cherezoff - stock.adobe.com
Die eigene SIEM-Umgebung zukunftssicher konfigurieren
Ein gut eingestelltes SIEM ist nicht nur besser für künftige Anforderungen gerüstet, sondern liefert nebenbei direkt bessere Ergebnisse. Hier einige Tipps zur Optimierung.
SIEM-Lösungen (Security Information and Event Management) entwickeln sich naturgemäß rasant weiter. Dazu gehört die Nutzung von maschinellem Lernen, eine bessere Integration mit anderen Sicherheitslösungen, sowie eine Anpassung an die immer komplexer werdenden Umgebungen.
Unternehmen können aber auch bereits aktuell Maßnahmen ergreifen, um ihre existierende SIEM-Architektur möglichst fit für die Zukunft zu machen. Das Gute daran: Diese Maßnahmen sorgen dafür, dass sich die Effizienz der Lösungen direkt steigern lässt. Dabei sollten Unternehmen folgende Punkte berücksichtigen, wenn sie es nicht bereits ohnehin getan haben.
Die Datenqualität gewährleisten
Die Sicherstellung der Qualität der Daten, die in das SIEM eingespeist werden, ist von elementarer Bedeutung. Erhält das SIEM unvollständige oder ungenaue Daten oder die richtigen Daten einfach nur zu spät, dann wird die Entscheidungsfindung der Lösung dadurch negativ beeinflusst. Es muss sichergestellt sein, dass alle Protokollquellen die relevanten Ereignisse auch unverzüglich an das SIEM melden. Das setzt natürlich voraus, dass jede Quelle die notwendigen Details der relevanten Sicherheitsereignisse protokolliert.
Korrigieren Sie gegebenenfalls die notwendigen Einstellungen. Setzen Sie im Zweifel SIEM-Agenten auf den Quellen ein, wenn der Host nicht in der Lage ist, nativ alle notwendigen Informationen zu protokollieren oder zur Verfügung zu stellen. Damit die Daten auch richtig korreliert werden können, muss sichergestellt sein, dass die Zeiteinstellungen beziehungsweise Zeitstempel über alle Quellen hinweg synchronisiert sind.
Informationen und Zusammenhänge
Damit ein Ereignis von der SIEM-Lösung in der Bedeutung richtig eingeschätzt und mit anderen Ereignissen korreliert werden kann, muss das SIEM über die notwendigen Informationen verfügen. Dafür ist der jeweilige Kontext eine unerlässliche Information. Damit dieser Kontext hergestellt werden kann, müssen sowohl die SIEM-Lösungen als auch die Personen, die damit arbeiten, über unternehmensspezifisches Wissen verfügen. Dafür muss eine ganze Reihe von Fragen beantwortet werden: Welchem exakten Zweck dient der Host? Wo befindet sich der Host? Welche Software wird auf dem Gerät verwendet? Wie sollte das Gerät mit anderen Hosts interagieren? Diese und viele andere Fragen sollte sowohl die SIEM-Lösung als auch die SIEM-Analysten bei Bedarf beantworten können.
Anpassung an die eigenen Systeme
Das SIEM muss bestmöglich angepasst werden, um die Zusammenarbeit mit den internen Diensten und Anwendungen, die sich um die Sicherheit kümmern, zu gewährleisten. Nutzt das eigene Unternehmen beispielsweise eine selbstgeschriebene Anwendung, um etwa Kundendaten zu verwalten, dann muss das SIEM die Eigenheiten der Anwendung kennen. Selbstredend ist es wichtig, die Sicherheitsereignisse zu überwachen, die diese Anwendung betreffen. Aber das SIEM kann die Ereignisse nur richtig erkennen und interpretieren, wenn es über die entsprechenden Informationen verfügt. Meldet die selbst entwickelte Anwendung beispielsweise einen Code 427, dann muss das SIEM wissen, dass Code 427 bedeutet, dass jemand eine Kopie der Datenbank herunterlädt.
SIEM-Tuning
Versuchen Sie durch eine Optimierung der eigenen SIEM-Lösung, die Anzahl der Falsch-Positiv-Ergebnisse und der Fehlalarme zu reduzieren. Unterdrücken und ignorieren Sie keine Warnungen, die in der eigenen Umgebung unwichtig sind. Besser, Sie deaktivieren diese Warnungen und protokollieren Sie nur die Informationen. Passen Sie die Schwellwerte und andere Konfigurationseinstellungen für SIEM-Regeln bestmöglich an die individuellen Bedingungen Ihrer Umgebung an. Legen Sie noch akzeptable Falsch-Positiv-Raten für die eigene Umgebung fest.
Gleichzeitig gilt es zu bestimmen, ab welchen Punkt und unter welchem Umständen Ereignisse schlicht protokolliert werden und wann andere Aktionen erfolgen müssen. So kann das Auslösen von Warnmeldungen oder Erreichen bestimmter Werte dazu führen, dass automatische Aktionen ausgeführt werden. Dies ist entscheidend, um im Falle eines Falles die Reaktionszeiten zu verkürzen und die Auswirkungen von Vorfällen einzudämmen.
Je besser ein System von vornherein darauf eingestellt ist, die Falsch-Positiv-Meldungen zu reduzieren, umso besser kann zu einem späteren Zeitpunkt hinsichtlich lernender Eigenschaften zwischen bösartig und gutartig unterscheiden.
Individuelle Anpassungen – in großen, wie im kleinen Maßstab – helfen Ihnen dabei, die verwendete SIEM-Architektur auf künftige Anforderungen vorzubereiten. Und ganz nebenbei sind derlei Justagen auch kurzfristig von Vorteil.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!