SOC und SIEM: Die Rolle von SIEM-Lösungen im SOC

Sicherheitsteams, die ein Sicherheitsbetriebszentrum aufbauen, stehen vor mehreren gemeinsamen Herausforderungen:

• Eingeschränkte Sichtbarkeit– Ein zentralisiertes SOC hat nicht immer Zugriff auf alle Organisationssysteme. Dazu können Endpunkte, verschlüsselte Daten oder von Dritten kontrollierte Systeme gehören, die Auswirkungen auf die Sicherheit haben.
• Weißes Rauschen– Ein SOC empfängt enorme Datenmengen, von denen viele für die Sicherheit unbedeutend sind. Security Information and Event Management (SIEM) und andere im SOC verwendete Tools können dieses Rauschen mithilfe von maschinellem Lernen und fortschrittlicher Analytik immer besser herausfiltern.
• Falschmeldungen und Alarmmüdigkeit– SOC-Systeme generieren eine große Anzahl von Alarmen, von denen sich viele als unechte Sicherheitsvorfälle herausstellen. Falschmeldungen können einen großen Teil der Zeit von Sicherheitsanalysten in Anspruch nehmen und es schwieriger machen, echte Alarme zu erkennen.

All diesen drei Herausforderungen begegnet man mit einer Reihe von Sicherheitstools. Die zentrale Komponente ist ein SIEM-System (Security Information and Event Management). Das SIEM ist die Grundlage für den täglichen Betrieb in modernen SOCs.

Das SOC und Security Information and Event Management (SIEM)

Die grundlegende Technologie eines SOC ist ein SIEM, das Geräte- und Anwendungsprotokolle sowie Ereignisse von Sicherheitstools aus der gesamten Organisation aggregiert. Das SIEM nutzt Korrelations- und Statistikmodelle, um Ereignisse zu identifizieren, die einen Sicherheitsvorfall darstellen könnten, das SOC-Personal darüber zu informieren und Kontextinformationen für die Untersuchung bereitzustellen. Ein SIEM fungiert als zentrale Schnittstelle, die dem SOC die Überwachung von Unternehmensystemen ermöglicht.

Durch ein SIEM unterstützte SOC-Prozesse: Wichtige Beispiele

• Malware-Untersuchung– Das SIEM kann Sicherheitsmitarbeitern helfen, Daten über im gesamten Unternehmen erkannte Malware zu kombinieren, sie mit Bedrohungsinformationen zu korrelieren und die betroffenen Systeme und Daten zu verstehen. SIEMs der nächsten Generation bieten Funktionen zur Sicherheitsorchestrierung, eine Visualisierung von Vorfallszeiten und können Malware sogar automatisch in einer Threat Intelligence-Sandbox „detonieren“.
• Phishing-Prävention und -Erkennung– Das SIEM kann anhand von Korrelationen und Verhaltensanalysen feststellen, ob ein Benutzer auf einen Phishing-Link geklickt hat, der per E-Mail oder auf anderem Wege verbreitet wurde. Bei einer Warnung können Analysten unternehmensweit und über verschiedene Zeiträume hinweg nach ähnlichen Mustern suchen, um das volle Ausmaß des Angriffs zu ermitteln.
• HR-Untersuchung– Wenn ein Mitarbeiter verdächtigt wird, direkt an einem Sicherheitsvorfall beteiligt zu sein, kann ein SIEM helfen, indem es alle Daten über die Interaktion des Mitarbeiters mit IT-Systemen über einen längeren Zeitraum hinweg erfasst. Ein SIEM kann Anomalien wie Anmeldungen an Unternehmenssystemen zu ungewöhnlichen Zeiten, die Ausweitung von Berechtigungen oder die Verschiebung großer Datenmengen aufdecken.
• Risikominderung bei ausscheidenden Mitarbeitern– Laut einer Studie von Intermedia behalten 89 % der Mitarbeiter, die ihren Arbeitsplatz verlassen, den Zugriff auf zumindest einige Unternehmenssysteme und verwenden diese Anmeldeinformationen zum Anmelden. Ein SIEM kann das Problem in einem großen Unternehmen aufzeigen und ermitteln, welche Systeme über ungenutzte Anmeldeinformationen verfügen, welche ehemaligen Mitarbeiter auf Systeme zugreifen und welche vertraulichen Daten betroffen sind.

Ein grundlegendes Incident-Response-Modell und wie SIEM hilft

Während sich SOCs im Wandel befinden und zusätzliche Rollen übernehmen, bleibt ihre Kernaktivität die Reaktion auf Vorfälle. Das SOC ist die Organisationseinheit, die Cyberangriffe auf das Unternehmen erkennen, eindämmen und abschwächen soll. Verantwortlich für die Reaktion auf Vorfälle sind Analysten der Stufen 1, 2 und 3. Die Software, auf die sie sich hauptsächlich verlassen, ist das SIEM-System (Security Information and Event Management) des SOC.

TIER 1 – Ereignisklassifizierung

Alarmgenerierung und Ticketing– Tier-1-Analysten überwachen Benutzeraktivitäten, Netzwerkereignisse und Signale von Sicherheitstools, um Ereignisse zu identifizieren, die Aufmerksamkeit verdienen.

STUFE 2 – Priorisierung und Untersuchung

Daten suchen und untersuchen– Analysten der Stufe 1 priorisieren, wählen die wichtigsten Warnungen aus und untersuchen sie weiter. Echte Sicherheitsvorfälle werden an Analysten der Stufe 2 weitergeleitet.

STUFE 3 – Eindämmung und Wiederherstellung

Kontext zu Vorfällen und Sicherheitsorchestrierung– Sobald ein Sicherheitsvorfall identifiziert wurde, beginnt das Rennen um die Erfassung weiterer Daten, die Identifizierung der Angriffsquelle, die Eindämmung des Angriffs, die Wiederherstellung der Daten und die Wiederherstellung des Systembetriebs.

STUFE 4 – Sanierung und Schadensbegrenzung

Berichterstattung und Dashboarding– SOC-Mitarbeiter arbeiten daran, umfassende Sicherheitslücken im Zusammenhang mit dem Angriff zu identifizieren und Maßnahmen zur Schadensbegrenzung zu planen, um weitere Angriffe zu verhindern.

TIER 5 – Bewertung und Audit

Compliance-Berichte– SOC-Mitarbeiter bewerten den Angriff und die Maßnahmen zur Schadensbegrenzung, sammeln zusätzliche forensische Daten, ziehen abschließende Schlussfolgerungen und Empfehlungen und schließen die Prüfung und Dokumentation ab.

Ein umfassenderer Blick auf SOC-Tools und -Technologien

Über SIEM hinaus werden im SOC noch viele weitere Tools verwendet:

• Governance-, Risiko- und Compliance-Systeme (GRC)
• Schwachstellenscanner und Penetrationstest-Tools
• Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) und Wireless Intrusion Prevention
• Firewalls und Next-Generation-Firewalls (NGFW), die als IPS fungieren können
• Log-Management-Systeme (üblicherweise als Teil des SIEM)
• Informationsfeeds und Datenbanken zu Cyberbedrohungen

Traditionelle vs. SOC-Technologie der nächsten Generation

Moderne SOCs nutzen Tools der nächsten Generation, insbesondere SIEMs der nächsten Generation, die maschinelles Lernen und erweiterte Verhaltensanalysen, Funktionen zur Bedrohungssuche und integrierte automatisierte Vorfallsreaktion bieten. Dank moderner Security Operations Center-Technologie kann das SOC-Team Bedrohungen schnell und effizient erkennen und bekämpfen.

Traditionelle Werkzeuge

• Sicherheitsinformations- und Ereignismanagement (SIEM)
• Governance-, Risiko- und Compliance-Systeme (GRC)
• Schwachstellenscanner und Penetrationstest-Tools
• Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) und Wireless Intrusion Prevention
• Firewalls, Next-Generation Firewalls (NGFW), die als IPS fungieren können, und Web Application Firewalls (WAF)
• Log-Management-Systeme (üblicherweise als Teil des SIEM)
• Informationsfeeds und Datenbanken zu Cyberbedrohungen

Werkzeuge der nächsten Generation

• SIEMs der nächsten Generation, die auf einer Big-Data-Plattform basieren und maschinelles Lernen und erweiterte Verhaltensanalysen, Bedrohungssuche, integrierte Reaktion auf Vorfälle und SOC-Automatisierung umfassen
• Tools zur Netzwerkverkehrsanalyse (NTA) und Anwendungsleistungsüberwachung (APM)
• Endpoint Detection and Response (EDR) hilft bei der Erkennung und Eindämmung verdächtiger Aktivitäten auf Hosts und Benutzergeräten
• User and Entity Behavior Analytics (UEBA), das maschinelles Lernen nutzt, um verdächtige Verhaltensmuster zu identifizieren

Motivation für den Einsatz von SOC-Tools der nächsten Generation

• SIEM der nächsten Generation– Verringert die Alarmmüdigkeit und ermöglicht es Analysten, sich auf die wirklich wichtigen Alarme zu konzentrieren. Neue Analysefunktionen, kombiniert mit einer riesigen Bandbreite an Sicherheitsdaten, ermöglichen es SIEMs der nächsten Generation, Vorfälle zu erkennen, die kein einzelnes Sicherheitstool erkennen kann.
• NTA– Einfach zu implementieren, hervorragend geeignet zum Erkennen abnormalen Netzwerkverhaltens. Nützlich, wenn das SOC Zugriff auf den zu untersuchenden Datenverkehr hat und daran interessiert ist, laterale Bewegungen von Angreifern zu untersuchen, die sich bereits innerhalb des Perimeter befinden.
• UEBA– Verwendet Techniken des maschinellen Lernens und der Datenwissenschaft, um böswillige Insider zu erkennen oder Sicherheitskontrollen zu umgehen. Erleichtert die Identifizierung von Kontokompromittierungen, egal ob durch externe Angreifer oder Insider.
• EDR– Bietet starken Schutz vor Angriffen auf Workstations oder Server und unterstützt die Verwaltung mobiler Mitarbeiter. Stellt die erforderlichen Daten für historische Untersuchungen und die Ursachenverfolgung bereit.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, ein leistungsstarkes SOC auf Basis einer SIEM-Lösung aufzubauen und gleichzeitig die üblichen Herausforderungen zu bewältigen, mit denen Sicherheitsteams konfrontiert sind:

Hochwertige Vermögenswerte separat segmentieren und überwachen
Definieren Sie eine dedizierte Überwachungsstrategie für Systeme, die sensible Daten oder kritische Infrastrukturen hosten. Verwenden Sie Ihr SIEM, um spezifische Korrelationsregeln und Verhaltensgrundlinien für diese Assets zu erstellen.

Priorisieren Sie die Auswahl der Protokollquelle basierend auf dem Risiko
Nicht alle Protokollquellen bieten den gleichen Nutzen. Beginnen Sie mit kritischen Systemen wie Identitätsmanagement-Plattformen, EDR-Lösungen und Tools zur Verwaltung privilegierter Zugriffe, da diese oft die ersten Anzeichen einer Kompromittierung aufdecken.

Leitfäden für eine einheitliche Reaktion einsetzen
Integrieren Sie SOAR Funktionen, um automatisierte Vorgehensweisen für die Reaktion auf Sicherheitsvorfälle zu erstellen. Dies gewährleistet standardisierte Maßnahmen bei häufigen Bedrohungen, wie z. B. die Isolierung kompromittierter Geräte oder die Blockierung schädlicher IP-Adressen, und verkürzt so die Reaktionszeit für Tier-3-Analysten.

Nutzen Sie Bedrohungsinformationen für den Kontext
Nutzen Sie Echtzeit-Threat-Intelligence-Feeds, um Warnmeldungen mit zusätzlichem Kontext anzureichern, beispielsweise mit bekannten schädlichen IPs oder Domänen. So können Analysten potenzielle Bedrohungen schnell validieren, ohne Zeit mit externen Recherchen zu verschwenden.

Aktivieren Sie proaktive Workflows zur Bedrohungssuche
Statten Sie Ihr SOC mithilfe der Datenexplorationsfunktionen Ihres SIEM mit Funktionen zur Bedrohungssuche aus. Analysten sollten regelmäßig Anomalien untersuchen, die sich der automatischen Erkennung entziehen, wie z. B. Datenexfiltration in geringem Umfang oder Versuche der lateralen Bewegung.

Spotlight auf 3 wichtige SOC-Tools

Über SIEM hinaus gibt es hier mehrere Tools, die für die meisten modernen Sicherheitsbetriebszentren einen wesentlichen Bestandteil des Sicherheits-Stacks darstellen.

Firewalls, Next-Generation Firewalls (NFGW) und Web Application Firewalls (WAF)

Firewalls gehören zum Standard der Cybersicherheit. Zwei neue Technologien ergänzen oder ersetzen die traditionelle Firewall:

• NGFW– Erweitert die Firewall um Intrusion Prevention und Intrusion Detection mit Deep Packet Inspection. NGFWs können Bedrohungen am Netzwerkrand mithilfe von Techniken wie URL-Filterung, Verhaltensanalyse und Geolokalisierungsfilterung blockieren. Sie nutzen einen Reverse-Proxy, um Verbindungen zu beenden und Inhalte zu prüfen, bevor diese einen Webserver erreichen.
• WAF– Eine WAF wird vor Webanwendungen eingesetzt, überprüft den Datenverkehr und identifiziert Verkehrsmuster, die auf böswillige Aktivitäten hinweisen könnten. Eine WAF kann Angriffe erkennen und gleichzeitig Fehlalarme minimieren, indem sie akzeptable URLs, Parameter und Benutzereingaben lernt und diese Daten nutzt, um von der Norm abweichenden Datenverkehr oder Eingaben zu identifizieren.

Diese Technologien werden im modernen SOC genutzt, um das Angriffsprofil von Websites und Webanwendungen zu reduzieren und qualitativ hochwertigere Daten über legitimen und bösartigen Datenverkehr zu sammeln, der auf kritische Webeigenschaften trifft.

Endpunkterkennung und -reaktion (EDR)

EDR ist eine neue Kategorie von Tools, die SOC-Teams dabei unterstützen, auf Angriffe auf Endpunkte wie Benutzerarbeitsplätze, Mobiltelefone, Server oder IoT-Geräte zu reagieren. Diese Tools basieren auf der Annahme, dass Angriffe stattfinden werden und dass das SOC-Team in der Regel nur sehr eingeschränkte Einblicke und Kontrolle über die Vorgänge auf einem Remote-Endpunkt hat. EDR-Lösungen werden auf Endpunkten eingesetzt, liefern sofortige, genaue Daten über bösartige Aktivitäten und ermöglichen SOC-Teams die Fernsteuerung der Endpunkte, um sofortige Abwehrmaßnahmen zu ergreifen.

Beispielsweise kann das SOC-Team mithilfe von EDR 50 mit Ransomware infizierte Endpunkte identifizieren, sie vom Netzwerk isolieren, die Daten löschen und ein neues Image der Maschinen erstellen. All dies kann in Sekundenschnelle erfolgen, um Angriffe zu erkennen, ihre Ausbreitung zu verhindern und die Beseitigung zu unterstützen.

SOC-Überwachungstools

Überwachung ist eine Schlüsselfunktion der im SOC eingesetzten Tools. Das SOC ist für die unternehmensweite Überwachung von IT-Systemen und Benutzerkonten sowie für die Überwachung der Sicherheitstools selbst verantwortlich – beispielsweise dafür, dass auf allen Unternehmenssystemen Antivirenprogramme installiert und aktualisiert werden. Das wichtigste Tool zur Orchestrierung der Überwachung ist das SIEM. Unternehmen nutzen zahlreiche dedizierte Überwachungstools, wie z. B. Netzwerküberwachung und Application Performance Monitoring (APM). Aus Sicherheitsgründen kann jedoch nur das SIEM mit seiner unternehmensübergreifenden Sicht auf IT- und Sicherheitsdaten eine umfassende Überwachungslösung bieten.

Mit welchen Tools sollten Sie beginnen?

Diese Phasen der Tool-Einführung wurden von Gartner vorgeschlagen.

• Greenfield-SOCs– nur SIEM
• Etabliertes SOC– Fügen Sie automatisierte Threat Intelligence Sandboxing, NTA und EDR hinzu.
• Zukunftsorientiert– Fügen Sie UEBA und eine vollständige interne Bedrohungsintelligenz Plattform hinzu – bereitgestellt als Teil der SIEMs der nächsten Generation

Wir haben gezeigt, dass SIEM eine grundlegende Technologie des SOC ist und wie SIEMs der nächsten Generation, die neue Funktionen wie Verhaltensanalysen, maschinelles Lernen und SOC-Automatisierung umfassen, Sicherheitsanalysten neue Möglichkeiten eröffnen.

Die Auswirkungen eines SIEM der nächsten Generation auf das SOC

SIEM-Lösungen der nächsten Generation können erhebliche Auswirkungen auf Ihr SOC haben:

• Reduzieren Sie die Alarmmüdigkeit– Durch Benutzer- und Entitätsverhaltensanalysen (UEBA), die über Korrelationsregeln hinausgehen, werden Fehlalarme reduziert und versteckte Bedrohungen erkannt.
• Verbessern Sie die MTTD– indem Sie Analysten dabei helfen, Vorfälle schneller zu entdecken und alle relevanten Daten zu sammeln.
• Verbesserung der MTTR– Durch die Integration mit Sicherheitssystemen und die Nutzung der Security Orchestration, Automation and Response (SOAR)-Technologie.
• Aktivieren Sie die Bedrohungssuche– indem Sie Analysten schnellen und einfachen Zugriff und eine leistungsstarke Untersuchung unbegrenzter Mengen an Sicherheitsdaten ermöglichen.

Exabeam ist ein Beispiel für ein SIEM der nächsten Generation, das Data-Lake-Technologie, Transparenz der Cloud-Infrastruktur, Verhaltensanalysen, SOAR Funktionen und ein Modul zur Bedrohungsjagd mit leistungsstarker Datenabfrage und -visualisierung kombiniert.