Managed SIEM: Wichtige Funktionen, Vorteile und Auswahl eines Anbieters

Was ist Managed SIEM?

Managed Security Information and Event Management (SIEM) ist ein von externen Cybersicherheitsorganisationen bereitgestellter Dienst, der die zentrale Überwachung, Analyse und Verwaltung von Sicherheitsereignissen und -vorfällen innerhalb der IT-Infrastruktur eines Kunden umfasst.

Dieser Dienst hilft dabei, potenzielle Sicherheitsbedrohungen zu identifizieren, zu erkennen und darauf zu reagieren, indem er die SIEM-Technologie nutzt und gleichzeitig deren Bereitstellung, Wartung und Verwaltung an spezialisierte Drittanbieter auslagert.

Das Hauptziel eines verwalteten SIEM-Dienstes besteht darin, die Sicherheitslage eines Unternehmens zu verbessern und gleichzeitig die Komplexität und die Kosten zu reduzieren, die mit der internen Verwaltung von Cybersicherheitslösungen verbunden sind.

Funktionen von Managed SIEM-Anbietern

Managed SIEM-Anbieter bieten eine Reihe von Funktionen zur Verbesserung der Cybersicherheit eines Unternehmens. Diese Funktionen können je nach Anbieter variieren, einige gängige Funktionen sind jedoch:

• Zentralisierte Überwachung und Verwaltung: Managed SIEM-Anbieter aggregieren Sicherheitsereignisse und Protokolle aus verschiedenen Quellen innerhalb der IT-Infrastruktur eines Unternehmens und ermöglichen so eine umfassende und zentralisierte Sicherheitsüberwachung.
• Bedrohungserkennung in Echtzeit: Durch den Einsatz fortschrittlicher Analyse- und Korrelationstechniken können Managed-SIEM-Anbieter potenzielle Sicherheitsbedrohungen in Echtzeit erkennen und Unternehmen so dabei helfen, schnell zu reagieren und die Auswirkungen eines Vorfalls zu minimieren.
• Reaktion auf Vorfälle und Behebung: Managed SIEM-Anbieter bieten häufig auch Dienste zur Reaktion auf Vorfälle an. Dazu gehören die Untersuchung von Sicherheitswarnungen, die Ermittlung der Grundursache und die Bereitstellung von Anleitungen zur Behebung oder direkte Unterstützung zur Eindämmung des Problems.
• Compliance und Reporting: Viele Anbieter bieten Tools und Support zur Erfüllung branchenspezifischer Compliance-Anforderungen wie DSGVO, HIPAA oder PCI DSS. Dies kann die Erstellung vordefinierter Berichte, benutzerdefinierter Berichte oder die Sicherstellung ordnungsgemäßer Protokollaufbewahrungsrichtlinien umfassen.
• Integration von Bedrohungsinformationen: Managed SIEM-Dienste integrieren häufig Bedrohungsinformationen aus verschiedenen Quellen, um neu auftretende Bedrohungen und Schwachstellen zu erkennen und so proaktive Abwehrmaßnahmen zu ermöglichen.
• Überwachung und Support rund um die Uhr: Managed SIEM-Anbieter bieten in der Regel Überwachung und Support rund um die Uhr an und stellen so sicher, dass Sicherheitsvorfälle unabhängig von Uhrzeit und Tag umgehend erkannt und behoben werden.
• Skalierbarkeit und Flexibilität: Managed SIEM-Lösungen sind so konzipiert, dass sie mit den Anforderungen eines Unternehmens skalieren und Wachstum und Expansion ermöglichen, ohne die Sicherheit zu beeinträchtigen.
• Kontinuierliche Updates und Wartung: Die Anbieter sind für die Wartung der SIEM-Technologie verantwortlich. Sie stellen sicher, dass sie mit den neuesten Sicherheitspatches und Funktionen auf dem neuesten Stand ist, und sorgen für die erforderlichen Infrastruktur-Upgrades.
• Benutzerdefinierte Warnungen und Benachrichtigungen: Managed SIEM-Anbieter können Warnschwellen und Benachrichtigungseinstellungen an die Risikotoleranz und die Betriebsanforderungen eines Unternehmens anpassen.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, verwaltete SIEM-Dienste besser zu nutzen, um optimale Sicherheitsergebnisse zu erzielen:

Integrieren Sie den Geschäftskontext in SIEM-Dashboards
Arbeiten Sie mit Ihrem Managed SIEM-Anbieter zusammen, um Warnmeldungen mit geschäftlichem Kontext anzureichern. Beispielsweise kann die Kennzeichnung von Assets mit Kritikalitätsbewertungen oder die Identifizierung von Anwendungen, die mit regulierten Daten verknüpft sind, dabei helfen, Reaktionen zu priorisieren.

Integrieren Sie identitätsbasiertes Monitoring für Zero Trust
Stellen Sie sicher, dass Ihr verwaltetes SIEM Benutzer- und Entitätsverhaltensanalysen (UEBA) umfasst, um Anomalien im Zusammenhang mit Anmeldeinformationsmissbrauch, lateraler Bewegung und Privilegienerweiterung zu erkennen. Diese Erkenntnisse ergänzen eine Zero-Trust-Strategie.

Definieren Sie im Voraus klare Playbooks für die Reaktion auf Vorfälle
Arbeiten Sie mit Ihrem Anbieter zusammen, um maßgeschneiderte Incident Response (IR)-Playbooks zu erstellen. Dokumentieren Sie Eskalationspfade, Kommunikationsprotokolle und Erfolgsmetriken klar und deutlich, um eine reibungslose Zusammenarbeit während eines Angriffs zu gewährleisten.

Fokus auf anwendungsfallorientierte Bereitstellung
Definieren Sie vor der Bereitstellung Sicherheitsziele wie die Erkennung von Insider-Bedrohungen, Ransomware oder Schwachstellen in der Lieferkette. Dieser anwendungsorientierte Ansatz stellt sicher, dass Ihre SIEM-Regeln und -Integrationen Ihren Prioritäten entsprechen.

Führen Sie regelmäßig Audits zur Protokollquellenoptimierung durch
Nicht alle Protokolle sind gleich. Führen Sie vierteljährliche Überprüfungen mit Ihrem Anbieter durch, um sicherzustellen, dass die Protokollquellen relevant, optimiert und auf die aktuelle Bedrohungslage abgestimmt sind. Dies vermeidet unnötige Kosten für die Datenaufnahme und verbessert die Erkennungseffizienz.

Vorteile der Verwendung von Managed SIEM

Die Nutzung verwalteter SIEM-Dienste bietet Unternehmen neben den bereitgestellten Funktionen zahlreiche weitere Vorteile. Zu diesen Vorteilen gehören unter anderem:

• Kosteneinsparungen: Durch die Auslagerung des SIEM-Managements können Unternehmen die Gesamtbetriebskosten für die erforderliche Infrastruktur, Softwarelizenzen und Wartung senken. Darüber hinaus können die Kosten für die Einstellung, Schulung und Bindung von internem Cybersicherheitspersonal minimiert werden.
• Schnellere Bereitstellung: Managed SIEM-Anbieter verfügen über das Fachwissen und die Erfahrung, um die SIEM-Lösung schnell bereitzustellen und zu konfigurieren. Dadurch verkürzt sich die Zeit, die Unternehmen benötigen, um von der verbesserten Sicherheitsüberwachung zu profitieren.
• Konzentration auf das Kerngeschäft: Durch die Auslagerung der Verwaltung von SIEM-Lösungen können Unternehmen interne Ressourcen freisetzen, um sich auf ihre Kerngeschäftsaktivitäten zu konzentrieren und gleichzeitig eine starke Sicherheitsposition aufrechtzuerhalten.
• Zugriff auf Fachkompetenz: Managed SIEM-Anbieter verfügen über engagierte Sicherheitsexperten mit Fachkenntnissen in verschiedenen Bereichen, sodass Unternehmen auf diese Fachkompetenz zurückgreifen können, ohne sie intern entwickeln zu müssen.
• Regelmäßige Sicherheitsbewertungen: Einige Managed-SIEM-Anbieter bieten regelmäßige Sicherheitsbewertungen an, die Unternehmen dabei helfen, potenzielle Schwachstellen und Bereiche zu identifizieren, in denen ihre Sicherheitslage verbessert werden kann.
• Risikominderung: Durch die Nutzung der Expertise von Managed SIEM-Anbietern und ihrer fortschrittlichen Tools können Unternehmen das Risiko erfolgreicher Cyberangriffe und Datenschutzverletzungen durch mehr Überwachungsstunden minimieren.
• Verbessertes Sicherheitsbewusstsein: Managed SIEM-Dienste können dazu beitragen, das allgemeine Sicherheitsbewusstsein eines Unternehmens zu steigern, indem sie Einblicke in aktuelle Bedrohungen und potenzielle Schwachstellen bieten und proaktive Sicherheitsmaßnahmen fördern.
• Bessere Ressourcenzuweisung: Mit verwalteten SIEM-Diensten können Unternehmen ihre internen Sicherheitsressourcen effizienter zuweisen und sich auf interne Aufgaben und Projekte mit hoher Priorität konzentrieren, während sie die Verwaltung der SIEM-Systeme den Experten überlassen.

Was ist der Unterschied zwischen Managed und Co-Managed SIEM?

Managed SIEM und Co-Managed SIEM sind zwei verschiedene Ansätze für das Outsourcing der Bereitstellung, Wartung und Verwaltung von SIEM-Systemen. Der Hauptunterschied zwischen beiden liegt in der Aufgabenteilung und der Einbindung des unternehmensinternen Sicherheitsteams.

Verwaltetes SIEM

Bei einem vollständig verwalteten SIEM-Dienst liegt die Verantwortung für die gesamte SIEM-Infrastruktur, einschließlich Überwachung, Analyse und Reaktion auf Vorfälle, beim externen Anbieter.

Der Managed SIEM-Anbieter kümmert sich um alle Aspekte des SIEM-Systems, von der Bereitstellung und Konfiguration bis hin zu Wartung und Upgrades. Das interne Sicherheitsteam des Unternehmens ist nur minimal in die tägliche Verwaltung des SIEM-Systems eingebunden und kann sich so auf andere Aufgaben und Prioritäten konzentrieren.

Gemeinsam verwaltetes SIEM

In einem gemeinsam verwalteten SIEM-Modell teilen sich das interne Sicherheitsteam des Unternehmens und der externe Anbieter die Verantwortung. Der Anbieter kümmert sich in der Regel um die Bereitstellung, Wartung und Aktualisierung der SIEM-Infrastruktur, während das Sicherheitsteam des Unternehmens an der Überwachung, Analyse und Reaktion auf Vorfälle beteiligt ist.

Dieser Ansatz ermöglicht eine stärker kollaborative Beziehung und ermöglicht es der Organisation, das Fachwissen des Anbieters zu nutzen und gleichzeitig die Kontrolle und Beteiligung an ihren Sicherheitsvorgängen zu behalten.

Wie wählt man einen Managed SIEM-Dienst aus? 7 wichtige Überlegungen

Ein verwalteter SIEM-Dienst ist eine umfassende Lösung, die Sicherheitsereignisse in der IT-Umgebung eines Unternehmens überwacht, erkennt und darauf reagiert. Berücksichtigen Sie bei der Auswahl eines verwalteten SIEM-Anbieters die folgenden Faktoren, um sicherzustellen, dass Sie die beste Lösung für die Anforderungen Ihres Unternehmens auswählen:

1. Erfahrung und Expertise: Suchen Sie nach einem Anbieter mit nachweislicher Erfolgsbilanz und Erfahrung im Management von SIEM-Lösungen für Unternehmen ähnlicher Größe, Branche und regulatorischen Anforderungen. Der Anbieter sollte über ein etabliertes Team aus erfahrenen Sicherheitsanalysten und -experten verfügen, die Sicherheitsereignisse effizient verwalten und analysieren können.
2. Technologie und Plattform: Bewerten Sie die vom Anbieter verwendete SIEM-Technologie. Sie sollte mit der bestehenden IT-Infrastruktur Ihres Unternehmens kompatibel sein und die Integration verschiedener Protokollquellen wie Firewalls, Intrusion Detection Systems, Identitätstools, Datensicherheitsoptionen und Endpoint-Security-Lösungen unterstützen.
3. Anpassung und Skalierbarkeit: Die verwaltete SIEM-Lösung sollte an die spezifischen Anforderungen Ihres Unternehmens anpassbar und skalierbar sein, um mit Ihrem Unternehmen zu wachsen. Stellen Sie sicher, dass der Anbieter die Konfiguration, Regeln und Richtlinien des SIEM-Systems an Ihre Anforderungen anpassen kann.
4. Compliance- und behördliche Anforderungen: Wenn Ihr Unternehmen branchenspezifischen Vorschriften oder Compliance-Anforderungen unterliegt (z. B. HIPAA, DSGVO, PCI DSS), stellen Sie sicher, dass der Managed-SIEM-Anbieter mit diesen Standards vertraut ist und Ihnen bei der Einhaltung helfen kann.
5. Bedrohungsinformationen: Der Managed-SIEM-Anbieter sollte Zugriff auf aktuelle Bedrohungsinformationen haben und diese in seine Überwachungs- und Analyseprozesse integrieren können. Dies trägt dazu bei, die Genauigkeit und Effektivität seiner Erkennungs- und Reaktionsfähigkeiten zu verbessern.
6. Reaktion auf Vorfälle und Behebung: Bewerten Sie die Fähigkeiten des Anbieters zur Reaktion auf Vorfälle, einschließlich seiner Prozesse zur Erkennung, Analyse und Reaktion auf Sicherheitsvorfälle. Er sollte außerdem während eines Vorfalls klare Kommunikation und Unterstützung bieten, damit sich Ihr Unternehmen schnell erholen und die Auswirkungen minimieren kann. Wenn Ihr MSSP die Reaktion auf Vorfälle nicht als Dispatch-Service anbietet, verfügt er in der Regel über Partnerschaften, die schnell eingreifen können.
7. Reporting und Transparenz: Der Managed SIEM-Anbieter sollte umfassende Reporting-Funktionen bieten, darunter Echtzeit-Dashboards, Warnmeldungen und regelmäßige Berichte, die Einblicke in die Sicherheitslage Ihres Unternehmens geben. So können Sie die Leistung Ihrer Sicherheitsmaßnahmen verfolgen und fundierte Entscheidungen über Ihre Cybersicherheitsstrategie treffen.

Managed SIEM mit Exabeam

Als leistungsstärkste und fortschrittlichste Cloud-native SIEM-Lösung der Branche bietet Exabeam New-Scale SIEM ™ eine bahnbrechende Kombination von Funktionen, darunter Sicherheitsprotokollverwaltung, einen Cloud-nativen Datensee, Verhaltensanalysen zur Basislinienbestimmung des normalen Verhaltens von Benutzern und Geräten sowie eine automatisierte Untersuchungserfahrung im gesamten TDIR-Workflow (Threat Detection and Response), um manuelle Routinen und komplexe Arbeiten zu vereinfachen.

Exabeam arbeitet mit einer Vielzahl vertrauenswürdiger Managed Security Service Provider zusammen, um Unternehmen zu unterstützen, die mit Ressourcen, Budget und internem Know-how zu kämpfen haben und die Vorteile der Zusammenarbeit mit einem externen Anbieter nutzen möchten. Dies kann eine schnellere Bereitstellung, den Zugriff auf spezialisierte Ressourcen und ein insgesamt besseres Sicherheitsbewusstsein bedeuten.

MSSPs können die Exabeam Security Operations Platform verwenden, um die Funktionen Ihrer aktuellen SIEM-Lösung zu erweitern und zu verbessern oder ein veraltetes, lokales SIEM-System zu ersetzen, das mit Phishing, Ransomware, Malware und dem zunehmenden Fokus auf kompromittierte Anmeldeinformationen nur schwer Schritt halten kann.