SIEM-Software: Grundlagen, Funktionen der nächsten Generation und Auswahl

Was ist Security Information and Event Management (SIEM)-Software?

SIEM-Software (Security Information and Event Management) bietet eine Reihe von Sicherheitsfunktionen, die über eine zentrale Plattform bereitgestellt werden. SIEM ermöglicht Unternehmen die Zentralisierung ihrer Aktivitäten Bedrohungserkennung, -untersuchung und -reaktion (TDIR) an einem zentralen Ort für die Protokollaggregation und Ereignisanzeige. SIEM ermöglicht Sicherheits- und IT-Betriebsteams den Zugriff auf dieselben Informationen und Warnmeldungen und ermöglicht so eine effektivere Planung und Kommunikation.

SIEM-Software bietet die erforderlichen Funktionen zur Überwachung von Infrastruktur und Benutzern, zur Erkennung von Anomalien und zur Benachrichtigung der relevanten Beteiligten. Eine Anomalie kann auf neu entdeckte Schwachstellen, neue Malware oder nicht genehmigten Zugriff hinweisen.

Neben Warnmeldungen bieten SIEM-Tools Live-Analysen der Sicherheitslage eines Unternehmens. Sie speichern außerdem Datensätze und Protokolle für Berichts- und Analysezwecke. Teams können historische Protokolle nutzen und mithilfe forensischer Analysefunktionen Trends erkennen. Um sicherzustellen, dass nur autorisierte Parteien auf sensible Systeme zugreifen können, lässt sich SIEM-Software in Tools für Identitäts- und Zugriffsmanagement (IAM) integrieren.

Grundlegende Funktionen der SIEM-Software

Dies sind die Kernfunktionen herkömmlicher (Legacy-)SIEM-Software:

• Protokollaggregation– Das SIEM erfasst Protokolle aus mehreren IT- und Sicherheitssystemen, führt eine Protokollaggregation durch, um eine zentrale Quelle für alle Sicherheitsdaten zu schaffen, und speichert die Protokolldaten in einem zentralen Repository. Erfahren Sie mehr in unserer ausführlichen Erklärung zur Protokollaggregation.
• Protokollnormalisierung– SIEMs verwenden Normalisierungsalgorithmen, um Protokolle und Ereignisse aus verschiedenen Quellen in ein standardisiertes Format zu konvertieren. Die Daten werden in Felder unterteilt, die die Analyse, Suche und Identifizierung gemeinsamer, für Sicherheitsuntersuchungen relevanter Merkmale ermöglichen.
• Protokollkorrelation– SIEMs nutzen statistische Analysen und Korrelationsregeln, um Anomalien und sicherheitsrelevante Ereignisse zu identifizieren. SIEMs können außerdem Daten aus Protokollen, Verzeichnissen und Sicherheitssystemen mit Threat-Intelligence-Feeds kombinieren, um die Daten anzureichern und mehr Kontext zu Angriffen und Bedrohungsakteuren bereitzustellen. Erfahren Sie mehr in unserem ausführlichen Leitfaden zu SIEM-Threat-Intelligence.
• Alarmierung– SIEMs analysieren Protokolldaten in Echtzeit und generieren handlungsrelevante Alarme, die Sicherheitsanalysten zur Untersuchung des Vorfalls und zur Reaktion nutzen können. Herkömmliche SIEMs generieren in der Regel eine große Anzahl von Alarmen, was zu Alarmmüdigkeit bei Sicherheitsteams führen kann. Dieses Problem wird durch die SIEM-Funktionen der nächsten Generation gelöst.
• Triage und Untersuchung– Ein SIEM-System unterstützt die schnelle Untersuchung von Vorfällen, indem es Analysten Zugriff auf Daten aus mehreren relevanten Quellen bietet, die in einem praktischen und durchsuchbaren Format bereitgestellt werden. Sie erfordern jedoch weiterhin eine gründliche Analyse und manuelle Korrelation der Datenquellen. SIEM-Systeme der nächsten Generation gehen noch einen Schritt weiter und erstellen automatisierte Vorfallzeitleisten (siehe folgenden Abschnitt).
• Forensik– SIEM-Systeme unterstützen eingehende forensische Untersuchungen, die erforderlich sein können, um die Ursache eines Sicherheitsvorfalls zu ermitteln, Daten für rechtliche oder polizeiliche Ermittlungen bereitzustellen oder Compliance-Zwecke zu erfüllen. Zur Unterstützung der Forensik kann SIEM Unveränderlichkeit garantieren und sicherstellen, dass die Daten nicht manipuliert wurden.
• Compliance und Auditing– Eine Kernfunktion von SIEMs ist die Erstellung von Berichten in Formaten, die von bestimmten Compliance-Standards wie DSGVO, PCI DSS, SOX und HIPAA gefordert werden. Dies ist nützlich für interne Audits und zur Einhaltung der Formatanforderungen externer Audits und Zertifizierungen.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Hier sind erweiterte Strategien zur Maximierung des Werts von SIEM-Software, einschließlich Überlegungen zu SIEM-Lösungen der nächsten Generation:

Planen Sie Skalierbarkeit mit Cloud-nativem SIEM
Für Unternehmen mit wachsenden Datenmengen oder hybriden Umgebungen bieten Cloud-native SIEMs Skalierbarkeit ohne den Aufwand einer physischen Infrastruktur. Plattformen wie Exabeam Fusion bieten zudem elastische Data Lakes für eine kostengünstige Langzeitspeicherung von Protokollen.

Fokus auf anwendungsfallorientierte Bereitstellung
Passen Sie Ihre SIEM-Implementierung an die Sicherheitsprioritäten Ihres Unternehmens an. Wenn beispielsweise Insider-Bedrohungen ein Problem darstellen, legen Sie bei der Einrichtung Wert auf User and Entity Behavioral Analytics (UEBA). In Compliance-intensiven Branchen sollten Sie auf robuste Berichtsfunktionen setzen.

Integrieren Sie Bedrohungsdaten für eine umfassendere Analyse
Verbinden Sie Ihr SIEM mit externen Threat Intelligence-Feeds. Dies verbessert die Fähigkeit, Ereignisse zu kontextualisieren und IoCs (Indicators of Compromise) zu identifizieren, was wiederum die Genauigkeit der Bedrohungserkennung verbessert.

Nutzen Sie automatisierte Vorfallzeitleisten
Entscheiden Sie sich für SIEM-Lösungen, die visuelle Zeitleisten für Vorfälle erstellen, wie beispielsweise Exabeam Fusion. Diese Zeitleisten bieten umfassende Transparenz bei Angriffen und verkürzen so den Untersuchungsaufwand für Junior-Analysten.

Implementieren Sie eine adaptive Alarmoptimierung
Überprüfen und optimieren Sie Alarmschwellenwerte kontinuierlich anhand von Fehlalarmen und neuen Bedrohungen. Nutzen Sie SIEM-Funktionen der nächsten Generation wie Alarm-Triage, um Alarme nach Schweregrad zu gruppieren und zu priorisieren. So stellen Sie sicher, dass kritische Probleme sofort behoben werden.

SIEM-Funktionen der nächsten Generation

Die folgenden Funktionen wurden von Gartner und anderen Branchenvertretern als entscheidende Fähigkeiten von SIEM-Plattformen der nächsten Generation definiert.

Cloud-Bereitstellung

SIEM-Plattformen werden zunehmend in der Cloud bereitgestellt und als Service bereitgestellt, anstatt vor Ort implementiert zu werden. Cloud-basierte SIEMs können Betriebskosten sparen und die Implementierungskomplexität reduzieren. Darüber hinaus eignen sie sich besser für eine verteilte IT-Umgebung und können physische und virtuelle Ressourcen außerhalb des traditionellen Netzwerkperimeters besser überwachen.

Cloudbasierte SIEM-Systeme sind zudem skalierbarer, da sie cloudbasierte Data Lakes mit elastischem Speicher nutzen. Herkömmliche SIEM-Systeme auf Basis lokaler Speichergeräte können die enormen Mengen an Protokolldaten, die moderne Unternehmen generieren, oft nicht verarbeiten. Cloudbasierte Data Lakes hingegen lassen sich bei Bedarf skalieren und können so jedes Datenvolumen und jede Aufbewahrungsdauer speichern.

Sammeln und verwalten Sie Daten aus allen verfügbaren Quellen

SIEMs der nächsten Generation können eine größere Vielfalt an Datenquellen verarbeiten und verfügen über integrierte Konnektoren, die die Integration vereinfachen. Zu diesen Datenquellen gehören:

• Daten aus Cloud-Diensten und Cloud-Ressourcen
• Daten von externen Geräten, wie beispielsweise Mobilgeräten
• Herkömmliche lokale Protokolldaten und Netzwerkdaten

User and Entity Behavioral Analytics

SIEM der nächsten Generation legt eine Basislinie bzw. normale Aktivität für Benutzer und Entitäten im Netzwerk fest und nutzt Verhaltensanalysen sowie Profilerstellung auf Basis von Algorithmen des maschinellen Lernens, um Anomalien zu erkennen. Dieses Verfahren, auch als UEBA bekannt, ist äußerst effektiv bei der Erkennung böswilliger Insider, kompromittierter Anmeldeinformationen und Zero-Day-Bedrohungen, die nicht mit bekannten Angriffssignaturen übereinstimmen.

Automatisierte Angriffszeitpläne

In einem herkömmlichen SIEM mussten Analysten Daten aus mehreren Quellen zusammentragen, um den zeitlichen Ablauf eines Angriffs zu verstehen. Dies war zeitaufwändig und erforderte oft spezielles Fachwissen sowie die Einbindung von Analyse- und Entwicklungsteams höherer Ebenen oder externer Berater. SIEM der nächsten Generation erledigt dies automatisch, indem es alle Elemente eines Angriffs zusammenfügt und in einer visuellen Zeitleiste darstellt. Dies beschleunigt die Vorfall-Triage und -Untersuchung und ermöglicht es Analysten der ersten Ebene, komplexere Untersuchungen durchzuführen.

Sicherheitsorchestrierung und automatisierte Reaktion (SOAR)

SIEM-Systeme der nächsten Generation überwachen nicht nur IT-Systeme und generieren Warnmeldungen, sondern helfen auch bei der Reaktion auf Vorfälle in Echtzeit. SOAR Technologie ermöglicht einem SIEM Folgendes:

• Stellen Sie eine bidirektionale Verbindung zur IT- und Sicherheitsinfrastruktur her – ziehen Sie nicht nur Daten ab, sondern senden Sie auch Anfragen für relevante Sicherheitsmaßnahmen.
• Kontrollieren Sie Sicherheitssysteme wie Identitätszugriffsverwaltung, E-Mail-Server und Firewalls direkt
• Verwenden Sie Incident Response Playbooks, um Reaktionen auf Bedrohungen zu automatisieren
• Ermöglichen Sie die Orchestrierung mehrerer Tools für Bedrohungen, die eine Koordination zwischen mehreren Systemen erfordern

Überlegungen zur Auswahl einer SIEM-Software

Bei der Auswahl einer SIEM-Lösung sollten Sie die folgenden Funktionen berücksichtigen.

Cloud- vs. On-Premise-Bereitstellung

Die meisten modernen SIEM-Lösungen sind auf ein SaaS-Modell umgestiegen, da es eine schnelle Iteration und Erweiterung von Funktionen ermöglicht. Die Cloud bietet zudem unbegrenzte Kapazitäten für die Datenspeicherung. Dadurch können Anbieter problemlos Machine-Learning-Funktionen (ML) integrieren, die enorme Mengen an Referenzdaten benötigen, um anomales Verhalten zu erkennen.

Viele Unternehmen, die ihr SIEM vor Ort betreiben, sind dazu verpflichtet, um Compliance zu erreichen und aufrechtzuerhalten. Diese Unternehmen sind verpflichtet, Protokolle und zugehörige Daten in der lokalen Infrastruktur aufzubewahren. Aus diesem Grund entscheiden sie sich für die vollständige Bereitstellung von SIEM vor Ort.

Analyse

Eine SIEM-Lösung zentralisiert Daten, um nützliche Erkenntnisse zu liefern. Das bloße Sammeln von Protokoll- und Ereignisdaten aus der Infrastruktur reicht nicht aus. Diese Informationen müssen Ihnen helfen, Probleme zu identifizieren und fundierte Entscheidungen auf der Grundlage ausgewählter Ereignisse zu treffen.

Die meisten SIEM-Programme der nächsten Generation bieten Analysefunktionen auf Basis von maschinellem Lernen, die dabei helfen, anomales Verhalten in Echtzeit zu erkennen. Darüber hinaus bietet ML ein präzises Frühwarnsystem, das menschliche Teams dazu veranlasst, potenzielle Bedrohungen, neue Anwendungen oder Netzwerkfehler genauer zu untersuchen.

Bei der Auswahl einer Lösung sollten Sie verschiedene Aspekte berücksichtigen. Entscheiden Sie zunächst, welche Systeme Sie überwachen möchten. Bewerten Sie anschließend die intern verfügbaren Fähigkeiten zum Erstellen von Dashboards und Berichten sowie zur Durchführung von Untersuchungen. Entscheiden Sie anschließend, ob Sie eine vorhandene Analyseplattform nutzen möchten. Sollten bestimmte Fähigkeiten und Funktionen intern nicht verfügbar sein, sollten Sie eine Plattform in Betracht ziehen, die diese Lücken schließt.

Kostenvoranschläge

Die meisten Cloud-SIEM-Plattformen werden auf Abonnementbasis lizenziert, die je nach Nutzung und Speicherbedarf skaliert. Berücksichtigen Sie bei der Kostenschätzung alle voraussichtlich anfallenden Gebühren, einschließlich Abonnement-, Speicher- und Nutzungsgebühren, im Detail. Idealerweise unterstützt Sie Ihr SIEM-Anbieter bei der Kapazitätsplanung im Rahmen von Proof-of-Concept-Evaluierungen. Geben Sie unbedingt Ihren Speicherbedarf für Compliance und Governance an.

Alarmkonfigurationen

Moderne SIEM-Software bietet ausgefeilte Echtzeit-Überwachungsfunktionen. Um den Nutzen eines Überwachungssystems zu nutzen, benötigen Sie ein Warnsystem, das Warnmeldungen und Benachrichtigungen an die Mitarbeiter sendet. In der Regel ermöglichen SIEM-Plattformen die Konfiguration von Warnmeldungen und Eskalationen in Form von Textnachrichten, E-Mails und Push-Benachrichtigungen an Mobilgeräte.

Um die Produktivität zu gewährleisten, muss die Anzahl der Warnmeldungen überschaubar gehalten werden. Benutzer, die zu viele Benachrichtigungen erhalten, deaktivieren oder ignorieren diese in der Regel. Zu wenige Warnmeldungen können jedoch dazu führen, dass Teams kritische Bedrohungen übersehen. Idealerweise bietet eine SIEM-Plattform flexible Warnkonfigurationsmöglichkeiten, mit denen Sie Regeln, Schwellenwerte und Warnmethoden festlegen können. Next-Gen-Angebote gehen noch einen Schritt weiter und ermöglichen Alarm-Triage und -kategorisierung, um Analysten wertvolle Zeit und Mühe zu sparen.

Compliance-Vorschriften und Auditierung

Eine SIEM-Plattform unterstützt Ihre Compliance- und Berichtsaktivitäten. SIEM-Software bietet sofort einsatzbereite Berichtsvorlagen sowie Funktionen zur individuellen Anpassung und Berichtsplanung. Im Idealfall liefert die Plattform detaillierte Berichte über alle nicht konformen Aktivitäten und Richtlinienverstöße im Netzwerk.

Sie können SIEM auch nutzen, um Ereignisdaten für Compliance-Audits zu gewinnen. Dazu gehören historische Ereignisdaten pro System und Benutzer sowie Ereignisse auf Netzwerkebene. Um Angriffe einzudämmen oder zu blockieren, benötigen Sie außerdem Informationen zur Reaktion auf Bedrohungen und zu möglichen Abwehrmaßnahmen. Idealerweise ist Ihr Fallmanagement für jedes Ereignis Teil des Toolsets, um nachträglich Ursachenanalysen und Prozessbewertungen für Compliance-Prüfungen durchzuführen.

Einführung von Exabeam Fusion

Als führendes SIEM und XDR der nächsten Generation ist Exabeam Fusion eine Cloud-basierte Lösung, die die Art und Weise verändert, wie ein Unternehmen Bedrohungserkennung, -untersuchung und -reaktion (TDIR) bereitstellt.

Dank der leistungsstarken Verhaltensanalyse in Exabeam Fusion können Analysten Bedrohungen erkennen, die von anderen Tools übersehen werden. Präskriptive Workflows und vorgefertigte Inhalte leiten die nächsten richtigen Maßnahmen für erfolgreiche SOC-Ergebnisse. Die integrierte Reaktionsautomatisierung steigert die Effizienz und Präzision der Analysten. Exabeam Fusion SIEM bietet außerdem die Cloud-basierte Protokollspeicherung, die schnelle und geführte Suche sowie das umfassende Compliance-Reporting, das von jedem modernen SIEM erwartet wird.

Mit Fusion SIEM können Sie:

• Schnelle Erkennung, Untersuchung und Reaktion auf Bedrohungen
• Sammeln, suchen und verbessern Sie Daten von überall
• Erkennen Sie Bedrohungen, die von anderen Tools übersehen werden, durch Verhaltensanalysen
• Erzielen Sie erfolgreiche Ergebnisse mit präskriptiven, bedrohungszentrierten Anwendungsfallpaketen
• Steigern Sie die Produktivität und verkürzen Sie die Reaktionszeiten durch Automatisierung
• Erfüllen Sie die Anforderungen an die Einhaltung gesetzlicher Vorschriften und die Berichterstattung über Audits und nutzen Sie die Möglichkeit, Ihre eigenen benutzerdefinierten Berichte zu erstellen