Security Information and Event Management

Cyber Security: In drei Schritten zum einsatzbereiten SIEM

17.11.2020

Mit der zunehmenden Digitalisierung steigt auch das Risiko, Opfer einer Cyberattacke zu werden. Die Schadensszenarien erstrecken sich von Beschädigungen an Hard- oder Software, über den Diebstahl von Daten bis hin zur Unterbrechung der Dienste und Funktionen. Der aktuelle Stand der Technik in der Informationssicherheit kann mit der Bedrohungslage schon seit einiger Zeit nicht mehr Schritt halten und so häufen sich die Meldungen über Angriffe und Schadensfälle in Wirtschaft und öffentlicher Verwaltung. Das „Security Information and Event Management“ verspricht die IT-Sicherheit auf eine neue Stufe zu heben. Allerdings existieren in Deutschland noch nicht viele Erfahrungen mit dieser vergleichsweise neuen Methodik. Erfahren Sie, wie in drei Schritten ein einsatzbereites SIEM aufgebaut werden kann.

Schritt 1: Governance

 

Bevor sich ein Unternehmen mit der Toolauswahl und den konkreten Methodiken beschäftigt, sollte zunächst die Governance definiert werden. Bereits bestehende Richtlinien zur Informationssicherheit sind um das Thema SIEM zu erweitern. Verantwortlichkeiten und Scope sind zu klären. Die Fragen „Wer ist für den Betrieb des SIEM und für die nachgelagerte Incident-Bearbeitung verantwortlich?“ und „Für welche Assets soll das Monitoring aufgebaut werden?“ sind von zentraler Bedeutung. Aus unserer Erfahrung wissen wir, dass diese Themen häufig erst zu spät oder gar nicht geklärt werden. Das führt zum einen dazu, dass das Umsetzungsprojekt mit unklaren Vorgaben arbeiten muss und zum anderen keine Möglichkeit einer Prüfung der Zielerreichung gegeben ist. Beides verursacht höhere Kosten und verzögerte Leistung.

Zur Governance, im weiteren Sinne, gehören außerdem die Prozesse. Damit das SIEM nach der technischen Umsetzung sofort einsatzbereit ist, benötigt ein Unternehmen Prozessdefinitionen bspw. zur Incident-Bearbeitung. Andernfalls erzeugt das SIEM zwar Alarme oder Offenses, aber es ist niemand da, der sich um deren Bearbeitung kümmert. Die Ausstattung mit technischen und personellen Ressourcen fällt ebenfalls unter diesen Punkt.

 

Schritt 2: Anforderungsanalyse

 

Aus der Governance und den Prozessen heraus können im zweiten Schritt die Anforderungen an die einzusetzenden Tools erhoben werden. Anhand der zu überwachenden Assets und der daraus abgeleiteten Events pro Stunde kann bspw. eine Vorauswahl für das SIEM-Tool getroffen werden. Zudem sollte überprüft werden, ob die Konnektivität zu einem gegebenenfalls bereits vorhandenen Incident-Management-Tool gegeben ist. Auch die Entscheidung, ob man einen Cloud-Service nutzen möchte oder die Log-Daten lieber „On-premise“ halten möchte, ist wichtig.

In jedem Fall empfiehlt sich eine angemessene Anforderungs- sowie Marktanalyse. Auch bei diesem Schritt gilt: Wird dieser ausgelassen oder nur oberflächlich durchgeführt, kann das zu höheren Kosten und Verspätungen im späteren Projektverlauf führen. Denn ein SIEM-Tool, dass nicht in die Systemlandschaft passt, ist nutzlos.

 

Schritt 3: Systemintegration

 

Hat man sich für die einzusetzenden Tools entschieden und die Lizenzen beschafft, gilt es nun das System in die bestehende Infrastruktur zu integrieren. Das Vorgehen hierbei unterscheidet sich nicht wesentlich von „normalen“ Systemintegrationen. Die meisten SIEM-Tools verfügen über eine breite Auswahl möglicher Schnittstellen. Und die meisten IT-Assets erzeugen bereits von Haus aus einiges an Log-Daten. Unsere Empfehlung ist, alle verfügbaren Log-Daten aus allen relevanten Assets, ggf. auch unstrukturiert, in das SIEM-Tool einzulesen. Denn die meisten SIEM-Tools werden bereits mit einer großen Anzahl an Regeln oder „Korrelationen“ ausgeliefert und können auch einen Großteil der Log-Formate ohne weiteres einlesen. Ist das SIEM-Tool dann auch mit dem Tool zur Incident- Bearbeitung verbunden, ist das SIEM einsatzbereit.

 

Und wie geht es danach weiter?

 

Natürlich geht es danach noch weiter. Es gilt noch einige Hürden zu nehmen, bis das SIEM zu einem festen Bestandteil der IT-Sicherheits-Infrastruktur geworden ist. Jedes Unternehmen muss zum Beispiel für sich selbst definieren, wie es mit der - in der Regel recht hohen – Anzahl an False Positives umgeht. Auch werden nach den oben genannten Schritten längst nicht alle notwendigen Logs vorhanden sein und im Monitoring verarbeitet werden.

Weiterführende Links:

Teilen auf