasst werden können, sollte Ihr SIEM in der Lage sein, Netzwerksicherheits-Monitoring, Endpunkterkennung, Response-Sandboxes und Verhaltensanalysen in Kombination miteinander durchzuführen, um neue potenzielle Bedrohungen zu identifizieren und isolieren. Es ist nicht damit getan, die Bedrohung zu erkennen. Sie sollten feststellen können, wie schwerwiegend die Bedrohung ist, wohin sie nach der Erkennung „gewandert“ ist und, wie sie eingedämmt werden kann.
  7. Nahtloses Log-Management: Ihre SIEM-Lösung sollte nicht nur Daten aus Hunderten oder gar Tausenden Datenquellen erfassen können, sondern sollte auch eine benutzerfreundliche, intuitive Schnittstelle bieten, die Sie tatsächlich zum Verwalten und Abrufen von Logdaten nutzen können.
  8. Skalierbarkeit: Stellen Sie sicher, dass das gewählte SIEM-Produkt Ihre Anforderungen nicht nur jetzt, sondern auch in Zukunft erfüllt, besonders, wenn Ihr Unternehmen wächst und Ihr IT-Footprint größer wird.

Was ist die beste SIEM-Lösung?

Diese Frage stellt sich unausweichlich, sobald Sie über ein grundlegendes Verständnis von SIEM verfügen: Wie wähle ich die beste SIEM-Lösung für meine Kombination aus Branche, Bedrohungsprofil, Organisation und Budget?

Es hängt zwar davon ab, was Sie suchen, aber Sie brauchen in jedem Fall eine Lösung, die modernen Datenvolumen, der Komplexität heutiger Angriffe und der Anforderung gewachsen ist, intelligent und in Echtzeit auf Incidents zu reagieren. Lesen Sie den Gartner-Bericht "Magic Quadrant for Security Information and Event Management”, um mehr über SIEM-Branchenführer und -Newcomer zu erfahren.

Fazit: Verwenden Sie eine SIEM-Lösung

In einer Welt ständig zunehmender Cyber-Bedrohungen – und auch zunehmend komplizierter und strikter Gesetzgebung, Compliance-Richtlinien und Konsequenzen bei Sicherheitsverletzungen – setzen Cyber-Security-Teams zunehmend auf SIEM-Technologie für die Event-Korrelation, Threat Intelligence, Aggregation von Sicherheitsdaten und mehr. Die Unternehmenssicherheit hängt von der schnellen Identifizierung und Behebung von Cyber-Security-Problemen ab, und IT-Sicherheitsteams sollten unbedingt die Fähigkeiten verschiedener SIEM-Systeme prüfen, um das System zu finden, das ihren Anforderungen am besten entspricht.