Zum Inhalt springen

Exabeam Introduces First Connected System for AI Agent Behavior Analytics and AI Security Posture Insight — Mehr lesen

Demo anfordern

10 SIEM-Anwendungsfälle in einer modernen Bedrohungslandschaft

  • 10 minutes to read

Inhaltsverzeichnis

    Security Information and Event Management (SIEM)-Systeme aggregieren Sicherheitsdaten aus dem gesamten Unternehmen, unterstützen Sicherheitsteams bei der Erkennung und Reaktion auf Sicherheitsvorfälle und erstellen Compliance- und Regulierungsberichte zu sicherheitsrelevanten Ereignissen. Da SIEM eine zentrale Sicherheitsinfrastruktur mit Zugriff auf unternehmensweite Daten darstellt, gibt es eine Vielzahl von SIEM-Anwendungsfällen.

    Nachfolgend finden Sie Beispiele für gängige SIEM-Anwendungsfälle, von traditionellen Anwendungen wie Compliance bis hin zu hochmodernen Anwendungsfällen wie der Erkennung von Insider-Bedrohungen und IoT-Sicherheit.

    Über diesen Erklärer:

    Dieser Inhalt ist Teil einer Reihe zur SIEM-Sicherheit.

    SIEM-Anwendungsfälle: Compliance

    SIEM für PCI-Compliance

    Der Payment Card Industry Data Security Standard (PCI DSS) wurde entwickelt, um Kreditkartendaten vor Diebstahl und Missbrauch zu schützen. Er definiert zwölf Sicherheitsbereiche, in denen Unternehmen den Schutz dieser Daten verbessern sollten. Die Anforderungen gelten für alle an der Kreditkartenabwicklung Beteiligten, einschließlich Händler, Verarbeiter und Drittanbieter.

    5 Möglichkeiten, wie SIEMs bei der PCI-Konformität helfen können:

    1. Perimetersicherheit –Erkennen nicht autorisierter Netzwerkverbindungen und Korrelieren mit dem Änderungsmanagement, Suchen nach unsicheren Protokollen und Diensten und Überprüfen des Datenverkehrsflusses über die DMZ.
    2. Benutzeridentitäten –Überwachung aller Ereignisse, die zu Änderungen an Benutzeranmeldeinformationen und Aktivitäten von gekündigten Benutzern führen
    3. Bedrohungserkennung in Echtzeit –Überwachung von Antivirenprotokollen, Überwachung unsicherer Ports und Dienste und Korrelation mit Bedrohungsinformationen.
    4. Produktions- und Datensysteme –Suche nach Dev/Test- oder Standardanmeldeinformationen, Replikaten usw. auf Produktionssystemen.
    5. Auditing und Reporting –Sammeln von System- und Sicherheitsprotokollen, einschließlich spezifischer PCI-Protokollierungsanforderungen, deren Prüfung in einem für das PCI-Reporting geeigneten Format und Erstellen von Compliance-Berichten.

    SIEM für die Einhaltung der DSGVO

    Die Datenschutz-Grundverordnung (DSGVO) ist Europas neuer Rahmen zum Schutz der Sicherheit und Privatsphäre Personenbezogene Daten (PII), der im Mai 2018 in Kraft getreten ist. Die DSGVO gilt für alle juristischen Personen, die personenbezogene Daten von EU-Bürgern speichern, kontrollieren oder verarbeiten, und konzentriert sich auf zwei Kategorien: personenbezogene Daten wie IP-Adressen oder Benutzernamen und sensible personenbezogene Daten wie biometrische oder genetische Daten.

    5 Möglichkeiten, wie SIEMs bei der Einhaltung der DSGVO helfen können

    1. Datenschutz durch Technikgestaltung –Überprüfung und Auditierung von Sicherheitskontrollen, um nachzuweisen, dass Benutzerdaten angemessen behandelt wurden.
    2. Einblick in Protokolldaten –Bereitstellung eines strukturierten Zugriffs auf Protokollinformationen, um die Berichterstattung an einzelne Dateneigentümer zu ermöglichen.
    3. DSGVO-Protokollierung und -Überwachung –Überwachung kritischer Änderungen an Anmeldeinformationen, Sicherheitsgruppen usw.; Überprüfung von Datenbanken und Servern, auf denen personenbezogene Daten gespeichert sind, und automatische Verfolgung von Assets, auf denen vertrauliche Daten gespeichert sind.
    4. Benachrichtigung bei Datenschutzverletzungen –Erkennen von Datenschutzverletzungen, Alarmieren des Sicherheitspersonals, Analysieren des Vorfalls, um die vollständigen Auswirkungen aufzudecken, und schnelles Erstellen detaillierter Berichte gemäß den Anforderungen der DSGVO.
    5. Aufzeichnung der Datenverarbeitung–Identifizieren von Ereignissen im Zusammenhang mit personenbezogenen Daten, Überprüfen aller Änderungen an den Daten und Erstellen von Berichten gemäß den Anforderungen der DSGVO.

    Achtung: Das SIEM selbst kann ein Risiko gemäß DSGVO darstellen, da Protokolldaten personenbezogene Daten enthalten können. Die DSGVO erlaubt die Speicherung von Daten aus „berechtigten Interessen“ (Artikel 6), was die Speicherung von Protokolldateien aus Sicherheitsgründen erlauben kann. Wenden Sie sich an Ihre Rechtsberatung, um zu erfahren, welche Daten Sie gemäß den DSGVO-Bestimmungen im SIEM speichern dürfen und welche nicht.

    SIEM für HIPAA-Compliance

    HIPAA ist ein US-amerikanischer Standard für Organisationen, die Gesundheitsinformationen elektronisch übermitteln. Er gilt für Organisationen jeder Größe, vom einzelnen Arzt bis hin zu nationalen Gesundheitseinrichtungen. Der HIPAA-Standard für Sicherheitsmanagement verpflichtet Organisationen zur Durchführung von Risikoanalysen und Risikomanagement, zur Festlegung von Sanktionsrichtlinien für Datenschutzverletzungen und zur Durchführung von Informationssystemaktivitätsprüfungen – ein zentrales Element des Standards, das die ordnungsgemäße Funktion aller anderen Teile gewährleistet.

    9 Möglichkeiten, wie SIEMs bei der Einhaltung des HIPAA helfen können

    1. Sicherheitsmanagement–Entdecken neuer IT-Assets, Identifizieren gefährdeter Systeme, Überwachen des Zugriffs auf Systemdateien, Benutzeraktivitäten und Berechtigungen in kritischen Systemen
    2. Mitarbeiterzugriff –Überwachung des Zugriffs auf kritische Dateien und Daten, Erfassung von Anmeldeversuchen und Anmeldungen von gekündigten Benutzern.
    3. Informationszugriffsverwaltung –Identifizierung von Anmeldeerfolgen und -fehlern, Rechteerweiterung und Änderung von Benutzerkonten.
    4. Sicherheitsbewusstsein –Erkennen von Schwachstellen und Malware, Erkennen von Systemen ohne Virenschutz, Überwachen der Anmeldung bei Sicherheitsgeräten und kritischen Systemen.
    5. Sicherheitsvorfälle –Automatische Erkennung von Bedrohungen, Generierung und Priorisierung von Warnungen, Ermöglichung der Untersuchung von Bedrohungen und Orchestrierung automatisierter Reaktionen auf Vorfälle.
    6. Zugriffskontrolle –Überwachung von Änderungen an Anmeldeinformationen und Berechtigungen, Sitzungstimeouts und Änderungen an Verschlüsselungseinstellungen.
    7. Audit-Kontrollen –Überwachung von Richtlinienänderungen, Data Leakage Protection (DLP)-Ereignissen, Dateiintegrität und Protokollanalyse für geschützte Daten.
    8. Datenintegrität–Überwachung der Änderung von Gesundheitsinformationen und Änderungen der Datenrichtlinien.
    9. Übertragungssicherheit –Identifizierung nicht autorisierter Kommunikation und Versuche, Anwendungen oder Speicher mit Gesundheitsinformationen zu ändern.

    SIEM für SOX-Compliance

    Der Sarbanes-Oxley Act (SOX) von 2002 ist eine Verordnung, die Anforderungen an Vorstände, Management und Wirtschaftsprüfungsgesellschaften börsennotierter US-Unternehmen festlegt. Er wurde als Reaktion auf mehrere Bilanzskandale, darunter Enron und WorldCom, erlassen. Zwei von IT-Organisationen häufig verwendete Frameworks zur Einhaltung des SOX sind COSO und COBIT.

    Die SOX-Verordnung soll sicherstellen, dass eine Organisation das Management informiert und über SOX-Berichtsverfahren nachweisen kann:

    • Wo sensible Daten gespeichert werden
    • Wer hat Zugriff darauf
    • Was ist damit passiert?

    Ein SIEM kann beim Sammeln und Aufzeichnen dieser Daten für SOX-Audits hilfreich sein.

    5 Möglichkeiten, wie SIEM bei SOX-Compliance und Audits helfen kann

    1. Sicherheitsrichtlinien und -standards –Verfolgung von Informationssicherheitsrichtlinien (z. B. einer E-Mail-Sicherheitsrichtlinie) und -standards (z. B. einer Standardmethode zur Sicherung von Windows-Desktopcomputern). Ein SIEM kann ermitteln, welche IT-Systeme den Richtlinien und Standards entsprechen, und in Echtzeit über Verstöße informieren.
    2. Zugriff und Authentifizierung –Überwachung der Kontoerstellung, Änderungsanforderungen und Aktivitäten entlassener Mitarbeiter.
    3. Netzwerksicherheit –Überwachung von Warnungen von Firewalls und anderen Edge-Sicherheitsgeräten und Identifizierung bekannter Angriffsmuster im Netzwerkverkehr.
    4. Protokollüberwachung –Aggregieren von Sicherheitsereignissen und Warnen bei ungültigen Anmeldeversuchen, Portscans, Privilegienerweiterungen usw.
    5. Funktionstrennung –Der SOX-Standard erfordert, dass keine einzelne Person einen gesamten Datenprozess von Anfang bis Ende kontrolliert. Ein SIEM kann beispielsweise sicherstellen, dass Dateneingabemitarbeiter nur auf die von ihnen erstellten Daten zugreifen und niemals andere Daten einsehen oder ändern.

    Tipps vom Experten

    Steve Moore

    Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

    Meiner Erfahrung nach gibt es hier Tipps zur effektiven Implementierung und Maximierung der vielfältigen Anwendungsfälle von SIEM-Systemen, einschließlich Compliance, Erkennung von Insider-Bedrohungen und erweiterter Bedrohungssuche:

    Optimieren Sie die Datenaufbewahrung für Compliance und Untersuchungen
    Nutzen Sie mehrstufige Speicherstrategien und bewahren Sie kritische Protokolle für Compliance-Audits im Hot Storage auf, während weniger kritische Daten archiviert werden. Stellen Sie sicher, dass die Aufbewahrungsrichtlinien gesetzlichen Anforderungen wie den Datenschutzbestimmungen der DSGVO entsprechen.

    Ordnen Sie SIEM-Konfigurationen Compliance-Frameworks zu
    Identifizieren Sie für jeden Compliance-Standard (z. B. PCI DSS, DSGVO, HIPAA) spezifische Protokollierungs- und Berichtsanforderungen. Konfigurieren Sie Ihr SIEM entsprechend diesen Anforderungen, z. B. durch die Überwachung gekündigter Konten gemäß HIPAA oder die Erfassung von Datenverarbeitungsprotokollen gemäß DSGVO.

    Implementieren Sie risikobasierte Warnmeldungen für Insider-Bedrohungen
    Weisen Sie dem Benutzerverhalten mithilfe von User and Entity Behavior Analytics (UEBA) Risikobewertungen zu. Konzentrieren Sie sich auf risikoreiches Verhalten wie Privilegienerweiterungen oder laterale Bewegungen, um Störungen zu minimieren und böswillige Insider effektiver zu erkennen.

    Erstellen Sie maßgeschneiderte Baselines für IoT-Geräte
    Da IoT-Geräte ein vorhersehbares Verhalten aufweisen, erstellen Sie mit Ihrem SIEM gerätespezifische Baselines. Markieren Sie Abweichungen wie unerwartete Netzwerkverkehrsmuster oder nicht autorisierte Kommunikationsversuche.

    Integrieren Sie externe Threat Intelligence-Feeds für den Kontext
    Bereichern Sie Ihre SIEM-Warnmeldungen mit Echtzeit-Bedrohungsinformationen. Nutzen Sie Feeds, um bekannte Indikatoren für Kompromittierungen (IOCs) wie IPs oder Domänen mit Ihren Sicherheitsdaten zu korrelieren und so eine schnellere Validierung und Reaktion zu ermöglichen.

    SIEM-Anwendungsfälle: Nutzung von SIEM zum Schutz vor vertrauenswürdigen Entitäten

    Insider-Bedrohungen

    Laut den im Verizon Data Breach Investigation Report bereitgestellten Statistiken zu Insider-Bedrohungen waren drei der fünf häufigsten Ursachen für Sicherheitsverletzungen auf eine Insider-Bedrohung zurückzuführen, und Insider-Bedrohungen bleiben monatelang (in 42 % der Fälle) oder sogar jahrelang (38 % der Fälle) unentdeckt.

    Die Erkennung von Insider-Bedrohungen ist eine Herausforderung – die meisten Sicherheitstools lösen aufgrund ihres Verhaltens keine Warnungen aus, da der Angreifer scheinbar ein legitimer Benutzer ist. Ein SIEM kann jedoch durch Verhaltensanalysen Indikatoren für Insider-Bedrohungen erkennen und Sicherheitsteams so dabei unterstützen, Angriffe zu identifizieren und abzuwehren.

    Das Bewusstsein für interne Sicherheitsbedrohungen, vor allem für Insider-Bedrohungen, wächst:

    • Böswilliger Insider– Eine Sicherheitsbedrohung, die von Mitarbeitern, ehemaligen Mitarbeitern, Auftragnehmern oder Partnern der Organisation ausgeht
    • Kompromittierter Insider– Eine externe Entität, die die Anmeldeinformationen eines Insiders erhalten hat

    6 Möglichkeiten, wie ein SIEM dazu beitragen kann, Insider-Bedrohungen zu stoppen

    1. Erkennen kompromittierter Benutzeranmeldeinformationen –SIEMs können mithilfe von Verhaltensanalysen anomales Benutzerverhalten erkennen, das auf eine Kompromittierung hindeutet. Beispiele hierfür sind Anmeldungen zu ungewöhnlichen Zeiten, mit ungewöhnlicher Häufigkeit oder der Zugriff auf ungewöhnliche Daten oder Systeme.
    2. Anomale Privilegieneskalation–SIEMs können erkennen, wenn Benutzer ihre Rechte für kritische Systeme ändern oder erweitern.
    3. Command-and-Control-Kommunikation –SIEMs können den Netzwerkverkehr mit Bedrohungsdaten korrelieren, um Malware zu erkennen, die mit externen Angreifern kommuniziert. Dies ist ein Zeichen für ein kompromittiertes Benutzerkonto.
    4. Datenexfiltration –SIEMs können Verhaltensanalysen verwenden, um scheinbar nicht zusammenhängende Ereignisse zu kombinieren und zu analysieren, wie z. B. das Einstecken von USB-Sticks, die Verwendung persönlicher E-Mail-Dienste, nicht autorisierte Cloud-Speicherung oder übermäßiges Drucken.
    5. Schnelle Verschlüsselung –SIEMs können die Verschlüsselung großer Datenmengen erkennen und stoppen. Dies könnte auf einen Ransomware-Angriff hinweisen, der oft von kompromittierten Insidern ausgeht.
    6. Laterale Bewegung –Insider, die einen Angriff durchführen, versuchen möglicherweise, auf dem Weg zu einem Ziel Konten, Rechner und IP-Adressen zu wechseln. SIEMs können dieses Verhalten erkennen, da sie einen umfassenden Überblick über mehrere IT-Systeme haben.

    SIEM der nächsten Generation

    Die meisten Funktionen in diesem und den folgenden Abschnitten werden durch SIEMs der nächsten Generation ermöglicht, die User Entity Verhaltensanalyse (UEBA) kombinieren. Die UEBA-Technologie nutzt maschinelles Lernen und Verhaltensprofile, um Basiswerte von IT-Benutzern und -Systemen zu ermitteln und Anomalien intelligent zu identifizieren – über die Regeln und statistischen Korrelationen herkömmlicher SIEMs hinaus.

    Missbrauch hochprivilegierter Zugriffe

    Der Missbrauch privilegierter Zugriffe ist ein komplexes Problem, das auf Lücken in der Zugriffskontrolle in Unternehmen zurückzuführen ist. Benutzer mit Zugriff auf IT-Systeme können unerwünschte Aktionen ausführen, da sie über mehr Zugriffsrechte verfügen, als sie für ihre Arbeit benötigen. Laut dem Verizon Data Breach Investigation Report 2017 war der Missbrauch privilegierter Zugriffe die dritthäufigste Ursache für Datenschutzverletzungen und die zweithäufigste Ursache für Sicherheitsvorfälle.

    5 Möglichkeiten, wie ein SIEM dazu beitragen kann, den Missbrauch privilegierter Zugriffe zu verhindern

    1. Unerwünschte Aktivitäten –Überwachung und Meldung verdächtiger Zugriffe auf vertrauliche Daten.
    2. Verstöße Dritter –Überwachung der Aktivitäten externer Anbieter und Partner, die Zugriff auf Organisationssysteme haben, um anomales Verhalten oder eine Ausweitung von Berechtigungen zu erkennen.
    3. Ausgeschiedene Mitarbeiter –Benachrichtigung bei Aktivitäten gekündigter Benutzerkonten oder unerwarteter Aktivität bei Konten, die normalerweise inaktiv sind.
    4. Menschliches Versagen –Warnung vor anomalen Aktivitäten, die auf einen katastrophalen menschlichen Fehler zurückzuführen sein könnten, wie etwa das Löschen großer Datenmengen.
    5. Überbeanspruchung –Meldung von Benutzern, die auf Systeme oder Daten zugreifen, die nicht ihrem normalen Nutzungsprofil entsprechen.

    Kompromittierung vertrauenswürdiger Hosts und Entitäten

    Angreifer übernehmen häufig die Kontrolle über Benutzeranmeldeinformationen oder Hosts in einem Unternehmensnetzwerk und führen ihre Angriffe monate- oder jahrelang heimlich durch. Laut dem Ponemon-Bericht „Cost of Data Breaches“ von 2017 dauerte es in US-Unternehmen durchschnittlich 206 Tage, bis sie einen Datendiebstahl entdeckten. Daher ist es ein wichtiges Ziel von Sicherheitsteams, Angriffe schnell zu erkennen und zu unterbinden.

    4 Möglichkeiten, wie ein SIEM dazu beitragen kann, Trusted Entity Compromise zu erkennen und zu stoppen

    1. Benutzerkonten –Identifizieren Sie anomale Aktivitäten, geben Sie entsprechende Warnungen aus und stellen Sie Ermittlern die Daten zur Verfügung, die sie benötigen, um zu verstehen, ob ein privilegiertes Benutzerkonto kompromittiert wurde.
    2. Server –Erstellen einer vertrauenswürdigen Basislinie der Serveraktivität, Erkennen von Abweichungen von dieser Basislinie und Alarmieren des Sicherheitspersonals.
    3. Netzwerkgeräte –Überwachen Sie den Datenverkehr im Laufe der Zeit und erkennen Sie ungewöhnliche Spitzen, nicht vertrauenswürdige Kommunikationsquellen, unsichere Protokolle und andere Anzeichen böswilligen Verhaltens.
    4. Antiviren-Überwachung –Malware ist ein häufiger Einstiegspunkt für Host-Kompromittierungen. SIEMs können Antiviren-Bereitstellungen umfassend überwachen und Ereignisse wie deaktivierten Schutz, entferntes Antivirenprogramm oder den Status von Bedrohungsupdates melden.

    SIEM-Anwendungsfälle: Nutzung von SIEM zur Erkennung erweiterter Sicherheitsbedrohungen

    Bedrohungssuche

    Threat Hunting ist die aktive Suche nach Cyberbedrohungen in einer Organisation oder einem Netzwerk. Es kann unmittelbar nach einem Sicherheitsvorfall, aber auch proaktiv durchgeführt werden, um neue und unbekannte Angriffe oder Sicherheitsverletzungen aufzudecken. Laut einer Studie des SANS Institute aus dem Jahr 2017 betreiben 45 % der Organisationen Threat Hunting ad hoc oder regelmäßig. Threat Hunting erfordert einen umfassenden Zugriff auf Sicherheitsdaten aus der gesamten Organisation, der durch ein SIEM bereitgestellt werden kann.

    7 Möglichkeiten, wie SIEM bei der Bedrohungssuche helfen kann

    1. Warnungen von Sicherheitssystemen –Bereitstellung umsetzbarer Warnungen, die Kontext und Daten liefern, um bei der Untersuchung eines potenziellen Vorfalls zu helfen.
    2. Umgebungsanomalien –Identifizierung von Anomalien in IT-Systemen mithilfe von Korrelationen und Verhaltensanalysen
    3. Neue Sicherheitslücken –Organisieren von Daten rund um eine neue Sicherheitslücke – Zeitleiste und betroffene Systeme, Daten und Benutzer.
    4. Tipps von Kollegen oder den Medien –Durchsuchen Sie historische Daten nach Angriffsmustern oder Signaturen, die bekannten Angriffen ähneln.
    5. Bedrohungsintelligenz–Kombination von Threat Intelligence mit Sicherheitsdaten, um Angriffe auf IT-Systeme intelligent zu erkennen.
    6. Hypothesen basierend auf bekannten Risiken –Hilft Analysten, eine Hypothese zu formulieren und zu testen, indem sie Sicherheitsdaten im SIEM untersuchen.
    7. Ähnliche Vorfälle –Überprüfen, ob „dies schon einmal passiert ist“ – Durchsuchen von Sicherheitsdaten nach Mustern, die einem aktuellen oder früheren Sicherheitsvorfall ähneln.

    Erkennung von Datenexfiltration

    Datenexfiltration liegt vor, wenn vertrauliche Daten unrechtmäßig außerhalb eines Unternehmens übertragen werden. Dies kann manuell geschehen, wenn ein Benutzer Daten über das Internet überträgt oder auf ein physisches Gerät kopiert und diese außerhalb des Unternehmensstandorts verschiebt, oder automatisch, wenn lokale Systeme durch Schadsoftware infiziert werden.

    6 Möglichkeiten, wie ein SIEM zur Verhinderung von Datenexfiltration beitragen kann

    1. Backdoors, Rootkits und Botnets –Erkennen des Netzwerkverkehrs zu Kommando- und Kontrollzentren und Identifizieren infizierter Systeme, die Daten an nicht autorisierte Parteien übertragen.
    2. FTP und Cloud-Speicher –Überwachung des Netzwerkverkehrs über Protokolle, die die Übertragung großer Datenmengen ermöglichen, und Warnmeldungen, wenn ungewöhnliche Mengen oder Dateitypen übertragen werden oder wenn das Ziel unbekannt oder bösartig ist.
    3. Webanwendungen –Überwachung der Nutzung organisatorischer Webanwendungen durch Außenstehende oder der internen Nutzung externer Webanwendungen, die Downloads oder Browserzugriffe auf vertrauliche Daten beinhalten kann.
    4. E-Mail-Weiterleitung –Erkennen von E-Mails, die an andere Entitäten als den angegebenen Empfänger weitergeleitet oder gesendet wurden.
    5. Laterale Bewegung –Bei der Datenexfiltration versuchen Angreifer typischerweise, auf dem Weg zu einem lukrativen Ziel ihre Berechtigungen zu erweitern oder auf andere IT-Systeme zuzugreifen. SIEMs können laterale Bewegungen erkennen, indem sie Daten aus mehreren IT-Systemen korrelieren.
    6. Mobile Datensicherheit –Ein SIEM kann Daten der mobilen Belegschaft überwachen und Anomalien erkennen, die auf einen Informationsverlust über ein mobiles Gerät hinweisen könnten.

    IoT-Sicherheit

    Viele Organisationen nutzen vernetzte Geräte zur Verwaltung kritischer Vorgänge. Beispiele hierfür sind vernetzte medizinische Geräte, Industriemaschinen und Sensoren sowie die Stromnetzinfrastruktur. Geräte Internet der Dinge (IoT) wurden nicht mit Blick auf die Sicherheit entwickelt und weisen daher häufig Schwachstellen auf. Diese Schwachstellen lassen sich nur schwer beheben, wenn die Geräte erst einmal im Einsatz sind.

    6 Möglichkeiten, wie ein SIEM zur Eindämmung von IoT-Bedrohungen beitragen kann

    1. Denial-of-Service-Angriffe (DoS) –Identifizierung ungewöhnlichen Datenverkehrs von IoT-Geräten im Besitz der Organisation, der von einem Angreifer für einen Angriff ausgenutzt werden könnte.
    2. IoT-Schwachstellenmanagement –Erkennen alter Betriebssysteme, ungepatchter Schwachstellen und unsicherer Protokolle auf IoT-Geräten.
    3. Zugriffskontrolle –Überwachen, wer auf IoT-Geräte zugreift und wo diese eine Verbindung herstellen, und Warnen, wenn Quelle oder Ziel unbekannt oder verdächtig sind.
    4. Datenflussüberwachung –Viele IoT-Geräte kommunizieren über unverschlüsselte Protokolle und können zur Übertragung sensibler Daten genutzt werden. Ein SIEM kann ungewöhnliche Datenflüsse zu und von IoT-Geräten überwachen und das Sicherheitspersonal alarmieren.
    5. Gefährdete Geräte –Identifizierung von Geräten, die aufgrund von Sicherheitslücken, Zugriff auf vertrauliche Daten oder kritische Funktionen gefährdet sind.
    6. Kompromittierte Geräte –Identifizieren von anomalem oder verdächtigem Verhalten von IoT-Geräten und Benachrichtigen des Sicherheitspersonals, dass ein Gerät oder eine Geräteflotte kompromittiert wurde.

    SIEM-Technologie der nächsten Generation und erweiterte Anwendungsfälle

    Security Information and Event Management (SIEM)-Lösungen der nächsten Generation, die Gartners Vision einer SIEM-Plattform mit integrierten fortschrittlichen Analyse- und Automatisierungstools entsprechen, können viele dieser anspruchsvollen Anwendungsfälle ermöglichen. Insbesondere die UEBA-Technologie (User Entity Verhaltensanalyse) ermöglicht die Erkennung von Insider-Bedrohungen, die Durchführung einer komplexeren Bedrohungssuche, die Verhinderung von Datenexfiltration und die Eindämmung von IoT-Bedrohungen – selbst wenn herkömmliche Sicherheitstools keine einzige Warnung auslösen.

    Die Security Intelligence Platform von Exabeam ist ein Beispiel für ein SIEM der nächsten Generation, das mit Advanced Analytics auf Basis der UEBA-Technologie integriert ist. Dadurch wird die automatische Erkennung von Insider-Bedrohungen und die Eindämmung von anomalem Verhalten ermöglicht, das mit herkömmlichen Korrelationsregeln nicht erfasst werden kann.

    Weitere SIEM-Sicherheitserklärungen

    Eine Einführung in die SIEM-Sicherheit: Entwicklung und Funktionen der nächsten Generation

    SOC und SIEM: Die Rolle von SIEM-Lösungen im SOC

    Automatisierte Reaktionen auf Sicherheitsvorfälle und Sicherheitsorchestrierung mit SOAR

    Bekämpfung von Cyberbedrohungen mit SIEM und Bedrohungsintelligenz der nächsten Generation

    5 SecOps-Funktionen und Best Practices für den SecOps-Erfolg

    SIEM vs. SOC: 4 wichtige Unterschiede und wie sie zusammenarbeiten

    Mehr über Exabeam erfahren

    Vertiefen Sie Ihr Wissen mit Webinaren, Leitfäden und Analystenberichten.

    • Der Blog

      Sechs fortgeschrittene Cloud-native SIEM-Anwendungsfälle

      Jetzt lesen
    • Der Blog

      Die perfekte Lösung finden: Hosting-Modelle für Cloud-native SIEM-Lösungen

      Jetzt lesen
    • Der Blog

      Der fehlende Speicher in Ihrer Sicherheitsarchitektur: Wie Angreifer zustandslose Systeme ausnutzen

      Jetzt lesen
    • Der Blog

      Der Umstieg: Eine Schritt-für-Schritt-Anleitung zur Migration von On-Premises zu Cloud-nativem SIEM

      Jetzt lesen
    • Mehr anzeigen