Published Date: August 1, 2022
Als SIEM (Security Information and Event Management) bezeichnet man ein einzelnes Security-Management-System, das volle Sichtbarkeit und Transparenz zu Aktivitäten innerhalb Ihres Netzwerks bietet. Ein SIEM-System versetzt Sie in die Lage, in Echtzeit auf Bedrohungen zu reagieren, indem es Maschinendaten aus einer Vielzahl von Quellen sammelt, analysiert und kategorisiert. Dann untersucht das SIEM die Daten, um Erkenntnisse bereitzustellen, damit Sie entsprechend agieren können
In diesem Artikel behandeln wir die wesentlichen Merkmale und Funktionen von SIEM bzw. SIEM-Security sowie die Wahl des richtigen SIEM-Tools.
Ein SIEM erfasst ein großes Datenvolumen in Sekundenschnelle und durchsucht es, um ungewöhnliches Verhalten aufzuspüren und zu melden, wodurch Sie Echtzeit-Einblicke zum Schutz Ihres Unternehmens erhalten – dies wäre manuell nicht möglich. Ein SIEM liefert Ihnen zu jedem Zeitpunkt eine Momentaufnahme Ihrer IT-Infrastruktur und ermöglicht Ihnen, Logdaten zu speichern und zu verwalten, um die Einhaltung von Compliance-Anforderungen sicherzustellen
Die Fähigkeit des SIEM-Systems, Daten aus allen Anwendungen und sämtlicher Hardware im Netzwerk in Echtzeit zu analysieren, kann Unternehmen dabei unterstützen, internen und externen Bedrohungen immer einen Schritt voraus zu sein.
Der Begriff „SIEM“ steht für „Security Information and Event Management“ und existiert seit mehr als zehn Jahren. Er hat sich seit seiner Prägung durch Gartner im Jahr 2005 erheblich weiterentwickelt. SIEM IT bzw. SIEM IT-Security besitzt vielleicht nicht die Faszination von KI-Technologien. Allerdings ist SIEM immer noch entscheidend für die Bedrohungserkennung (Threat Detection) in der zunehmend komplexeren und schnelllebigeren IT- und Security-Landschaft.
Zur SIEM IT-Security zugehörige Sicherheitskonzepte sind SEM (Security Event Management) und SIM (Security Information Management). Während bei SIM der Schwerpunkt auf der Erfassung und Verwaltung von Logs und anderen sicherheitsrelevanten Daten liegt, dreht sich bei SEM alles um Echtzeitanalysen und -berichte. In der Regel kombinieren SIEM-Systeme diese beiden Disziplinen des Sicherheitsinformationsmanagements.
Ein SIEM-System aggregiert Event-Daten aus verschiedenen Datenquellen innerhalb Ihrer Netzwerkinfrastruktur, einschließlich Servern, Systemen, Geräten und Anwendungen, vom Perimeter bis zum End User. Letztendlich bietet eine SIEM-Lösung eine zentrale Sicht mit zusätzlichen Erkenntnissen, in der Kontextinformationen über Ihre User, Assets und mehr kombiniert werden. Ein SIEM-System konsolidiert und analysiert die Daten auf Abweichungen von den von Ihrem Unternehmen definierten Verhaltensregeln, um potenzielle Bedrohungen zu erkennen.
Mögliche Datenquellen des SIEM sind:
- Netzwerkgeräte: Router, Switches, Bridges, Wireless Access Points, Modems, Leitungstreiber, Hubs
- Servers: Web, Proxy, Mail, FTP
- Sicherheitsgeräte: IDP/IPS, Firewalls, Antivirus-Software, Content-Filtergerät, Intrusion Detection-Anwendungen
- Anwendungen: Jegliche Software, die auf einem der oben genannten Geräte genutzt wird
Zu den Attributen eines SIEM-Systems, die analysiert werden können, gehören Benutzer, Eventtypen, IP-Adressen, Speicher, Prozesse und mehr. SIEM-Produkte ordnen Abweichungen Kategorien zu, wie etwa „Fehlgeschlagene Anmeldung“, „Account-Änderung“ oder „Potenzielle Malware“. Eine Abweichung bewirkt, dass das SIEM-System Sicherheitsanalysten darüber informiert und/oder die ungewöhnliche Aktivität aussetzt. Sie legen die Richtlinien für die Auslösung von Benachrichtigungen fest und definieren die Verfahren für den Umgang mit potenziell bösartigen Aktivitäten.
Ein SIEM-System erkennt zudem Muster und anomales Verhalten. Das bedeutet, wenn ein einzelnes Event für sich genommen noch keine Alarmglocken klingeln lässt, kann das SIEM am Ende eine Korrelation über mehrere Ereignisse hinweg feststellen, die ansonsten unentdeckt bliebe. Ebenso kann das SIEM-System eine entsprechende Benachrichtigung auslösen. Hierfür speichert das SIEM-Tool diese Logs in einer Datenbank, damit Sie die Möglichkeit haben, tiefer greifende forensische Untersuchungen durchzuführen oder die Einhaltung von Compliance-Anforderungen nachzuweisen.
Ein SIEM-Tool ist die Software, die als analysegestützte Cyber-Security-Zentrale innerhalb des SIEM-Systems fungiert. Alle Eventdaten werden an einem zentralen Ort erfasst. Das SIEM-Tool übernimmt die Analyse und Kategorisierung für Sie. Und, was noch viel wichtiger ist: Das SIEM-Tool liefert den jeweiligen Kontext, der Sicherheitsanalysten tiefere Einblicke in Security-Events innerhalb der Infrastruktur gibt.
SIEM-Technologien unterscheiden sich im Umfang. Dieser reicht von einfachem Log-Management und Altering-Funktionalität bis hin zu robusten Dashboards, Machine Learning und der Möglichkeit, umfassende Analysen mit historischen Daten durchzuführen. Führende Lösungen für SIEM-Security bieten Dutzende von Dashboards, wie etwa folgende:
- Überblick über relevante Events in Ihrer Umgebung, die potenzielle Security-Incidents darstellen
- Details zu allen relevanten Events, die in Ihrer Umgebung identifiziert wurden, damit Sie diese sichten und priorisieren können
- Ein Workbook mit allen offenen Untersuchungen, in dem Sie Ihre Fortschritte und Aktivitäten verfolgen können, wenn Sie mehrere Security-Incidents untersuchen
- Risikoanalyse für die Risikoeinstufung von Systemen und User in Ihrem Netzwerk, um Risiken zu identifizieren
- Bedrohungsinformationen, die Kontext zu Ihren Security-Incidents hinzufügen und bekannte Bedrohungen in Ihrer Umgebung identifizieren
- Protokollinformationen, die mithilfe der erfassten Paketdaten Netzwerkeinblicke bereitstellen, die für Ihre Sicherheitsuntersuchungen relevant sind, so dass Sie verdächtigen Traffic, DNS-Aktivitäten und E-Mail-Aktivitäten identifizieren können
- Benutzerinformationen für die Untersuchung und das Monitoring der Aktivitäten von Usern und Assets in Ihrer Umgebung
- Webinformationen für die Analyse des Web-Traffics in Ihrem Netzwerk
Auch nicht-traditionelle Tools finden den Weg in den Bereich der SIEM-Security, allen voran UBA (User Behavior Analytics). UBA, auch UEBA (User and Entity Behavior Analytics) genannt, wird eingesetzt, um interne und externe Bedrohungen aufzuspüren und zu beheben. UBA wird zwar oft als fortschrittlicher Security Use Case angesehen, wird aber zunehmend auch der SIEM-Security zugeordnet. So werden beispielsweise im Gartner Magic Quadrant für SIEM Informationen über UBA/UEBA-Angebote berücksichtigt.
UBA beinhaltet die Aufbereitung und Verwertung von Daten, durch die tiefere Einblicke und eine robustere Bedrohungserkennung möglich sind. Diese Einblicke unterscheiden ein modernes SIEM-Tool von herkömmlichen Lösungen. Die manuelle Durchführung dieser Art von Analyse ist fast unmöglich, lässt sich mit einem SIEM-Tool jedoch mit wenigen Klicks realisieren.
Moderne Lösungen für SIEM-Security können lokal, in der Cloud oder in einer hybriden Umgebung bereitgestellt und meistens parallel zu Entwicklung und Wachstum des Unternehmens skaliert werden.
Das SIEM hat die Aufgabe, Analysten im Security Operations Center (SOC) fundierte Erkenntnisse aus der Analyse von Eventdaten zu liefern, welche ansonsten zu vielfältig und umfangreich für eine manuelle Überprüfung sind. Die Analyse von Maschinendaten und Logdateien mithilfe eines SIEM-Systems kann bedrohliche Aktivitäten aufdecken und automatisierte Reaktionen auslösen. Dementsprechend trägt SIEM entscheidend dazu bei, die Reaktionszeit bei Angriffen erheblich zu verbessern.
SOCs gab es zwar schon vor der Einführung von SIEM, doch ein SIEM-System ist ein wichtiges Tool für das Ziel moderner SOCs. So trägt die SIEM-Security aktiv dazu bei, interne und externe Angriffe erfolgreich abzuwehren, das Bedrohungsmanagement zu vereinfachen, Risiken zu minimieren, unternehmensweit für Transparenz zu sorgen und Security Intelligence zu gewinnen..
Der beste Weg für die optimale Nutzung eines SIEM-Systems besteht darin, die Anforderungen des Unternehmens und die Risiken Ihrer Branche zu verstehen sowie Zeit in die Suche nach den richtigen SIEM-Tools zu investieren – und diese dann kontinuierlich zu verbessern
Folgen Sie diesen Best-Practice-Tipps, um genau die solide Grundlage für ein SIEM zu schaffen, die für den optimalen Einsatz Ihres SIEM-Tools notwendig ist:
- Investieren Sie Zeit in die Planung und den Review des SIEM-Systems: Was soll das SIEM-System für Ihr Unternehmen leisten können? Formulieren Sie spezifische Ziele. Dies ist der Schlüssel für die Wahl des richtigen SIEM-Tools, mit dem Sie auch erreichen, was Sie sich vorgenommen haben. Machen Sie Ihre Hausaufgaben. SIEM ist komplex, und die Bereitstellung kann langwierig sein – sparen Sie also nicht bei der anfänglichen Recherche.
- Ein SIEM-System braucht Zuwendung: Die Arbeit ist nicht mit der Bereitstellung eines SIEM-Tools getan – Sie müssen das SIEM-Tool auch pflegen, damit es funktioniert. Denn selbst bei den intuitivsten SIEM-Tools müssen Sie das SIEM-System ständig prüfen und Anpassungen vornehmen, während sich Ihr Unternehmen an Marktveränderungen anpasst.
- Definieren Sie Verfahren und überwachen Sie diese engmaschig: Sie müssen die Kriterien für die Generierung von Alarmen und Benachrichtigungen angeben und die Maßnahmen festlegen, die das SIEM-Tool als Reaktion auf potenziell böswillige Aktivitäten ergreifen soll. Ihr IT-Team wird sonst vom SIEM-System mit Benachrichtigungen überschwemmt, von denen viele Fehlalarme sind. Richten Sie diese Verfahren ein und optimieren Sie diese bei Bedarf, damit Fehlalarme reduziert werden und sich Ihre Mitarbeiter auf echte Bedrohungen konzentrieren können.
- Setzen Sie auf erfahrene Mitarbeiter: SIEM macht Ihrer IT- und Security-Abteilung das Leben leichter. Dennoch kann ein SIEM-System Ihre Mitarbeiter nicht ersetzen. Schulen Sie Ihre Mitarbeiter, damit sie die SIEM-Lösung implementieren, pflegen und kontinuierlich optimieren können, um mit der sich ständig wandelnden IT- und Sicherheitslandschaft jederzeit Schritt halten zu können.
Der erste Schritt bei jeder Bereitstellung von SIEM besteht in der Priorisierung der Anwendungsfälle (Use Cases) im Unternehmen. Was sind Ihre Ziele? Die meisten SIEM-Tools stellen zwar durch Regelsätze Anwendungsfälle bereit, die typischerweise für jeden Kunden gelten. Doch entsprechen diese nicht unbedingt auch den Prioritäten Ihres Unternehmens. Die Anforderungen und Ziele in den Bereichen Fertigung, Gesundheitswesen, Finanzdienstleistungen, Einzelhandel, öffentliche Hand usw. können unter Umständen immens variieren.
Berücksichtigen Sie bei der Entscheidung, wie Sie SIEM in Ihrem Unternehmen implementieren möchten, die folgenden Punkte:
- Menge und Art der Daten, die im System zur Verfügung stehen
- Das vorhandene interne Knowhow und die Möglichkeit, Mitarbeiter in IT oder Security für die Implementierung, Verwaltung und Pflege des SIEM zu schulen
- Wächst das Unternehmen und, wenn ja, wie schnell?
- Größe und Verteilung Ihres Netzwerks (z.B. Anzahl von Remote-Standorten und Grad an Benutzermobilität)
- Ihre Compliance-Anforderungen
- Ihr Budget
All diese Faktoren können Ihnen als Orientierungshilfe bei der Entscheidung und Implementierung eines SIEM-Systems dienen. Identifizieren Sie auch nicht nur die unmittelbaren Anforderungen Ihres Unternehmens, sondern auch Möglichkeiten zur Erweiterung der Sicherheitsfunktionen eines SIEM-Tools, die sowohl das prognostizierte Wachstum als auch die zunehmende Sicherheitsreife berücksichtigen. Beispielsweise könnte ein kleineres Unternehmen oder eine weniger ausgereifte Sicherheitsorganisation mit einer einfachen Event-Erfassung beginnen und sich dann kontinuierlich hin zu robusteren Fähigkeiten wie UEBA und SOAR (Security Orchestration, Automation and Response) weiterentwickeln
Die Beschreibung Ihrer Anwendungsfälle und die Security-Roadmap ermöglichen es Ihrem SOC- und IT-Team, sich die zahlreichen Event-Datenquellen anzusehen und sicherzustellen, dass dem jeweils genutzten SIEM-Tool korrekte, vollständige und brauchbare Daten zur Verfügung gestellt werden. Ihr SIEM ist letztlich immer nur so gut wie die Daten, mit denen Sie es füttern.
Wenn es an die Entscheidung für eine SIEM-Software bzw. ein SIEM-Tool geht, werden Sie feststellen, dass Sie viele Optionen zu berücksichtigen haben. Achten Sie bei der Beurteilung der SIEM-Tools auf folgende wichtige Funktionen des SIEM:
- Echtzeit-Monitoring: Angriffe erfolgen schnell, und je länger Sie mit der Abwehr warten, desto größer ist der Schaden. Ihre SIEM-Software sollte Ihnen in Echtzeit einen Überblick über das Geschehen in Ihrem Netzwerk geben, einschließlich der Aktivitäten im Zusammenhang mit Usern, Geräten und Anwendungen, sowie aller Aktivitäten, die nicht speziell mit einer Identität verknüpft sind. Ebenso sollte das SIEM-Tool über entsprechende Monitoring-Funktionen verfügen, die auf jedes lokale, Cloud- oder Hybrid-Data-Set angewendet werden können. Zusätzlich zu den Monitoring-Funktionen benötigen Sie die Möglichkeit, die vom SIEM-Tool bereitgestellten Informationen in einem verwertbaren Format zusammenzuführen. Wählen Sie ein SIEM mit einer Bibliothek mit anpassbaren, vordefinierten Korrelationsregeln, einer Sicherheits-Event-Konsole für die Echtzeitdarstellung von Security-Incidents und -Events sowie Dashboards, die Live-Visualisierungen der Bedrohungsaktivitäten ermöglichen.
- Incident Response: Am wichtigsten ist, dass ein analysegestütztes SIEM über Autoresponse-Funktionen verfügen muss, die laufende Cyberangriffe unterbrechen können. Ein SIEM-Tool sollte zudem die Möglichkeit bieten, relevante Events und ihren Status zu identifizieren, den Schweregrad von Events anzugeben, Abhilfemaßnahmen einzuleiten und eine Prüfung des gesamten Prozesses durchzuführen, der den Incident umgibt.
- Benutzer-Monitoring: Manche Bedrohungen können intern bestehen, entweder weil User eine tatsächliche Bedrohung darstellen oder weil ihr Verhalten das Unternehmen für externe Bedrohungen öffnet. Ihr SIEM-Tool sollte mindestens die Möglichkeit beinhalten, Zugriffs- und Authentifizierungsdaten zu analysieren, den Benutzerkontext zu ermitteln und Benachrichtigungen über verdächtiges Verhalten und Verstöße gegen unternehmensinterne und gesetzliche Richtlinien zu liefern. Wenn Sie für Compliance-Reporting zuständig sind, braucht das SIEM eventuell auch eine Funktion für das Monitoring privilegierter Benutzer (Privileged User, d. h. Benutzer, die mit besonders hoher Wahrscheinlichkeit Ziel von Angriffen sind). Dies ist in den meisten betroffenen Branchen eine häufig auftretende Compliance-Anforderung.
- Threat Intelligence: Ihr SIEM-Tool sollte Sie dabei unterstützen, wichtige externe Bedrohungen zu identifizieren, wie etwa bekannte Zero-Day-Exploits und komplexe persistente Bedrohungen. Bedrohungsinformationen bieten Ihnen nicht nur die Möglichkeit, anormale Aktivitäten aufzudecken, sondern auch Schwachstellen in der Sicherheit zu erkennen, bevor diese ausgenutzt werden, und Reaktionen und Abhilfemaßnahmen zu planen.
- Advanced Analytics und Machine Learning: Alle Daten und SIEM-Tools der Welt nützen Ihnen nichts, wenn Sie damit keine klaren Erkenntnisse gewinnen können. Bei komplexen Analysen werden anspruchsvolle quantitative Methoden wie Statistik, deskriptives und prädiktives Data Mining, Simulation und Optimierung eingesetzt, um tiefergreifende Erkenntnisse zu erhalten.
Auf Machine Learning gestützte SIEM-Tools lernen mit der Zeit, was normales Verhalten darstellt und was eine echte Abweichung ist, und werden so immer genauer. Dies ist heute besonders wichtig, da sich Technologien, Angriffsvektoren und die Raffinesse von Hackern schneller denn je entwickeln. - Erkennung komplexer Bedrohungen: Da die meisten Firewalls und Intrusion Protection Systems nur schwer an neue komplexe Bedrohungen angepasst werden können, sollte Ihr SIEM in der Lage sein, Netzwerksicherheits-Monitoring, Endpunkterkennung, Response-Sandboxes und Verhaltensanalysen in Kombination miteinander durchzuführen. Nur so kann ein SIEM-Tool neue potenzielle Bedrohungen identifizieren und isolieren. Es ist also nicht damit getan, die Bedrohung mithilfe von SIEM zu erkennen. Sie sollten über das SIEM-System auch feststellen können, wie schwerwiegend die Bedrohung ist, wohin sie nach der Erkennung „gewandert“ ist und, wie sie eingedämmt werden kann.
- Nahtloses Log-Management: Ihr SIEM-Tool sollte nicht nur Daten aus Hunderten oder gar Tausenden Datenquellen erfassen können. Ein SIEM sollte immer auch eine benutzerfreundliche, intuitive Schnittstelle bieten, die Sie tatsächlich zum Verwalten und Abrufen von Logdaten nutzen können.
- Skalierbarkeit: Stellen Sie sicher, dass das gewählte SIEM-Tool Ihre Anforderungen nicht nur jetzt, sondern auch in Zukunft erfüllt. Besonders, wenn Ihr Unternehmen wächst und Ihr IT-Footprint größer wird, sollte auch ihre SIEM-Security stets flexibel bleiben und mitwachsen können.
Diese Frage stellt sich unausweichlich, sobald Sie über ein grundlegendes Verständnis von SIEM verfügen: Wie wähle ich das beste SIEM-Tool aus – passend zur jeweiligen Kombination aus Branche, Bedrohungsprofil, Organisation und Budget?
Der Aufbau einer wirksamen SIEM-Security hängt zwar stark davon ab, was für ein SIEM-Tool Sie konkret suchen bzw. brauchen. Aber Sie benötigen in jedem Fall eine SIEM-Software, die modernen Datenvolumen, der Komplexität heutiger Angriffe und der Anforderung gewachsen ist, intelligent und in Echtzeit auf Incidents zu reagieren.
In einer Welt ständig zunehmender Cyber-Bedrohungen – und auch zunehmend komplizierter und strikter Gesetzgebung, Compliance-Richtlinien und Konsequenzen bei Sicherheitsverletzungen – setzen Cyber-Security-Teams zunehmend auf SIEM. Sei es für die Event-Korrelation, Threat Intelligence, Aggregation von Sicherheitsdaten und vieles mehr. Gerade weil die Unternehmenssicherheit stark von der schnellen Identifizierung und Behebung von Cyber-Security-Problemen abhängt, sollten IT-Sicherheitsteams unbedingt die Fähigkeiten verschiedener SIEM-Systeme bzw. SIEM-Tools prüfen, um genau das SIEM zu finden, das ihren Anforderungen am besten entspricht.
