SIEM-Tools: 9 Tipps für einen erfolgreichen Einsatz

Datensicherheit

SIEM-Tools (Security Information and Event Management) sind ein wesentlicher Bestandteil des Informationssicherheitsprogramms eines modernen Unternehmens. Es ist jedoch eine sorgfältige Planung und Implementierung erforderlich, um den größtmöglichen Nutzen aus einer SIEM-Lösung zu ziehen. In diesem Blog-Beitrag sehen wir uns an, was ein SIEM-Tool für Kunden leisten kann, wie Sie das Beste aus Ihrer SIEM-Bereitstellung herausholen und wie Varonis Ihre SIEM-Tools ergänzen kann.

SIEM: Eine kurze Geschichte

Moderne SIEM-Lösungen kombinieren zwei Funktionen, die früher getrennt waren: Security Information Management (SIM) und Security Event Management (SEM). SIM-Produkte konzentrierten sich auf die langfristige Sammlung und Speicherung von Protokollen, um Trends zu erkennen, während SEM sich mehr mit der Echtzeitüberwachung von und Alarmierung über Ereignisse befasste. Im Laufe der Zeit verschmolzen diese Produktkategorien, um sowohl Echtzeit- als auch Verlaufsfunktionen zu bieten. Moderne SIEM-Tools umfassen darüber hinaus eine Vielzahl weiterer Funktionen, von der KI-gesteuerten Analyse von Bedrohungen bis hin zu automatisierten Reaktionen und Sanierungsmaßnahmen.

Was SIEM-Tools leisten können

SIEM-Tools erfassen, korrelieren und analysieren Protokolldateien von Geräten, Anwendungen und Endgeräten. Abhängig von den erfassten Informationen kann SIEM viele Funktionen bieten, darunter:

  1. Erkennung von Sicherheitsereignissen

Die Erkennung von Sicherheitsereignissen ist der klassische Anwendungsfall für SIEM-Tools. Durch die Korrelation von Protokolldaten aus Quellen im gesamten Unternehmen kann eine SIEM-Plattform viele Arten von Sicherheitsvorfällen erkennen, die ansonsten unbemerkt bleiben würden. Ein ungewöhnlicher Anstieg der Netzwerkaktivität zu einem bisher unbekannten Ziel könnte beispielsweise auf eine Infektion oder ein Datenleck hindeuten, die den anderen Schutzmaßnahmen entgangen sind. Mithilfe von SIEM können Analysten von einer einzigen Benutzeroberfläche aus Bedrohungen leicht einordnen, untersuchen und darauf reagieren, was Zeit spart und die betriebliche Effizienz erhöht.

  1. Erfüllen von Compliance-Anforderungen

SIEM-Tools sind von unschätzbarem Wert für Organisationen mit speziellen Compliance-Anforderungen. Vorschriften wie HIPAAGLBADSGVO und weitere schreiben die routinemäßige Überwachung von Protokollen von Anwendungen, Endpunkten und Infrastrukturgeräten vor. Zum Beispiel schreibt die HIPAA-Sicherheitsregel vor, dass betroffene Organisationen gemäß der Richtlinie „Hardware-, Software- und/oder Verfahrensmechanismen implementieren, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronische geschützte Gesundheitsinformationen enthalten oder verwenden.“ Dies ist ein perfekter Anwendungsfall für SIEM.

Viele dieser Vorschriften schreiben auch lange Aufbewahrungsfristen für Daten und die Möglichkeit vor, die Effektivität der implementierten Sicherheitskontrollen nachzuweisen. SIEM-Tools sind wiederum in beiden Bereichen hervorragend. Die meisten SIEM-Produkte können so konfiguriert werden, dass sie Daten für einen Zeitraum von einem Jahr oder länger speichern, wobei einige Anbieter für längere Aufbewahrungszeiträume einen Aufpreis verlangen können. Die Effektivität einer bestimmten Sicherheitskontrolle kann für Auditoren oder Aufsichtsbehörden nachgewiesen werden, und etwaige Lücken in der Compliance können leicht erkannt und behoben werden.

  1. Unterstützung bei der Vorfallsreaktion

Unmittelbar nach einer Datenschutzverletzung sind Informationen extrem wichtig. Ein qualifizierter Mitarbeiter in der Vorfallsreaktion kann zwar das Ausmaß einer Sicherheitsverletzung durch forensische Daten auf betroffenen Endgeräten und Netzwerkgeräten ermitteln. Die Zeit, die dafür benötigt wird, wird jedoch die Sanierungsmaßnahmen verzögern. SIEM-Tools können während des gesamten Vorfallsreaktionsprozesses von enormem Wert sein. Die Möglichkeit, auf Informationen aus Tausenden von verschiedenen Protokolldateien im gesamten Unternehmen zuzugreifen, diese zu korrelieren und zu analysieren, ermöglicht es den Verantwortlichen, das Ausmaß eines Vorfalls schnell zu bewerten, Maßnahmen zur Eindämmung verbleibender Bedrohungen zu ergreifen und entsprechende Mitteilungen an Aufsichtsbehörden oder betroffene Parteien zu übermitteln.

  1. BEDROHUNGSVERFOLGUNG

SIEM-Tools sind eine große Hilfe bei der proaktiven Jagd nach Bedrohungen, die in den Systemen eines Unternehmens lauern. Die umfangreiche Detailliertheit und Vielfalt an Informationen, die von einer SIEM-Lösung angeboten werden, ermöglicht Analysten die Suche nach verdächtigen Aktivitäten, die an bestehenden Abwehrmaßnahmen vorbeigegangen sind. Ein Analyst kann ungewöhnliche Trends untersuchen, Protokolle auf der Suche nach einer bekannten bösartigen IP-Adresse oder einem Datei-Hash durchforsten oder Daten auf Anzeichen für die von fortgeschrittenen Cyber-Angreifern verwendeten TTPs (Taktiken, Techniken und Prozeduren) untersuchen.

Viele Anbieter unterstützen Threat Intelligence Feeds, die Kompromittierungsindikatoren (IOCs) für die neuesten und fortschrittlichsten Cyber-Bedrohungen enthalten. Diese stellen zwar zusätzliche Kosten dar, können aber für eine Organisation, die sich mit Advanced Persistent Threats beschäftigt, von Vorteil sein.

  1. Berichterstattung und Visualisierung

Viele SIEM-Tools sind nicht nur sehr gut darin, Daten zu sammeln und zu korrelieren, sondern bieten auch zahlreiche Optionen für die Darstellung dieser Daten. Dashboards, Diagramme, Grafiken und andere Arten von Visualisierungen können Sicherheitsteams dabei unterstützen, die großen Datenmengen zu interpretieren, die von solchen Lösungen erzeugt werden. Dies kann dabei helfen, die wichtigsten Vorfälle zu priorisieren und kann sogar beim Aufspüren verdächtiger Ereignisse hilfreich sein.

Die Visualisierungsfunktionen der führenden SIEM-Tools können auch für andere Zwecke als für die Sicherheit nützlich sein. IT-Führungskräfte können diese Tools nutzen, um zukünftiges Wachstum zu planen, aktuelle Muster zu bewerten und Bereiche zu erkennen, in denen Verbesserungsbedarf besteht.

9 Tipps für eine erfolgreiche SIEM-Implementierung

SIEM-Lösungen sind oft komplex und es gibt sie in vielen verschiedenen Varianten. Die Bereitstellung kann schwierig sein, insbesondere in großen Organisationen, die möglicherweise Hunderte oder Tausende von Datenquellen haben. Auch die Anforderungen an Ihre IT- und Sicherheitsteams können erheblich sein.

  1. Planen Sie die Bereitstellung sorgfältig

Eine sorgfältige Planung Ihres SIEM-Einsatzes kann darüber entscheiden, ob Sie die Vorteile der Technologie wirklich nutzen können oder ob Sie Ihrem Unternehmen nur unnötige Kosten bescheren. Dafür müssen Sie sich zwischen verschiedenen Anbietern, Bereitstellungsmodellen (On-Premises, SaaS, hybride Bereitstellungen), Personalstrategien und mehr entscheiden.

Viele Unternehmen können von einem stufenweisen Ansatz profitieren, indem sie mit einem kleinen Pilotprojekt beginnen, um den Business Case für eine SIEM-Lösung einzuschätzen, bevor sie zu einem umfassenderen Einsatz übergehen. Solche Lösungen erfordern häufig manuelle Feinabstimmung. Falschmeldungen sind sehr gängig, und eine schlecht konzipierte SIEM-Implementierung kann Tausende von Alarmen generieren, mit denen Sicherheitsteams nicht Schritt halten können. Geschäftsinhaber und das Management sollten in alle Phasen einbezogen werden, von der Vorbereitung bis zur Bereitstellung.

  1. Wählen Sie aus, was überwacht werden soll

Das Erfassen von Daten aus einer Vielzahl von Quellen gehört zur DNA eines SIEM-Tools. Im Idealfall füttern Sie die Lösung mit einer möglichst großen Vielfalt an Daten, doch das ist nicht immer praktisch. Technische und budgetbezogene Einschränkungen können die Gesamtmenge der Daten begrenzen, die Ihre SIEM-Lösung aufnehmen kann. Dadurch müssen Sie möglicherweise schwierige Entscheidungen darüber treffen, welche Protokolldaten ausgelassen werden sollen. Für Unternehmen, bei denen Compliance eine Rolle spielt, schreiben möglicherweise Vorschriften oder bestehende Branchen-Frameworks vor, welche Daten zu erfassen sind.

Als allgemeine Best Practice sollten Sie Protokolle von Firewalls, Datei- und Verzeichnisservern, Intrusionserkennungs- und Schutzssystemen sowie möglicherweise von Endpoint-Sicherheitsprodukten aufnehmen. Durch das Aufnehmen von Protokollen von den DNS-Servern Ihres Unternehmens können Sie Ihre Untersuchungen durch Kontextinformationen ergänzen und so fortschrittliche Angriffe erkennen. Vergessen Sie auch nicht Cloud-Dienste oder -Anwendungen, die möglicherweise in großem Umfang genutzt werden.

Die Varonis DatAlert Suite setzt diese Best Practices um, indem sie Ihnen einen Überblick darüber verschafft, was mit Ihren Daten geschieht, und Sie in die Lage versetzt, Bedrohungen schnell zu erkennen und einzudämmen, bevor ein erheblicher Schaden entsteht.

DatAlert erfasst und kombiniert Ereignisse aus verschiedenen Datenströmen wie lokalen Datenspeichern, Cloud-Quellen, Active Directory, Azure AD, E-Mail, DNS-Servern, VPNs und Web-Proxys – und ergänzt Alarme so um einzigartige Kontextinformationen wie Dateiempfindlichkeit und Kontotyp. So lassen sich anhand dieser besser Maßnahmen ergreifen als anhand herkömmlicher SIEM-Alarme.

  1. Achten Sie auf Ihren bestehenden Sicherheits-Stack

Alle führenden SIEM-Tools bieten verschiedene Integrationen, aber das Ausmaß dieser Integrationen und die Schwierigkeiten bei der Konfiguration können stark variieren. Bei der Auswahl eines SIEM-Tools ist es entscheidend, ein Produkt zu wählen, das in hohem Maße kompatibel mit der einzigartigen Kombination von Produkten ist, die in Ihrem Unternehmen bereits im Einsatz sind. Wird dies nicht beachtet, kann es zu betrieblicher Komplexität und hohem Verwaltungsaufwand führen. Die Wahl eines SIEM-Produkts, das nicht mit Ihrem Firewall-Anbieter zusammenarbeitet, kann zum Beispiel die Vorteile stark einschränken, die ein gutes SIEM-Tool bieten sollte.

In vielen Fällen ist die SIEM-Integration eine in hohem Maße manuelle Angelegenheit und erfordert mehrere Schritte. Dies ist wichtig, wenn Sie nach einer Lösung suchen, da die Kosten für die ordnungsgemäße Einrichtung leicht alle vom Anbieter versprochenen Kosteneinsparungen aufheben können.

  1. Verstehen Sie das Preismodell

SIEM-Anbieter haben zahlreiche unterschiedliche Preismodelle für ihre Produkte eingeführt. Einige berechnen pro Benutzer, andere pro Ereignis und wieder andere auf Basis eines Stufen- oder Flatrate-Modells. Es ist entscheidend, dass sowohl technische als auch geschäftliche Entscheidungsträger verstehen, wie diese Preismodelle funktionieren und welches Modell für ihr Unternehmen am sinnvollsten ist. Insbesondere können ereignisbasierte Preismodelle zu Überraschungen für Unternehmen führen, die sich ihre bestehende Umgebung nicht genauer ansehen.

  1. Entscheiden Sie, welche Funktionen Sie wirklich benötigen

Viele SIEM-Lösungen werden auf modularer Basis angeboten, so dass man diejenigen Funktionen auswählen kann, die für das Unternehmen am wichtigsten sind. Grundfunktionen wie Protokollverwaltung und Alarme werden in der Regel auf der niedrigsten Ebene angeboten, aber erweiterte Funktionen sind möglicherweise nur in einer Premium-Version verfügbar. Bedrohungsdaten, automatisierte Sanierungsfunktionen und langfristige Datenspeicherung sind alles Funktionen, die häufig extra kosten. Es ist wichtig, eine Kosten-Nutzen-Analyse durchzuführen, nicht nur für die SIEM-Lösung als Ganzes, sondern auch für alle zusätzlichen Module, die Ihr Unternehmen in Betracht zieht.

  1. Seien Sie sich im Klaren darüber, dass SIEM menschliches Personal nicht ersetzen kann

SIEM-Tools nutzen in zunehmendem Maße Automatisierung und künstliche Intelligenz, um neue Funktionen zu ermöglichen und die Effizienz zu verbessern. Dies bedeutet jedoch nicht unbedingt, dass weniger menschliche Fachkräfte benötigt werden. In der Tat können SIEM-Lösungen eine Menge menschlicher Interaktion erfordern, um Alarme zu lösen, ggf. zusätzliche Untersuchungen durchzuführen und die Lösung im Allgemeinen zu warten. Für einige Tools sind auch ein gewisser Schulungsstand und spezielle Fähigkeiten erforderlich. Wenn Sie mit SIEM Ihre Kosten reduzieren möchten, sollten Sie sich im Klaren darüber sein, dass dies wahrscheinlich nicht in Form einer reduzierten Anzahl von Mitarbeitern geschehen wird.

Obwohl die menschliche Komponente im Alarmierungsprozess (noch) nicht überflüssig ist, hilft die DatAlert Suite von Varonis, die erforderliche Menge an menschlicher Interaktion und manueller Arbeit zu reduzieren, um die enorme Anzahl von Datensicherheitsereignissen zu sortieren. DatAlert bietet einen umfassenderen Kontext zu Alarmen, indem es Benutzer mit Geräten und Standorten assoziiert, ihr Verhalten erlernt und zusätzliche Informationen auf mehreren Ebenen hinzufügt … Ist dieser Benutzer, zu dem ein Alarm vorliegt, auf einer Beobachtungsliste? Hat er kürzlich andere Alarme ausgelöst? Greift er üblicherweise auf sensible Daten zu? Dieser zusätzliche Kontext ermöglicht es Ihnen, schnell festzustellen, ob ein Alarm eine echte Bedrohung oder eine geringfügige Anomalie darstellt, ohne dass Sie sich stundenlang durch Protokolle wühlen müssen.

  1. Erkennen Sie die Grenzen an

SIEM-Tools bieten viel Transparenz im gesamten Unternehmen, weisen aber oft auch blinde Flecken auf. Mobile Geräte, Remote-Mitarbeiter und Cloud-Anwendungen sind alles Beispiele für Bereiche, in denen SIEM oft nicht gut funktioniert. Es ist wichtig, dass Unternehmen solche Einschränkungen erkennen und entsprechende Maßnahmen ergreifen.

Selbst in Bereichen, in denen SIEM-Tools gut funktionieren, wie z. B. bei der Netzwerküberwachung, fehlen oftmals wichtige Kontextdaten. Remote-Zugriffstools wie VNC und TeamViewer sind ein gutes Beispiel. Es ist einfach, den von diesen Tools erzeugten Netzwerkverkehr zu erkennen, aber ohne ausreichende Kontextinformationen kann eine SIEM-Lösung nicht zwischen einem legitimen Benutzer und einem Angreifer unterscheiden, der dasselbe Tool zum Exfiltrieren von Daten verwendet. Ein SIEM-Tool kann auch Schwierigkeiten beim Aufspüren von Angriffen haben, die legitime Dienste missbrauchen. Dazu gehört z. B. Malware, die Command-and-Control-Datenverkehr zurück auf einen Server sendet, der in einem Content Delivery Network (CDN) oder einem Public-Cloud-Dienst gehostet wird.

  1. Testen und optimieren Sie die Lösung

Da täglich neue Arten von Bedrohungen auftauchen, ist es wichtig, Ihre Verteidigungsmaßnahmen kontinuierlich zu überprüfen und Schwachstellen zu beseitigen. SIEM-Tools sind da keine Ausnahme. Die Beauftragung eines internen Red Teams oder eines externen Penetrationstest-Dienstes kann Ihnen helfen, die reale Effektivität Ihrer SIEM-Lösung zu beurteilen. Neue Regeln können dann hinzugefügt werden, um alle Bedrohungen anzugehen, die keinen Alarm erzeugt haben. Tools wie Atomic Red Team und Caldera von MITRE können zwischen umfassenden Penetrationstests verwendet werden, um die Leistung kontinuierlich zu analysieren.

Alarmmüdigkeit ist ein häufiges Problem in vielen Sicherheitsbetriebszentren. Wenn Sie die Schwellenwerte für Alarme nicht korrekt festlegen, gewöhnen sich Ihre Analysten möglicherweise so sehr an falsch-positive Alarme, dass sie im Falle einer echten Bedrohung nicht reagieren. Es ist wichtig, jede SIEM-Lösung zu optimieren, um eine gute Balance zwischen zu viel Lärm und zu wenig Transparenz zu finden.

  1. Verwenden Sie die SIEM-Lösung nicht alleinstehend

Wie bei allen Sicherheitsprodukten sollte man sich niemals ausschließlich auf SIEM-Tools verlassen oder diese als Ersatz für andere Arten von Schutzmaßnahmen einsetzen. Während SIEM-Plattformen zunehmend automatisierte Aktionen als Reaktion auf bestimmte Arten von Ereignissen durchführen können, ersetzen sie nicht die erste Linie der Verteidigung wie Antiviren-Software und Firewalls. SIEM-Tools funktionieren auch am besten, wenn ein Unternehmen bereits über ein gut durchdachtes Informationssicherheitsprogramm verfügt.

So kann Varonis helfen

SIEM-Tools können eine sehr wertvolle Ergänzung für die Gesamtsicherheit eines Unternehmens darstellen, sind aber kein Allheilmittel. Lösungen wie die Varonis-Datenschutzplattform können Ihre SIEM-Tools ergänzen und zusätzliche Kontextinformationen bieten, um die Alarmmüdigkeit zu reduzieren und die verwertbaren Erkenntnisse zu maximieren. Varonis DatAlert bietet einen datenzentrierten Ansatz zur Bedrohungserkennung, der den netzwerkorientierten SIEM-Ansatz ergänzt und mithilfe leistungsstarker Funktionen im Bereich User Entity Behavior Analytics (UEBA) zusätzlichen Kontext liefert. DatAlert lässt sich mit allen führenden SIEM-Tools integrieren, darunter ArcSight, Splunk, LogRhythm und IBM QRadar.

Für Unternehmen mit Compliance-Verpflichtungen ergänzt Varonis DatAdvantage die Berichtsfunktionen von SIEM-Tools mit erweiterten Sanierungsfunktionen und reduziert das Gesamtgeschäftsrisiko durch die Identifizierung von Benutzern mit übermäßigen Berechtigungen.

Wenn Sie erfahren möchten, wie die Varonis-Datensicherheitsplattform mit Ihrer bestehenden SIEM-Lösung zusammenarbeiten kann, vereinbaren Sie noch heute einen Termin für eine Schnelldemo!

Avatar

Robert Grimmick

Robert ist ein IT- und Cybersicherheitsberater in Südkalifornien. Es macht ihm Spaß, sich über die neuesten Bedrohungen in der Computersicherheit zu informieren.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990