SIEM-Tools: Top 5 SIEM-Plattformen, Funktionen, Anwendungsfälle und Gesamtbetriebskosten

Ein Security Information and Event Management-System (SIEM) ist die Grundlage eines modernen Security Operations Center (SOC). Es sammelt Protokolle und Ereignisse von Sicherheitstools und IT-Systemen im gesamten Unternehmen, analysiert die Daten und nutzt Bedrohungsinformationen, Regeln und Analysen, um Sicherheitsvorfälle zu identifizieren.

---

Was sind Gartners Top-SIEM-Lösungen?

Im Gartner-Bericht „Magic Quadrant for SIEM 2024“ wurden fünf Lösungen für den Leader’s Quadrant ausgewählt:

1. Exabeam–Exabeam Fusion SIEM, früher bekannt als SaaS Cloud, ist als SaaS in hybrider und lokaler Co-Bereitstellung verfügbar. Die Lösung umfasst Komponenten wie Advanced Analytics, Exabeam Data Lake, Threat Hunter, Case Manager, Incident Responder, Entity Analytics, Exabeam Cloud Connector und Cloud Archive. Diese Funktionen können separat erworben werden, um bestehende SIEM-Produkte zu erweitern, oder im Paket.
2. IBM– Bietet QRadar SIEM-Lösungen sowie andere Sicherheitsoptionen wie Guardium, X-Force Bedrohungsintelligenz, Trusteer, Cloud Pak for Security, Privileged Identity Manager, Access Verification, WinCollect, QRadar Vulnerability Manager und QRadar Network Insights.
3. Microsoft– Microsoft Sentinel ist ein SaaS-SIEM-System, das über Azure bereitgestellt wird. Die Preise richten sich nach dem Datenvolumen und den Microsoft 365-Abonnements. Es integriert sich nativ in die umfassenden Sicherheitstools von Microsoft (CASB, Identitätsmanagement, Endpunktsicherheit, OT-Sicherheit, UEBA, SOAR) und bietet anpassbare, ML-basierte Bedrohungserkennung sowie eine starke Abdeckung MITRE ATT&CK-Standards. Sentinel ist ausschließlich als SaaS-Lösung verfügbar und benötigt für seinen vollen Funktionsumfang Azure-Dienste.
4. Securonix bietet SIEM der nächsten Generation, UEBA, Sicherheits-Data-Lakes, SOAR, Bedrohungsanalyse, NDR und Analyse des Nutzerverhaltens. Darüber hinaus bietet es anwendungsspezifische Funktionen, beispielsweise zum Schutz von SAP- und Gesundheitsumgebungen.
5. Splunk– Splunk SIEM bietet Produkte wie Splunk Enterprise, Enterprise Security, Splunk Cloud und Mission Control. Hochwertige SOAR und UEBA-Funktionen sind ebenfalls verfügbar, lassen sich jedoch nicht lokal mit anderen Produkten integrieren. Splunk-Produkte können als Software oder über Splunk Cloud bereitgestellt werden.

---

Hauptmerkmale moderner SIEM-Systeme

Laut Gartners Bericht „Critical Capabilities for SIEM“ müssen moderne SIEM-Systeme neben den traditionellen Funktionen für Protokollverwaltung, statistische Analyse, Warnmeldungen und Berichterstellung zusätzliche Technologien integrieren. Neue SIEM-Systeme müssen Folgendes umfassen:

User Event Verhaltensanalyse (UEBA)– Technologie, die das Standardverhalten von Benutzern, Endpunkten und Netzwerkgeräten modelliert, eine Basislinie erstellt und mithilfe fortschrittlicher Analyse- und maschineller Lerntechniken Anomalien intelligent identifiziert.

Security Orchestration, Automation and Response (SOAR)– Eine Technologie, die Sicherheitsdaten sammelt, Vorfälle priorisiert und die Reaktion auf Vorfälle in einem digitalen Workflow-Format kodiert, wodurch die Automatisierung einiger oder aller Phasen der Reaktion auf Vorfälle ermöglicht wird.

Zu den wichtigsten Funktionen moderner SIEMs gehören:

• Bedrohungsintelligenz– Kombiniert interne Daten mit Threat Intelligence-Feeds von Drittanbietern zu Bedrohungen und Schwachstellen.
• Datenaggregation– Sammelt und aggregiert Daten von Sicherheitssystemen und Netzwerkgeräten.
• Suche, Datenexploration und Berichterstellung– Durchsuchen Sie riesige Mengen an Sicherheitsdaten, ohne Rohdaten zu überprüfen und ohne Fachkenntnisse in Datenwissenschaft, erkunden Sie Daten aktiv, um Muster zu erkennen und nach Bedrohungen zu suchen, und erstellen und planen Sie Berichte zu wichtigen Datenpunkten.
• Advanced Analytics– Verwendet statistische Modelle und maschinelles Lernen, um Anomalien zu identifizieren und erweiterte Bedrohungen zu erkennen, unbekannte Bedrohungen zu erkennen, laterale Bewegungen innerhalb eines Netzwerks zu erkennen und den Kontext von Sicherheitswarnungen zu erweitern, um die Untersuchung und Erkennung schwer fassbarer Bedrohungen zu erleichtern.
• Dashboards– Erstellt Visualisierungen, damit Mitarbeiter Ereignisdaten überprüfen und Muster und Anomalien erkennen können.
• Korrelation, Sicherheitsüberwachung und Warnmeldungen– Verknüpft Ereignisse und zugehörige Daten mit Sicherheitsvorfällen, Bedrohungen oder forensischen Erkenntnissen, analysiert Ereignisse und sendet Warnmeldungen, um das Sicherheitspersonal über unmittelbare Probleme zu informieren.
• Forensische Analyse– Ermöglicht die Untersuchung von Protokoll- und Ereignisdaten, um Details eines Sicherheitsvorfalls zu ermitteln, mit automatischem Anhängen zusätzlicher Beweise, die in einer Situationszeitleiste organisiert sind.
• Aufbewahrung– Speichert historische Daten langfristig, nützlich für Compliance- und forensische Untersuchungen. Integrierte Data-Lake-Technologie ermöglicht unbegrenzte, kostengünstige Langzeitspeicherung.
• Compliance– Sammelt Protokolldaten für Standards wie HIPAA, PCI/DSS, HITECH, SOX und DSGVO und erstellt Compliance-Berichte. Hilft bei der Einhaltung von Compliance- und Sicherheitsvorschriften, beispielsweise durch Warnmeldungen zu Sicherheitsbedingungen für geschützte Daten.
• Bedrohungssuche– Ermöglicht Sicherheitsmitarbeitern, Protokoll- und Ereignisdaten abzufragen und Daten frei zu untersuchen, um Bedrohungen proaktiv aufzudecken. Sobald eine Bedrohung erkannt wird, werden automatisch relevante Beweise zur Untersuchung herangezogen.
• Bedrohungsintelligenz– Kombiniert interne Daten mit Threat Intelligence-Feeds von Drittanbietern zu Bedrohungen und Schwachstellen.
• Datenaggregation– Sammelt und aggregiert Daten von Sicherheitssystemen und Netzwerkgeräten.
• Suche, Datenexploration und Berichterstellung– Durchsuchen Sie riesige Mengen an Sicherheitsdaten, ohne Rohdaten zu überprüfen und ohne Fachkenntnisse in Datenwissenschaft, erkunden Sie Daten aktiv, um Muster zu erkennen und nach Bedrohungen zu suchen, und erstellen und planen Sie Berichte zu wichtigen Datenpunkten.
• Advanced Analytics– Verwendet statistische Modelle und maschinelles Lernen, um Anomalien zu identifizieren und erweiterte Bedrohungen zu erkennen, unbekannte Bedrohungen zu erkennen, laterale Bewegungen innerhalb eines Netzwerks zu erkennen und den Kontext von Sicherheitswarnungen zu erweitern, um die Untersuchung und Erkennung schwer fassbarer Bedrohungen zu erleichtern.
• Dashboards– Erstellt Visualisierungen, damit Mitarbeiter Ereignisdaten überprüfen und Muster und Anomalien erkennen können.
• Korrelation, Sicherheitsüberwachung und Warnmeldungen– Verknüpft Ereignisse und zugehörige Daten mit Sicherheitsvorfällen, Bedrohungen oder forensischen Erkenntnissen, analysiert Ereignisse und sendet Warnmeldungen, um das Sicherheitspersonal über unmittelbare Probleme zu informieren.
• Forensische Analyse– Ermöglicht die Untersuchung von Protokoll- und Ereignisdaten, um Details eines Sicherheitsvorfalls zu ermitteln, mit automatischem Anhängen zusätzlicher Beweise, die in einer Situationszeitleiste organisiert sind.
• Aufbewahrung– Speichert historische Daten langfristig, nützlich für Compliance- und forensische Untersuchungen. Integrierte Data-Lake-Technologie ermöglicht unbegrenzte, kostengünstige Langzeitspeicherung.
• Compliance– Sammelt Protokolldaten für Standards wie HIPAA, PCI/DSS, HITECH, SOX und DSGVO und erstellt Compliance-Berichte. Hilft bei der Einhaltung von Compliance- und Sicherheitsvorschriften, beispielsweise durch Warnmeldungen zu Sicherheitsbedingungen für geschützte Daten.
• Bedrohungssuche– Ermöglicht Sicherheitsmitarbeitern, Protokoll- und Ereignisdaten abzufragen und Daten frei zu untersuchen, um Bedrohungen proaktiv aufzudecken. Sobald eine Bedrohung erkannt wird, werden automatisch relevante Beweise zur Untersuchung herangezogen.
• Unterstützung bei der Reaktion auf Vorfälle– Hilft Sicherheitsteams, Sicherheitsvorfälle automatisch zu erkennen und darauf zu reagieren, indem alle relevanten Daten schnell erfasst und Entscheidungshilfen bereitgestellt werden.
• SOC-Automatisierung– Reagiert automatisch auf Vorfälle durch die Automatisierung und Orchestrierung von Sicherheitssystemen, bekannt als Security Orchestration and Response (SOAR).

---

SOC-Probleme und erforderliche SIEM-Funktionen

SIEMs sind seit über zwei Jahrzehnten eine grundlegende Infrastruktur des Security Operations Center (SOC). SOC-Analysten stehen jedoch vor einigen Problemen, die herkömmliche SIEMs nicht lösen können. Im Folgenden zeigen wir, wie SIEM-Technologie der nächsten Generation diese Probleme lösen kann.

Probleme im Sicherheitsoperationszentrum	Wie ein SIEM der nächsten Generation helfen kann
Alarmmüdigkeit – zu viele Alarme zu überprüfen und Vorfälle zu untersuchen	SIEMs der nächsten Generation generieren weniger Warnmeldungen, die von Sicherheitsanalysten überprüft werden müssen [erklären Sie, wie dies durch Verhaltensprofile erleichtert wird] Sie können Vorfälle auch nach Risikogründen, Vorfalltyp und Priorität kategorisieren, sodass Analysten diese nach Risikobewertungen und geschäftlichen Auswirkungen filtern und priorisieren können.
Ermüdung der Analysten aufgrund alltäglicher Aufgaben	SIEMs der nächsten Generation ermöglichen Sicherheitsautomatisierung über Playbooks. Sie lassen sich in IT-Systeme und Sicherheitstools integrieren, um Vorfällen automatisch mehr Beweise beizufügen und Ermittlern dabei zu helfen, Vorfälle schnell abzuschließen.
Die Untersuchung von Vorfällen dauert zu lange	SIEMs der nächsten Generation erstellen eine Zeitleiste, die alle Beweise zu einem bestimmten Vorfall über mehrere Benutzer und Organisationssysteme hinweg zusammenführt. So können Analysten den gesamten Umfang eines Vorfalls und seine potenziellen Risiken auf einer zentralen Anzeigefläche erfassen.
Mangel an qualifizierten Analysten – neue Mitarbeiter müssen schnell geschult und eingearbeitet werden	SIEMs der nächsten Generation sind einfacher zu bedienen und liefern leicht zu interpretierende Vorfälle, die mit zusätzlichen Informationen gebündelt sind. Sie ermöglichen außerdem die einfache Abfrage und Analyse von Sicherheitsdaten, ohne dass Analysten SQL-Experten oder Datenwissenschaftler sein müssen. So können selbst Junior-Analysten Risiken bewerten, Vorfälle priorisieren und bestätigte Vorfälle an einen Analysten der nächsten Ebene weiterleiten.

---

Anwendungsfälle und erforderliche SIEM-Funktionen

SIEM-Technologie kann in verschiedenen Anwendungsfällen eingesetzt werden. Jeder Anwendungsfall nutzt unterschiedliche SIEM-Funktionen. Die folgende Tabelle hilft Ihnen zu verstehen, ob ein SIEM-Tool für die Anwendungsfälle Ihres Unternehmens geeignet ist.

Benutzerüberwachung

Bedrohungserkennung

Sicherheitsanalyse

Vorfallmanagement

Compliance- und Sicherheitsberichte

---

Bewertung der SIEM-Gesamtbetriebskosten

Die Beschaffung eines SIEM ist mit verschiedenen Kosten verbunden, von denen einige Investitionsausgaben und andere Betriebsausgaben sind.

Ein SIEM-Kostenmodell

Hardwarekosten und -dimensionierung

Unternehmen, die SIEM vor Ort einsetzen, müssen Hardware für den SIEM-Betrieb bereitstellen. Um den Hardwarebedarf zu ermitteln, sollten Sie zunächst die Anzahl der Ereignisse schätzen, die das SIEM verarbeiten muss.

Die Anzahl und Art der benötigten Server wird durch das Ereignisvolumen sowie das Speicherformat, Ihre Entscheidung, ob Daten lokal oder in der Cloud gespeichert werden sollen, das Verhältnis der Protokollkomprimierung, die Verschlüsselungsanforderungen und die Menge der kurzfristigen Daten im Vergleich zur langfristigen Datenaufbewahrung bestimmt.

Speicherkosten und -größe

Dieselbe Berechnung der Ereignisse pro Tag kann verwendet werden, um den Speicherbedarf des SIEM zu bestimmen. Die Speicherkosten hängen von Ihrem SIEM-Bereitstellungsmodell ab:

Anzahl der internen Analysten

Ein SIEM ist ohne Sicherheitsanalysten, die Warnmeldungen empfangen und darauf reagieren können, wertlos. Sicherheit. Analysten werden benötigt, um:

• Überprüfen Sie Warnmeldungen und entscheiden Sie, welche tatsächliche Sicherheitsvorfälle sind
• Untersuchen Sie Vorfälle, indem Sie relevante Informationen zusammentragen und diese an einen Analysten höherer Ebene weiterleiten, der entsprechende Maßnahmen ergreift.

Analysten müssen qualifiziert und geschult sein und vorzugsweise über eine entsprechende Sicherheitszertifizierung verfügen.

• Wenn Sie einen Managed Security Service Provider (MSSP) nutzen, werden die Analysten vom Dienstanbieter ausgelagert oder die Arbeit wird zwischen internen Mitarbeitern und externen Lieferanten aufgeteilt.
• Wenn Sie ein SIEM mit KI- oder Machine-Learning-Funktionen verwenden, ist die Intelligenz des Tools kein Ersatz für menschliche Analysten. Sie werden zwar weiterhin Analysten benötigen, aber eine effektive KI-Verarbeitung von Sicherheitsdaten kann Fehlalarme erheblich reduzieren, Sicherheitsanalysten helfen, schneller an die benötigten Daten zu gelangen und so den Arbeitsaufwand der Analysten deutlich reduzieren.

Compliance- und Sicherheitsaspekte

Berücksichtigen Sie beim Kauf eines SIEM, welche Standards oder Vorschriften Ihr Unternehmen als Ganzes (abteilungsübergreifend) einhalten muss, da es sich bei SIEM um eine unternehmensübergreifende Infrastruktur handelt.

Wichtig zu beachten:

• Überprüfen Sie den Standard und legen Sie Abschnitte fest, die möglicherweise mit SIEM-Funktionen in Zusammenhang stehen, beispielsweise Protokollierung und Berichterstellung bei fehlgeschlagenen Anmeldeversuchen.
• Stellen Sie sicher, dass Ihre SIEM-Bereitstellung und -Anpassung die Erfüllung dieser Anforderungen problemlos ermöglicht.
• Prüfen Sie, welche Compliance- und Audit-Berichte Sie einreichen müssen, die das SIEM automatisch generieren kann – und ob Ihre SIEM-Lösung Ihrer Wahl diese generieren kann.
• Welche Compliance-Anforderungen gelten für das SIEM selbst, z. B. welche Daten dürfen gemäß DSGVO gespeichert werden?
• Wie wird das SIEM gesichert? Das ist je nach Bereitstellungsmodell unterschiedlich – vor Ort, in der Cloud, bei MSSP.

---

Open Source SIEM und Selbstbau vs. Kauf

Für die Beschaffung einer SIEM-Plattform gibt es drei Hauptoptionen. Im Folgenden sind einige ihrer Vor- und Nachteile aufgeführt.

Aufbau eines Open Source SIEM

Open-Source-Tools wie OSSIM, OSSEC und Apache Metron bieten zahlreiche SIEM-Funktionen, darunter Ereigniserfassung, -verarbeitung, -korrelation und -alarmierung. Einige Open-Source-Lösungen bieten auch Intrusion Detection System (IDS)-Funktionen.

Nutzung eines kommerziellen SIEM-Tools

Traditionelle SIEM-Tools von Anbietern wie HPE, IBM und McAfee (jetzt Intel Security) waren die übliche Wahl großer Organisationen, die ein SOC aufbauten, um Sicherheitsaktivitäten und die Reaktion auf Vorfälle zu zentralisieren.

In den letzten Jahren sind neue, schlanke SIEM-Lösungen entstanden, die leistungsstark, kostengünstiger und deutlich schneller zu implementieren sind. Drei dieser Lösungen wurden im Gartner SIEM Magic Quadrant 2018 vorgestellt: Exabeam, Rapid7 und Securonix.

Interner Aufbau einer SIEM-Plattform

Der ELK-Stack – ElasticSearch, Logstash und Kibana – ist ein hervorragender Ausgangspunkt für den Aufbau Ihrer eigenen SIEM-Lösung. Tatsächlich basieren die meisten neuen Anbieter auf dem SIEM-Markt auf diesem Stack. Er eignet sich für sehr große Unternehmen, die maßgeschneiderte Funktionen benötigen und diese mit bereits getätigten Investitionen in Bedrohungsinformationen, Überwachung oder Analyse integrieren möchten.

Inhouse vs. Managed SIEM

SIEMs, die von Managed Security Service Providern (MSSPs) bereitgestellt und verwaltet werden, erfreuen sich wachsender Beliebtheit. Managed SIEMs ermöglichen kleineren Unternehmen, die nicht über ausreichend Vollzeit-Sicherheitspersonal verfügen, den Einstieg in das SIEM-Geschäft. Es gibt vier gängige SIEM-Hosting-Modelle:

• Selbst gehostet, selbst verwaltet– Ein SIEM wird gekauft oder erstellt, dann in einem lokalen Rechenzentrum gehostet und von dediziertem Sicherheitspersonal betrieben.
• Selbst gehostet, hybrid verwaltet– Ein SIEM wird intern bereitgestellt, in der Regel eine Altinvestition, und gemeinsam von lokalem Sicherheitspersonal und MSSP-Experten betrieben.
• Selbst gehostet, hybrid verwaltet– Ein SIEM wird intern bereitgestellt, in der Regel eine Altinvestition, und gemeinsam von lokalem Sicherheitspersonal und MSSP-Experten betrieben.
• SIEM als Service– Das SIEM läuft in der Cloud, einschließlich der Datenspeicherung, wobei lokales Sicherheitspersonal die Sicherheitsprozesse unter Nutzung der SIEM-Daten verwaltet.

---

Exabeam Fusion SIEM– mit unbegrenztem Speicher, Advanced Analytics und automatisierter Reaktion auf Vorfälle

Exabeam Fusine SIEM ist ein modernes SIEM, das End-to-End-Datenerfassung, -analyse, -überwachung, Bedrohungserkennung und automatisierte Reaktion auf einer einzigen Plattform vereint.

Exabeam Fusion SIEM Funktionen

Exabeam Fusion SIEM ist eine moderne SIEM-Plattform, die alle im Gartner-Modell definierten SIEM-Funktionen der nächsten Generation bietet:

• Zentralisierter, hochgradig skalierbarer Datenspeicher– Umfassende Transparenz über Ihr gesamtes Ökosystem, sodass kein Ereignis oder keine Aktivität übersehen wird.
• Geführte Suche und erweiterte Ergebnisse– Suchfelder werden während der Eingabe automatisch ausgefüllt und die erweiterte Ansicht hebt wichtige Informationen zur schnellen Überprüfung hervor.
• Schnelle Suche– Durch die vollständige Indizierung beim Einlesen der Protokolle liefern Abfragen schneller Ergebnisse. Die Produktivität und Effizienz der Analysten wird deutlich gesteigert, da sie nicht auf Informationen warten müssen, die auf eine potenzielle Datenpanne oder einen Angriff hinweisen.
• Audit- und Compliance-Berichte– Hunderte sofort einsatzbereite Compliance-Berichte und Dashboards machen unhandliche Tabellenkalkulationen überflüssig, wenn die Prüfer vorbeikommen.
• Flexible Integration– Vorgefertigte Konnektoren integrieren über 500 gängige Sicherheits- und IT-Tools zur Erkennung, Untersuchung und Reaktion auf Bedrohungen.
• Verhaltensbasierte Erkennung– Marktführende Verhaltensanalysen (UEBA) erkennen fortgeschrittene Bedrohungen wie auf Anmeldeinformationen basierende Angriffe, Insider-Bedrohungen und Ransomware, die von anderen Tools übersehen werden.
• Präskriptive, bedrohungszentrierte Anwendungsfälle– Präskriptive End-to-End-Workflows und Sicherheitsinhalte ermöglichen es SOCs, schnell Wert zu schöpfen und erfolgreiche TDIR-Ergebnisse zu erzielen.
• Automatisierte Untersuchung– Maschinell erstellte Smart Timelines sammeln automatisch Beweise und fügen sie zu zusammenhängenden Vorfallzeitleisten zusammen, die die Produktivität steigern und sicherstellen, dass nichts durch die Maschen fällt.
• Reaktion und Behebung– Geführte Checklisten und automatisierte Reaktionsmaßnahmen und Playbooks verkürzen die Reaktionszeiten und ermöglichen konsistente, wiederholbare Arbeitsabläufe.
• Cloudbasierte Bereitstellung– Durch die Cloud-basierte Bereitstellung entfällt der Betriebsaufwand für die Implementierung und Wartung eines weiteren Sicherheitsprogramms, sodass sich Ihre Analysten auf die Sicherheit konzentrieren können.

Behebung von SOC-Problemen

Die Funktionen der nächsten Generation Exabeam Fusion SIEM können dazu beitragen, die häufigsten Schwachstellen im modernen SOC zu beheben:

• Alarmmüdigkeit– Fusion SIEM reduziert die Alarmmüdigkeit durch den Einsatz der UEBA-Technologie. Es konzentriert Analysten auf Alarme, die Anomalien darstellen, im Vergleich zu Verhaltensbasislinien von Benutzern und Netzwerkeinheiten und hilft bei der Priorisierung von Vorfällen basierend auf dem organisatorischen Kontext.
• Ermüdung der Analysten aufgrund alltäglicher Aufgaben–Exabeam lässt sich in Sicherheitstools integrieren und führt automatisierte Sicherheits-Playbooks aus, wenn bestimmte Arten von Sicherheitsvorfällen auftreten.
• Die Untersuchung von Vorfällen dauert zu lange–Exabeam erfasst automatisch alle für einen Sicherheitsvorfall relevanten Beweise und stellt sie in einer Vorfallzeitleiste dar. Dies ermöglicht einen sofortigen Überblick über den Vorfall, über mehrere IT-Systeme, Benutzer und Anmeldeinformationen hinweg.
• Mangel an qualifizierten Analysten–Exabeam priorisiert Vorfälle automatisch anhand von Verhaltensanalysen und ermöglicht es Benutzern, komplexe Abfragen zu Sicherheitsdaten mithilfe einer einfachen Drag-and-Drop-Oberfläche zu erstellen, ohne dass Data-Science- oder SQL-Kenntnisse erforderlich sind. So können selbst Junior-Analysten wichtige Vorfälle identifizieren und gründliche Untersuchungen durchführen.

Exabeam SIEM Gesamtbetriebskosten