Production Perig - stock.adobe.c
Neun wichtige Merkmale von modernen SIEM-Lösungen
Das Angebot an SIEM-Lösungen ist vielfältig und eine bunte Produktmischung. Welcher Ansatz ist der richtige für das eigene Unternehmen und wie unterscheiden sich moderne Lösungen?
SIEM-Technologie (Security Information and Event Management) hat viele Gesichter – Legacy-SIEM, Open-Source-SIEM und Neuentwicklungen wie beispielsweise UBA-Anbieter (User Behavior Analysis, Analyse des Nutzerverhaltens) bilden eine bunte Produktmischung, die leider aber auch häufig zu Verwirrungen in IT-Security-Abteilungen führt: Welche SIEM-Technologie ist die richtige für das Unternehmen und wie unterscheiden sich moderne Lösungen von teilweise veralteten Systemen wie Legacy und Co.?
Einen guten Überblick über den SIEM-Markt bietet Gartners jährlicher Magic Quadrant Bericht für die Kategorie Security Information and Event Management (SIEM). Im Folgenden wollen wir beleuchten, welche neun technischen Besonderheiten moderne SIEM-Lösungen laut Gartner auszeichnen.
1. Logs und Events zentral erfassen und verwalten
Die Basisfunktion einer jeden analysegestützten SIEM-Lösung ist die Erfassung, Verarbeitung und Analyse aller Event-Logs von jeglicher Art von digitalem System und digitaler Applikation. Hinzu kommt das Erstellen einer zuverlässigen, einheitlichen Echtzeit-Ansicht.
Dies gibt IT- und Sicherheitsteams die Möglichkeit, Event-Logs zentral zu verwalten, verschiedene Events über mehrere Systeme oder mehrere Tage hinweg zu korrelieren und andere Datenquellen, wie etwa Registrierungsänderungen und Netzwerkprotokolle einzubinden, um sich ein vollständiges Bild machen zu können. Was außerdem dazukommt: Alle Event-Logs können zentral für Audits geprüft und dokumentiert werden.
2. Korrelationsregeln: Auf das Wichtige konzentrieren
Möchte man herausfinden, welche Sicherheitsevents wirklich relevant sind, bieten moderne SIEM-Lösungen die Möglichkeit der Event-Korrelation. Dabei werden große Mengen an Sicherheitsevents miteinander verknüpft, mit Risikogewichtungen angereichert und in Relation zueinander gesichtet. Mit den so gewonnenen Informationen lassen sich dann diejenigen Events identifizieren, die wirklich relevant sind.
3. Echtzeit-Anwendung komplexer Analysen und Machine Learning sowie 4. langfristige historische Analysen und Machine Learning
Eine Studie von Forrester ergab, dass 74 Prozent der Entscheidungsträger dem verbesserten Sicherheitsmonitoring eine hohe oder sogar kritische Priorität beimessen. Eine SIEM-Lösung unterstützt bei der Analyse und deckt Datenmuster auf.
Sicherheitsanalysten erkennen Schwachstellen so frühzeitiger, idealerweise bevor sie ausgenutzt werden können. Hinterher kann der Vorfall forensisch untersucht werden. Maschinelles Lernen (Machine Learning, ML) geht bei der Datenanalyse sogar noch einen Schritt weiter – es ermöglicht Unternehmen einen Blick in die Zukunft: Predictive Analytics nutzt historische Daten, um Anomalien zu erkennen und zum Beispiel die Übernahme von Konten noch schneller zu erkennen und darauf zu reagieren, bevor ein größerer Schaden entsteht.
5. Vorfälle und Angriffe langfristig speichern
Ein weiterer wichtiger Vorteil analysegestützter SIEM-Lösungen ist die Möglichkeit, historische Logdaten langfristig zu speichern. Dadurch können Daten über einen längeren Zeitraum hinweg korreliert werden und unter anderem bei der Einhaltung von Compliance-Mandaten unterstützen. Warum das im Hinblick auf die Sicherheit besonders wichtig ist? Weil forensische Sicherheitsuntersuchungen auf eine lange Historie an Daten zurückgreifen, um beispielsweise die Angriffsroute bei einem Netzwerkangriff nachzuvollziehen.
„Erst die Relation vom Analyseergebnis zum Kontext erlaubt eine realistische Einschätzung dessen, was die Daten wirklich bedeuten.“
Matthias Maier, Splunk
6. Suchen und Berichte zu normalisierten Daten
Sicherheitsteams können mit der Such- und Berichtsfunktion eines modernen SIEM-Systems Daten nicht nur durchsuchen, sondern auch Datenmodelle und Pivots erstellen und als Berichte speichern, Benachrichtigungen konfigurieren und Dashboards erstellen, die auch für andere Benutzer im Unternehmen freigegeben werden können.
7. Suchen und Berichte zu Rohdaten
Hierbei geht es darum, Daten aus verschiedenen Quellen zu erfassen und zentral bereitzustellen. Das Besondere: Im Gegensatz zu Legacy-Systemen können analysegestützte SIEM-Lösungen Rohdaten aus praktisch jeder Quelle erfassen. Diese Daten werden in verwertbare Informationen verwandelt und dann zu leicht verständlichen Berichten zusammengestellt, die direkt von der Plattform aus an die entsprechenden Personen verteilt werden.
8. Erfassen von Kontextdaten für weitere Korrelationen und Analysen
Die Basis für die Arbeit mit einer analysegestützten SIEM-Lösung ist die Datenerfassung. Doch wie unterscheidet man in kurzer Zeit einen Fehlalarm von einer echten Bedrohung? Um hier eine fundierte Entscheidung treffen zu können, müssen die analysierten Daten am Ende immer in einen Gesamtkontext gesetzt werden.
Denn erst die Relation vom Analyseergebnis zum Kontext erlaubt eine realistische Einschätzung dessen, was die Daten wirklich bedeuten. Eine analysegestützte SIEM-Lösung kann etwa den Kontext zu externen Bedrohungsinformationen, dem internen IT-Betrieb und den Ereignismustern liefern. So kann der Anwender weitere Drilldowns durchführen und in Echtzeit auf Bedrohungen reagieren.
9. Auch bei nicht sicherheitsbezogenen Anwendungsfällen im Einsatz
Ein weiterer Vorteil analysegestützter SIEM-Lösung ist, dass sie über ihren ursprünglichen Einsatzort hinausgehen und für mehrere Anwendungsfälle, einschließlich nicht sicherheitsbezogener Anwendungen wie zum Beispiel ITOps, verwendet werden können und schnell und einfach in agilen DevOps-Prozesse für Einblicke sorgen. Das unterscheidet solche Lösungen beispielsweise deutlich von Legacy-SIEM, bei denen das nicht möglich ist.
Über den Autor:
Matthias Maier ist EMEA Director of Product Marketing bei Splunk.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.