Es werden immer wieder Informationen von angegriffenen Unternehmen veröffentlicht. Leider wurden diese Unternehmen nicht durch ein SIEM auf mögliche Gefahren aufmerksam gemacht.
Ein Security Incident und Event Management System (SIEM) ist hauptsächlich dazu da, um mögliche Einfallstore zu überwachen. Hierzu werden Quellen in das SIEM eingebunden, um so eine Sichtbarkeit herzustellen. Die Regeln, die dann im SIEM konfiguriert werden, können Angriffe nahezu in Echtzeit entdecken und stehen einem Security Team (einem Security Operation Center, kurz SOC) zur Verfügung.
Viele SIEM bieten hier eine Bandbreite an vordefinierten Regeln an, die die Detektion von möglichen Angriffen aufzeigen. Oft basieren diese Regeln auf der Mitre Att&ck Matrix und decken somit die verschiedenen Angriffsphasen eines Security Incident ab.
Cloud oder On-Premise?
Die Cloud-Anbietenden stellen ihre SIEM-Lösung als SaaS Modell (Software as a Service) bereit. Mit diesem Modell können die Anbietenden schneller neue Funktionen hinzufügen. Zusätzlich kommt hier die nahezu unendliche Kapazität der Cloud zum Tragen. Da Maschine-Learning viel Computer Power und sehr viele Referenzdaten benötigt, ist dies in der Cloud einfacher als in einer lokalen Infrastruktur.
Dennoch haben auch SIEM-Infrastrukturen in der On-Premise Welt ihre Daseinsberechtigung. Allein um die Hoheit über die Daten zu behalten, ist eine On-Premise Variante konkurrenzlos. Zusätzlich verlangen die typischen Anbietenden für die Cloud SIEM-Lizenzkosten oder Integrationskosten, wenn Daten aus der lokalen Infrastruktur in ein Cloud-SIEM geladen werden sollen.
Die Quelldaten sind der Schlüssel
Eine SIEM-Lösung ist nur so gut wie die Informationen, die sie ausgibt und die darauf basierenden Quellen. Es reicht nicht, einfach nur alle Daten in ein SIEM zu laden. Vielmehr gilt es, die Probleme zu identifizieren und fundierte Lösungsansätze zu finden.
Zum Beispiel können die Daten von SAP-Systemen und -Applikationen zwar in ein Standard-SIEM geladen werden, aber bis auf zwei SIEM-Lösungen können diese Daten nicht verarbeitet werden. Hier sind die Hersteller SAP im engeren und Microsoft im weiteren Sinne die Nischenplayer im Bereich Applikation Security Monitoring SAP-Applikationen. Einfache Quellen wie die von Microsoft Systemen kann jedes SIEM verarbeiten.
Analysefähigkeit und Automation
Ein Security-Produkt ist nur so gut wie die Menschen, die es konfigurieren und benutzen. Ist ein SIEM unnötig kompliziert, kann das in der Bearbeitung von Security Alerts zu Problemen und zu hochgradig kritischen Situationen führen. Daher sollte ein SIEM folgende Voraussetzungen erfüllen:
- Einfache Dashboards
- Einfach zu konfigurierende Reports
- Die Möglichkeit, schnell und einfach neue Alarmregeln zu definieren
- Intuitive Nutzungsoberfläche
Einfache Automatismen, die zum Beispiel via API an weitere Security-Produkte gesendet werden können, sind hierbei die Königsklasse und werden oft nur mit einem SOAR-Modul oder einer eigenen SOAR-Lösung implementiert.
Cloud oder On-Premise – Der Schutz muss stimmen
Egal ob es nun die Cloud oder eine On-Premise Variante wird. Das SIEM sollte zu Ihnen und zu Ihrem Unternehmen passen. Am besten mit einem Angeschlossenen SOC, auf das wir in unserem nächsten Blogartikel näher eingehen werden.
Kontakt: security-experts@oediv.de