Eine Einführung in die SIEM-Sicherheit: Entwicklung und Funktionen der nächsten Generation

Security Event and Information Management (SIEM)-Systeme bilden das Herzstück erfahrener Sicherheitsteams. SIEM ist ein Tool, mit dem Sie Ihren Netzwerkverkehr überwachen und Sicherheitswarnungen der Anwendungen in Echtzeit analysieren können. SIEM-Systeme haben oft ihre Schwierigkeiten. Deshalb haben wir diese Einführung erstellt, um zu erklären, warum SIEM-Produkte für die erweiterte Angriffserkennung unerlässlich sind, die SIEM-Terminologie zu erläutern und die wichtigsten SIEM-Tools und -Lösungen vorzustellen. Erfahren Sie, wie SIEM Ihre Informationssicherheit verbessern kann.

Was ist SIEM-Sicherheit?

Ein Security Information and Event Management (SIEM)-System ist die Grundlage der meisten Sicherheitsprozesse im modernen Security Operations Center (SOC). Ein SIEM erspart Sicherheitsanalysten den Aufwand der Überwachung vieler verschiedener Systeme und führt deren riesige Mengen an Protokolldaten zu einem stimmigen Bild zusammen.

SIEM-Sicherheit bezieht sich auf die Integration von SIEM mit Sicherheitstools, Netzwerküberwachungstools, Leistungsüberwachungstools, kritischen Servern und Endpunkten sowie anderen IT-Systemen. Ein SIEM erfasst außerdem Protokolle und Ereignisdaten, analysiert diese und generiert Warnungen, wenn es Aktivitäten erkennt, die einen Sicherheitsvorfall darstellen könnten.

Was ist ein SIEM und wie funktioniert es?

Eine SIEM-Lösung (Security Information and Event Management) ist ein Tool, das Sie für zentrale Warnmeldungen, Protokollierung und Compliance nutzen können. SIEM-Tools können gesammelte Daten korrelieren, um Kontext für Warnmeldungen und Ereignisse in Ihren Systemen bereitzustellen.

SIEM-Tools sammeln und aggregieren Protokolle, Berichte und Warnmeldungen aller Ihrer Sicherheitstools und -lösungen. Diese Informationen werden dann an einem zentralen Ort präsentiert, was die Transparenz verbessert und die Analyse und Reaktion auf Vorfälle beschleunigt.

SIEM-Lösungen folgen einem Zyklus mit drei Phasen:

1. Datenerfassung– Datenprotokolle werden von Geräten, Anwendungen, Systemen und vorhandenen Sicherheitstools erfasst.
2. Datenkonsolidierung– Die SIEM-Lösung normalisiert und kategorisiert Daten für die Analyse. Die Kategorisierung kann Benutzerherkunft, verwendete Anmeldeinformationen, aufgerufene Systeme und durchgeführte Prozesse umfassen.
3. Datenanalyse– Kategorisierte Daten werden analysiert und mit Regeln verglichen, die das akzeptierte Verhalten definieren. Wird ein Ereignis als verdächtig eingestuft, wird eine Warnung an Ihr Sicherheitsteam gesendet.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, den Wert Ihrer SIEM-Implementierung zu maximieren und sicherzustellen, dass sie sich mit den Sicherheitsanforderungen Ihres Unternehmens weiterentwickelt:

Automatisieren Sie wiederkehrende Aufgaben mit SOAR
Nutzen Sie SOAR um häufige Reaktionen zu automatisieren, wie z. B. die Isolierung von Endpunkten oder die Blockierung schädlicher IP-Adressen. Dies verkürzt die Reaktionszeiten und ermöglicht es Analysten, sich auf komplexere Untersuchungen zu konzentrieren.

Priorisieren Sie hochpräzise Datenquellen
Stellen Sie sicher, dass Ihr SIEM zuerst Daten von den wichtigsten Systemen aufnimmt, z. B. von Identitätsanbietern, EDR-Tools (Endpoint Detection and Response) und Firewalls. Hochpräzise Daten minimieren Störungen und erhöhen die Relevanz von Warnmeldungen.

Kontinuierliche Verfeinerung der Korrelationsregeln
Überprüfen und aktualisieren Sie Korrelationsregeln regelmäßig anhand neuer Bedrohungen und der sich entwickelnden Angriffsfläche Ihres Unternehmens. Veraltete Regeln können zu Fehlalarmen oder verpassten Erkennungen führen.

Erstellen Sie robuste Basisverhaltensprofile
Definieren Sie mithilfe von UEBA klare Basiswerte für das Benutzer- und Systemverhalten. Verfeinern Sie diese Basiswerte kontinuierlich, indem Sie Feedback aus Vorfalluntersuchungen und Geschäftsprozessänderungen berücksichtigen.

Strategische Integration von Bedrohungsinformationen
Integrieren Sie externe Bedrohungsdaten, die auf Ihre Branche und geografischen Risiken abgestimmt sind. Dies fügt Warnmeldungen wertvollen Kontext hinzu und verbessert die Erkennung und Priorisierung von Bedrohungen.

SIEM-Sicherheitsentwicklung

Analysten unterscheiden drei Generationen von SIEM-Sicherheitsfunktionen und -Technologien:

1. Die erste SIEM-Generation, die 2005 eingeführt wurde, kombiniert Log-Management- und Event-Management-Systeme, die zuvor getrennt waren. Sie sind hinsichtlich der Datenmenge, die sie verarbeiten können, und der Komplexität der von ihnen generierten Warnmeldungen und Visualisierungen begrenzt.
2. Die zweite SIEM-Generation war besser für die Verarbeitung von Big Data – großen Mengen historischer Protokolle – gerüstet. Solche SIEMs können historische Protokolldaten mit Echtzeitereignissen und Daten aus Threat Intelligence-Feeds korrelieren.
3. Die dritte Generation von SIEM-Systemen, die 2017 von Gartner vorgestellt wurde, kombiniert traditionelle SIEM-Funktionen mit zwei neuen Technologien. Dazu gehören die Benutzer- und Entitätsverhaltensanalyse (UEBA), die mithilfe von maschinellem Lernen Verhaltensmuster von Benutzern oder IT-Systemen erstellt und Anomalien identifiziert, sowie die Sicherheitsautomatisierung, -orchestrierung und -reaktion (SOAR), die Analysten bei der schnellen Untersuchung von Vorfällen und der Aktivierung von Sicherheitstools zur automatischen Reaktion darauf unterstützt.

In den letzten zwei Jahrzehnten haben sich SIEMs als leistungsstarke und effektive Infrastruktur für Sicherheitsteams bewährt. Gleichzeitig waren SIEMs bekanntermaßen teuer, schwierig zu implementieren und zu nutzen sowie schwer skalierbar. Ursprünglich waren SIEMs nur für große, etablierte Sicherheitsorganisationen eine Option.

Diese Herausforderungen werden durch neuere Technologiegenerationen bewältigt, die einfacher zu implementieren und zu nutzen sind, weniger Rechenressourcen benötigen und kostengünstigen Speicher nutzen. SIEM-Sicherheitslösungen werden auch als Service in der Cloud und über Managed Security Service Provider (MSSP) angeboten und bieten vielfältige Bereitstellungsoptionen, die Kosten und Implementierungsfreundlichkeit in Einklang bringen.

Die Bedeutung von SIEM

Organisationen verwenden SIEM-Technologien für:

• Protokollverwaltung und -aufbewahrung
• Kontinuierliche Sicherheitsüberwachung und Reaktion auf Vorfälle
• Fallmanagement
• Durchsetzung und Verstöße gegen Richtlinien
• Erfüllen Sie behördliche Anforderungen wie HIPAA, PII, NERC, SOX, COBIT 5, PCI, FISMA

Warum ist ein SIEM sonst noch wichtig? Wenn Sie Opfer eines Datenlecks werden und aufgefordert werden, den Vorfall zu erklären, möchten Sie eine Antwort parat haben.

Viele Organisationen implementieren SIEM, um vertrauliche Daten zu schützen und einen Nachweis für diesen Schutzprozess zu haben, da ein fehlgeschlagenes Audit dramatische Folgen haben kann, darunter den Verlust von Mitarbeitern und Geschäften sowie hohe Geldstrafen.

Was ist der Wert von SIEM?

• Korrelation von Sicherheitsereignissen– SIEM analysiert alle Daten aus der Protokollverwaltung auf Anzeichen einer Bedrohung oder eines Datenlecks. Beispielsweise ist eine fehlgeschlagene Anmeldung in der Regel kein Problem. Die fehlgeschlagene Anmeldung eines Benutzers bei Anwendungen in der gesamten IT-Umgebung kann jedoch eine Bedrohung darstellen. Die Beziehung zwischen den Daten dieser Anwendungen lässt sich nur über SIEM-Funktionen erkennen.
• Bedrohungsintelligenz– SIEM-Funktionen umfassen die Anbindung an Bedrohungsinformationen-Feeds, einschließlich der Feeds von Drittanbietern und Lösungsanbietern. Isolierte Feeds enthalten in der Regel eindeutige Bedrohungsdaten. Die Nutzung von Informationen aus mehreren Feeds kann Ihnen helfen, Ihre Lösung optimal zu nutzen.
• Sicherheitswarnungen– Ihr SIEM sollte Ihr Team kontinuierlich über mögliche Bedrohungen informieren, beispielsweise durch Dashboard-Updates, SMS-Benachrichtigungen oder E-Mail-Benachrichtigungen. Wenn Ihre Lösung Ihr Team nicht auf dem Laufenden hält, kann es sein, dass eine Bedrohung übersehen wird und auf Ihrem Server verbleibt.

Wert von SIEM-Lösungen der nächsten Generation

SIEM ist mittlerweile eine etablierte Technologie und die nächste SIEM-Generation verfügt über neue Fähigkeiten:

Benutzer- und Entitätsverhaltensanalyse (UEBA) – Moderne SIEMs überwinden Korrelationen, indem sie maschinelles Lernen und KI-Methoden nutzen, um typisches und atypisches menschliches Verhalten zu identifizieren und zu untersuchen. Diese Erkenntnisse können Unternehmen dabei helfen, böswillige Aktivitäten, Insider-Bedrohungen und Betrug zu erkennen.

Security Orchestration and Automation (SOAR)– SIEM-Systeme der nächsten Generation beinhalten nun automatisierte Systeme zur Reaktion auf Sicherheitsvorfälle. Beispielsweise kann das SIEM-System eine Ransomware-Warnung erkennen und automatisch Eindämmungsmaßnahmen auf betroffenen Systemen implementieren, bevor der Hacker die Daten verschlüsselt.

UEBA in der modernen SIEM-Sicherheit

User and Entity Behavior Analytics (UEBA) ist eine neue Kategorie von Sicherheitslösungen, die Verhaltensgrundlagen identifizieren und Anomalien erkennen können, die auf Sicherheitsvorfälle hinweisen könnten. UEBA erkennt Sicherheitsvorfälle, die andere Tools nicht erkennen können, da sie auf vordefinierten Mustern oder statischen Korrelationsregeln basieren. SIEM-Lösungen der dritten Generation verfügen über integrierte UEBA-Funktionen.

Hier sind einige gängige Anwendungsfälle von SIEMs mit UEBA-Technologie:

• Böswilliger Insider– Ein Benutzerkonto mit privilegiertem Zugriff auf IT-Systeme, das vom Kontoinhaber zum persönlichen Vorteil missbraucht wird. Insider-Angriffe können verheerend sein und sind für die meisten Sicherheitstools unsichtbar. UEBA erstellt eine Basislinie für das Verhalten jedes Benutzers und kann verdächtige Ereignisse erkennen, die auf böswillige Absichten hindeuten könnten.
• Kompromittierter Insider– Ein Angreifer, der die Kontrolle über ein Benutzerkonto erlangt und es für Aufklärungs-, Planungs- oder tatsächliche Angriffe auf Unternehmenssysteme nutzt. UEBA kann erkennen, dass sich das Benutzerkonto anders verhält als ein normales Benutzerkonto und das Sicherheitspersonal alarmieren.
• Priorisierung von Vorfällen und Warnmeldungen (Alert Triage)– SIEM-Sicherheitswarnungen stellen eine enorme Belastung für Sicherheitsanalysten dar, und die damit einhergehende Alarmmüdigkeit ist eine Herausforderung. UEBA kann den Aufwand für die Priorisierung von Warnmeldungen reduzieren. Dies geschieht durch die Kombination von Warnmeldungen und Signalen aus verschiedenen Tools, die Einstufung von Warnmeldungen und Vorfällen nach dem Ausmaß an anomalem Verhalten (Risikobewertung) und die Hinzufügung kontextbezogener Datenebenen über das Unternehmen, beispielsweise Dienste oder Benutzerkonten, die auf vertrauliche Daten zugreifen.
• Data Loss Prevention (DLP)– DLP-Tools erzeugen wie herkömmliche SIEMs eine große Anzahl von Warnmeldungen zu jedem ungewöhnlichen Ereignis im Zusammenhang mit sensiblen Unternehmensdaten. UEBA-Tools können DLP-Alarme priorisieren und konsolidieren, indem sie Risikobewertungen anhand von Daten mehrerer Tools berechnen und so anzeigen, welche Ereignisse auf anomales Verhalten hinweisen. UEBA kann außerdem eine DLP-Warnung in die Vorfallzeitleiste einfügen und so die Validierung und Untersuchung von Vorfällen erleichtern.

SOAR in der modernen SIEM-Sicherheit

Security Orchestration, Automation and Response (SOAR)-Systeme, eine weitere neue Technologie, die mit SIEM-Lösungen der dritten Generation gebündelt ist, verfügen über folgende Hauptfunktionen:

• Orchestrierung -SOAR lässt sich mit anderen Sicherheitslösungen integrieren, so dass diese Daten abrufen und auch proaktiv Aktionen durchführen können. So kann beispielsweise untersucht werden, ob ein E-Mail-Absender einen schlechten Ruf hat, indem ein DNS-Tool verwendet wird, um den Ursprung der Nachricht zu bestätigen.
• Automatisierung–SOAR ermöglicht es Benutzern, Sicherheits-Playbooks zu definieren. Diese Playbooks sind standardisierte Arbeitsabläufe für Sicherheitsoperationen. Tritt ein bekannter Sicherheitsvorfall auf, kann das Playbook aktiviert und Gegenmaßnahmen automatisch ergriffen werden, beispielsweise das Scannen einer als Malware identifizierten Datei und deren Ausführung in einer Sandbox.
• Vorfallmanagement und Zusammenarbeit– Wenn ein SIEM-System eine Sicherheitswarnung ausgibt, kann die SOAR Komponente des SIEM Kontextinformationen und Beweise hinzufügen, um Analysten bei der Untersuchung des Problems zu unterstützen und diese Informationen in einer Vorfallzeitleiste zu organisieren, um das Verständnis zu erleichtern. Sie ermöglicht es Analysten außerdem, zusammenzuarbeiten und Erkenntnisse oder zusätzliche Daten, die sie im Rahmen ihrer Untersuchung gewinnen, beizusteuern.

Evaluierung von SIEM-Software

Wir empfehlen die folgenden Schritte bei der Evaluierung einer SIEM-Lösung:

1. SIEM-Funktionen der nächsten Generation

SIEM-Sicherheitslösungen der dritten Generation bieten den größten Nutzen und gleichzeitig geringere Implementierungs- und Betriebskosten. Prüfen Sie, ob eine Lösung Folgendes bietet:

• UEBA – Erweiterte Analyse zur Ermittlung von Verhaltensanomalien
• SOAR– Automatisierung und Orchestrierung der Reaktion auf Sicherheitsvorfälle
• Dashboards und Visualisierungen
• Flexible Suche, Abfrage und Datenexploration
• Langfristige Datenaufbewahrung und unbegrenzte Skalierbarkeit
• Schnittstelle zur Bedrohungssuche

2. Open Source vs. kommerziell und In-House vs. gehostetes SIEM

Überlegen Sie, welche Art von SIEM-Sicherheitslösung für Ihr Unternehmen am besten geeignet ist:

• Open Source vs. kommerziell– Open-Source-Tools bieten geringere Vorlaufkosten, haben jedoch höhere laufende Wartungskosten und eingeschränktere Funktionen.
• Selbst entwickeln oder kaufen– Manche Unternehmen entwickeln SIEM-Lösungen mit Open-Source-Tools wie dem ELK-Stack (Elasticsearch, Logstash und Kibana). Dies erfordert hohe Investitionen in die Implementierung, Wartung, Optimierung und Integration von Sicherheitsinhalten, da ELK in erster Linie eine Infrastruktur zur Protokollverwaltung und kein Sicherheitssystem ist.
• In-House oder verwaltet– Sie können zwischen vier Bereitstellungsmodellen wählen: (1) selbst gehostet und selbst verwaltet (das traditionelle Modell); (2) in der Cloud gehostet, aber von internem Sicherheitspersonal verwaltet; (3) selbst gehostet, aber von einer Kombination aus internem Sicherheitspersonal und einem Managed Security Service Provider (MSSP) verwaltet; (4) SIEM als Service in der Cloud mit lokaler Sicherheitsverwaltung.

3. Bewertung der Gesamtbetriebskosten (TCO)

Ein SIEM ist eine komplexe Sicherheitsinfrastruktur, deren Anschaffung und Betrieb kostspielig sein können. Im Allgemeinen umfasst ein SIEM die folgenden Budgetposten:

• CAPEX-Budgetposten– Lizenzen, Entwicklung, Schulung, Hardware und Speicher.
• OPEX-Budgetposten– Sicherheitsanalysten zur Überprüfung von SIEM-Warnungen, IT-Wartung, Integration mit neuen IT-Systemen und Speicherkosten.

Hier sind einige Tipps zur genauen Schätzung der Gesamtbetriebskosten einer SIEM-Implementierung:

• Lizenzierung– Prüfen Sie das Lizenzmodell der verfügbaren SIEM-Lösungen. In der Regel basiert die Lizenzierung auf Aufnahmevolumen oder -geschwindigkeit. Einige neuere Marktteilnehmer bieten benutzerbasierte Preise an, wodurch die Lizenzkosten möglicherweise begrenzt sind.
• Hardwarekosten und -dimensionierung– SIEM-Funktionen umfassen die Anbindung an Threat Intelligence-Feeds, einschließlich Feeds von Drittanbietern und Lösungsanbietern. Isolierte Feeds enthalten in der Regel eindeutige Bedrohungsdaten. Die Nutzung von Informationen aus mehreren Feeds kann Ihnen helfen, Ihre Lösung optimal zu nutzen.
• Speicherkosten– Selbst bei Cloud- oder verwalteten SIEM-Bereitstellungen müssen Sie beim Skalieren in der Regel für den Speicher bezahlen und für die Aufbewahrung historischer Daten zusätzlich zahlen.
• Interne Analysten– Der größte Kostenfaktor bei SIEM-Systemen ist die Analystenzeit. Prüfen Sie, ob Sie über ausreichend qualifiziertes Personal verfügen, um SIEM-Warnmeldungen zu prüfen und zu untersuchen. Falls nicht, sollten Sie die Auslagerung an einen MSSP in Betracht ziehen. Modernere SIEM-Systeme mit UEBA- und SOAR-Technologie können niedrigere Betriebskosten aufweisen.

Best Practices für die SIEM-Implementierung

1. Lernen Sie Ihre Daten kennen und erfahren Sie, wie sie für Sie arbeiten können

Dazu gehört, dass Sie vor der Bereitstellung Größe, Verhalten, Häufigkeit und Art Ihrer Protokolldaten verstehen. Sie sollten wissen, welche Daten verfügbar sind und woher Ihre Daten stammen (einschließlich Systeme, Switches und Router) und wie sie übertragen werden.

Geben Sie außerdem den Grund für die Implementierung eines SIEM-Systems und das Ziel Ihres Projekts an. Unterstützt Ihre SIEM-Strategie den täglichen Betrieb? Dient sie der Sicherheit und der Protokollierung zur Bedrohungserkennung? Oder dient sie der Einhaltung von Compliance-Vorgaben?

2. Legen Sie die für die Einhaltung erforderlichen Regeln fest

Ermitteln Sie, welche Branchenstandards und Vorschriften gelten und wie das SIEM Sie bei Compliance-Audits und -Berichten unterstützen kann. Definieren Sie grundlegende Korrelationsregeln, um grundlegende Compliance-Anforderungen zu erfassen. Nutzen Sie SIEM-Technologien der nächsten Generation, insbesondere UEBA, für eine bessere Bedrohungserkennung und einfachere laufende Wartung.

3. Korrelationsregeln mit UEBA erweitern

Herkömmliche SIEM-Korrelationsregeln suchen nur nach dem, was Sie ihnen vorgeben. Es ist wichtig, Regeln zu definieren, die grundlegende Angriffsszenarien erfassen. In der heutigen Sicherheitsumgebung reichen Regeln jedoch nicht aus, um alle relevanten Bedrohungen zu erfassen. Darüber hinaus führen Korrelationsregeln zu einer hohen Anzahl falscher Positivmeldungen, was die Sicherheitsanalysten belastet.

Wir empfehlen, Korrelationsregeln zu definieren und zu überwachen, um zu prüfen, ob diese zu viele Fehlalarme erzeugen. Ist dies der Fall, sollten Sie die Regel entfernen und mithilfe von UEBA eine Verhaltensbasislinie der relevanten Systemvorgänge erstellen und signifikante Abweichungen von dieser Basislinie identifizieren. Für Sicherheitsszenarien, die sich nicht einfach durch Regeln beschreiben lassen, wie z. B. Insider-Bedrohungen, sollten Sie zunächst UEBA verwenden.

Beispiel eines Next-Gen SIEM mit integriertem UEBA und SOAR

Exabeam ist eine SIEM-Plattform der dritten Generation, die einfach zu implementieren und zu verwenden ist. Sie bietet erweiterte Funktionen gemäß dem überarbeiteten Gartner SIEM-Modell:

• Advanced Analytics und forensische Analyse– Bedrohungsidentifizierung mit Verhaltensanalyse auf Basis von maschinellem Lernen, dynamische Gruppierung von Peers und Entitäten zur Identifizierung verdächtiger Personen und Erkennung lateraler Bewegungen.
• Datenexploration, -berichterstattung und -aufbewahrung– Unbegrenzte Aufbewahrung von Protokolldaten zu einem Pauschalpreis, unter Nutzung moderner Data-Lake-Technologie und kontextbezogener Protokollanalyse, die Sicherheitsanalysten dabei hilft, schnell das zu finden, was sie benötigen.
• Bedrohungssuche– Ermöglicht Analysten, mithilfe einer Point-and-Click-Schnittstelle zur Bedrohungssuche aktiv nach Bedrohungen zu suchen. Dadurch ist es möglich, Regeln und Abfragen in natürlicher Sprache ohne SQL- oder NLP-Verarbeitung zu erstellen.
• Incident Response und SOC-Automatisierung– Ein zentralisierter Ansatz für die Incident Response, der Daten aus Hunderten von Tools sammelt und die Reaktion auf verschiedene Arten von Vorfällen über Sicherheits-Playbooks orchestriert. Exabeam kann Untersuchungen, Eindämmungs- und Schadensbegrenzungs-Workflows automatisieren.