Security Information and Event Management (SIEM)

Damit ein SIEM relevante Ereignisse erkennen kann, benötigt es die Daten von möglichst vielen Systemen und Anwendungen der überwachten Infrastruktur. Das sind neben den Firewalls (insbesondere Traffic-Logs) und Windows-Systemen (z.B. An- und Abmeldeversuche) auch Webserver, Anwendungen, Virenscanner, Intrusion Detection/Prevention Systeme, möglicherweise sogar Netflow-Daten von Routern und Switches.

Das SIEM korreliert diese Daten und kann dadurch Anomalien erkennen, die auf einen möglichen vielleicht sogar bereits erfolgreichen Angriff hinweisen. Häufig verwendet das SIEM dafür sogenannte Indicator of Compromise (IoC), die entweder bereits vorkonfiguriert sind, bei der Konfiguration des SIEMs angelegt werden oder über Threat Intelligence gewonnen werden können.

Erkennbare Ereignisse sind beispielsweise:

• Eine hohe Anzahl fehlerhafter Anmeldeversuche eines Benutzeraccounts
• Eine gleichzeitige Anmeldung eines nicht-administrativen Benutzers gleichzeitig oder kurz nacheinander an vielen Systemen
• Eine gleichzeitige Anmeldung lokal an der Konsole und Remote über VPN
• Zugriffe von Clients auf bekannte Schadcode-Domänen oder IP-Adressen von C&C-Servern
• Viele Dateien auf die sehr kurz nacheinander zugegriffen und/oder die sehr schnell nacheinander verändert werden
• Große Datenmengen, die plötzlich nach außen übertragen werden

In so einem Fall kann das SIEM den Vorfall melden und, ggf. in Kombination mit einem Security Orchestration, Automation and Response (SOAR) automatisch Gegenmaßnahmen einleiten.

Die Datenmengen eines SIEM sind nicht unerheblich. Bereits in mittelständischen Infrastrukturen fallen schnell 10-20 GByte pro Tag an Logfiles an, die verarbeitet und ausgewertet werden müssen. Sollen Logfiles über einen längeren Zeitraum, z.B. 90 Tage aufbewahrt werden, müssen ausreichend große (und schnelle) Speicher bereitgestellt werden. In sehr großen Infrastrukturen können pro Tag auch mehrere Terabyte an Logdaten anfallen, insbesondere wenn auch Telemetrie- und Netflow-Daten verarbeitet werden sollen.

Beim Einrichten eines SIEMs ist eine der ersten Fragen, wo das SIEM betrieben wird und wer der Betreiber ist.

On Premise: Die immer noch am weitesten verbreitete Variante ist der Betrieb des SIEM in Ihrer eigenen Infrastruktur. Der wichtigste Vorteil ist, dass alle, insbesondere auch sensible Daten auf Ihren eigenen Systemen bleiben. Gerade in Hinblick auf den Datenschutz ist das ein gewichtiges Argument. Außerdem müssen keine größeren Datenmengen über das Internet übertragen werden. Der größte Nachteil ist, dass Sie für den Betrieb des SIEMs fachlich geeignete personelle Ressourcen bereitstellen müssen. Dabei genügt es nicht, das SIEM allgemein zu administrieren. Um alle Möglichkeiten auszuschöpfen, muss sich der SIEM-Administrator auch mit IoCs, der Reaktion auf Ereignissen, also SOAR und Threat Intelligence beschäftigen und auskennen.

Cloud: Verstärkt werden SIEM-Systeme deshalb in die Cloud verlagert. Allerdings müssen, reduziert durch Kompression und Vorfilterung, immer noch mehrere GBytes pro Tag in die Cloud geladen werden. Ein weiterer Nachteil ist, dass ggf. auch sensible Logfiles, die umfangreiche Analysen Ihres Unternehmens und Ihrer Mitarbeiter erlauben, an Dritte übermittelt werden. Der zentrale Vorteil ist jedoch, dass die Entwicklung von IoCs und vor allem der dafür notwendigen Threat Intelligence durch den Cloud-Anbieter geleistet wird, der dafür spezialisierte Mitarbeiter beschäftigen kann.

Security Operation Center: Ein Cloud-basiertes SIEM kann zwar sicherheitsrelevante Ereignisse erkennen und Ihr Unternehmen informieren, irgendjemand muss jedoch immer noch Gegenmaßnahmen einleiten. Verschiedene Dienstleister bieten deshalb den Betrieb eines Security Operation Center (SOC) an, an das Ihre Systeme angebunden werden. Die Mitarbeiter des Dienstleisters betreiben und überwachen das SIEM. Wird ein Ereignis ausgelöst, kann das SOC reagieren, das Ereignis bewerten, unwichtige Ereignisse aussortieren und für kritische Ereignisse Gegenmaßnahmen einleiten.

Wir ermitteln Ihre Anforderungen an ein SIEM. Wir beraten Sie bei der Auswahl einer geeigneten On Premise Lösung und unterstützen Sie bei der Implementierung. Alternativ unterstützen wir Sie bei der Auswahl eines geeigneten Cloud- oder SOC-Anbieters.

Wir entwickeln für Sie die notwendigen Use Cases und Erkennungsregeln für sicherheitsrelevante Ereignisse und implementieren diese Regeln in Ihrem SIEM. Wir prüfen die Erkennung sicherheitsrelevanter Ereignisse durch unsere Test-Suite, die typische Sicherheitsvorfälle und Angriffe simuliert und werten die Erkennungsrate des SIEM aus. Und natürlich helfen wir Ihnen bei der Optimierung der Erkennungsregeln.

Zuletzt prüfen wir auf Wunsch Ihr SIEM als wirksames System der Angriffserkennung im Sinne des § 8a Abs. 1a BSIG.