SIEM-Architektur: Technologie, Prozesse und Daten

In diesem SIEM-Erklärer erläutern wir, wie SIEM-Systeme aufgebaut sind, wie sie von Rohereignisdaten zu Sicherheitserkenntnissen gelangen und wie sie Ereignisdaten in großem Umfang verwalten. Wir behandeln sowohl traditionelle SIEM-Plattformen als auch moderne SIEM-Architekturen auf Basis der Data-Lake-Technologie.

Plattformen für Security Information and Event Management (SIEM) erfassen Protokoll- und Ereignisdaten von Sicherheitssystemen, Netzwerken und Computern und wandeln sie in verwertbare Sicherheitserkenntnisse um. SIEM-Technologie kann Unternehmen dabei helfen, Bedrohungen zu erkennen, die einzelne Sicherheitssysteme nicht erkennen können, vergangene Sicherheitsvorfälle zu untersuchen, auf Vorfälle zu reagieren und Berichte für Regulierungs- und Compliance-Zwecke zu erstellen.

---

12 Komponenten und Funktionen einer SIEM-Architektur

---

SIEM-Protokollierungsprozess

Ein SIEM-Server ist im Grunde eine Protokollverwaltungsplattform. Die Protokollverwaltung umfasst das Sammeln und Verwalten von Daten zur Analyse sowie die Speicherung historischer Daten.

Datenerfassung

SIEMs erfassen Protokolle und Ereignisse aus Hunderten von Organisationssystemen (eine unvollständige Liste finden Sie unten unter „Protokollquellen“). Jedes Gerät generiert bei jedem Ereignis ein Ereignis und sammelt die Ereignisse in einer einfachen Protokolldatei oder Datenbank. Das SIEM kann Daten auf vier Arten erfassen:

1. Über einen auf dem Gerät installierten Agenten (die gängigste Methode)
2. Durch direkte Verbindung mit dem Gerät über ein Netzwerkprotokoll oder einen API-Aufruf
3. Durch den Zugriff auf Protokolldateien direkt aus dem Speicher, normalerweise im Syslog-Format
4. Über ein Event-Streaming-Protokoll wie SNMP, Netflow oder IPFIX

Die Aufgabe des SIEM besteht darin, Daten von den Geräten zu sammeln, zu standardisieren und in einem Format zu speichern, das eine Analyse ermöglicht.

SIEMs der nächsten Generation sind bereits in gängige Cloud-Systeme und Datenquellen integriert, sodass Sie Protokolldaten direkt abrufen können. Viele verwaltete Cloud-Dienste und SaaS-Anwendungen erlauben die Installation herkömmlicher SIEM-Collectors nicht. Daher ist die direkte Integration zwischen SIEM und Cloud-Systemen für die Transparenz entscheidend.

Datenmanagement

SIEMs können, insbesondere in großen Organisationen, enorme Datenmengen speichern. Die Daten müssen:

• Gespeichert– Entweder vor Ort, in der Cloud oder beides
• Optimiert und indiziert– Für eine effiziente Analyse und Exploration
• Gestuft– Heiße Daten, die für die Live-Sicherheitsüberwachung erforderlich sind, sollten auf Hochleistungsspeichern gespeichert werden, während kalte Daten, die Sie möglicherweise eines Tages untersuchen möchten, auf kostengünstige Speichermedien mit hohem Volumen verlagert werden sollten.

SIEM der nächsten Generation– SIEMs der nächsten Generation basieren zunehmend auf moderner Data-Lake-Technologie wie Amazon S3, Hadoop oder ElasticSearch und ermöglichen praktisch unbegrenzte Datenspeicherung zu geringen Kosten.

Protokollaufbewahrung

Branchenstandards wie PCI DSS, HIPAA und SOX schreiben eine Aufbewahrungsdauer von Protokollen zwischen einem und sieben Jahren vor. Große Unternehmen erstellen täglich eine große Menge an Protokollen aus ihren IT-Systemen (siehe SIEM-Dimensionierung weiter unten). SIEMs müssen sorgfältig entscheiden, welche Protokolle sie aus Compliance- und forensischen Gründen aufbewahren. SIEMs nutzen die folgenden Strategien, um das Protokollvolumen zu reduzieren:

• Syslog-Server– Syslog ist ein Standard zur Normalisierung von Protokollen, bei dem nur die wichtigsten Informationen in einem standardisierten Format gespeichert werden. Mit Syslog können Sie Protokolle komprimieren und große Mengen historischer Daten speichern.
• Löschpläne– SIEMs löschen automatisch alte Protokolle, die für die Compliance nicht mehr benötigt werden. Durch den direkten Zugriff auf Protokolldateien aus dem Speicher, normalerweise im Syslog-Format.
• Protokollfilterung– Nicht alle Protokolle werden für die Compliance-Anforderungen Ihres Unternehmens oder für forensische Zwecke benötigt. Protokolle können nach Quellsystem, Uhrzeit oder anderen vom SIEM-Administrator definierten Regeln gefiltert werden.
• Zusammenfassung– Protokolldaten können zusammengefasst werden, um nur wichtige Datenelemente wie die Anzahl der Ereignisse, eindeutige IPs usw. beizubehalten.

SIEM der nächsten Generation– Historische Protokolle sind nicht nur für Compliance und Forensik nützlich. Sie können auch für tiefgreifende Verhaltensanalysen verwendet werden. SIEMs der nächsten Generation bieten UEBA-Technologie (User and Entity Behavior Analytics). Diese nutzt maschinelles Lernen und Verhaltensprofile, um Anomalien oder Trends intelligent zu erkennen, selbst wenn diese in den Regeln oder statistischen Korrelationen traditioneller SIEMs nicht erfasst wurden.

SIEMs der nächsten Generation nutzen kostengünstigen verteilten Speicher und ermöglichen es Unternehmen, vollständige Quelldaten zu speichern. Dies ermöglicht eine tiefgreifende Verhaltensanalyse historischer Daten, um ein breiteres Spektrum an Anomalien und Sicherheitsproblemen zu erkennen.

---

Der Protokollfluss

Ein SIEM erfasst 100 Prozent der Protokolldaten Ihres gesamten Unternehmens. Doch dann fließen die Daten durch den Protokolltrichter, und Hunderte Millionen Protokolleinträge können auf eine Handvoll verwertbarer Sicherheitswarnungen reduziert werden.

SIEMs filtern Störungen in Protokollen heraus, um nur relevante Daten zu behalten. Anschließend indizieren und optimieren sie die relevanten Daten, um eine Analyse zu ermöglichen. Schließlich werden etwa 1 % der Daten, die für Ihre Sicherheitslage am relevantesten sind, korreliert und eingehender analysiert. Diejenigen dieser Korrelationen, die die Sicherheitsschwellenwerte überschreiten, werden zu Sicherheitswarnungen.

---

SIEM-Integrationen

SIEM-Plattformen lassen sich in eine Vielzahl von Sicherheits- und Unternehmensdatenquellen integrieren und können diese auf ihre Sicherheitsrelevanz analysieren. Hier sind nur einige Beispiele für Datenquellen.

Selbst gehostet, selbst verwaltet

Dies ist das traditionelle SIEM-Bereitstellungsmodell: Hosten Sie das SIEM in Ihrem Rechenzentrum, häufig mit einer dedizierten SIEM-Appliance, warten Sie die Speichersysteme und verwalten Sie es mit geschultem Sicherheitspersonal. Dieses Modell machte SIEM zu einer notorisch komplexen und teuren Infrastruktur.

Cloud SIEM, selbstverwaltet

MSSP-Handles: Empfangen von Ereignissen aus Organisationssystemen, Erfassung und Aggregation.

Sie kümmern sich um: Korrelation, Analyse, Alarmierung und Dashboards, Sicherheitsprozesse unter Nutzung von SIEM-Daten.

Selbst gehostet, hybrid verwaltet

Sie kümmern sich um: den Kauf von Software- und Hardware-Infrastruktur.

MSSP zusammen mit Ihrem Sicherheitspersonal: Stellt SIEM-Ereigniserfassung/-aggregation, Korrelation, Analyse, Alarmierung und Dashboards bereit.

SIEM als Service

MSSP-Handles: Ereigniserfassung, -aggregation, -korrelation, -analyse, -alarmierung und Dashboards.

Sie kümmern sich um: Sicherheitsprozesse, die SIEM-Daten nutzen.

Welches Hosting-Modell ist das richtige für Sie?

Die folgenden Überlegungen können Ihnen bei der Auswahl eines SIEM-Bereitstellungsmodells helfen:

• Verfügen Sie bereits über eine SIEM-Infrastruktur? Wenn Sie die Hardware und Software bereits erworben haben, entscheiden Sie sich für selbst gehostete und selbstverwaltete Lösungen oder nutzen Sie die Expertise eines MSSP, um das SIEM gemeinsam mit Ihrem lokalen Team zu verwalten.
• Können Sie Daten außerhalb Ihres Unternehmensstandorts verschieben? In diesem Fall kann ein Cloud-gehostetes oder vollständig verwaltetes Modell Kosten und Verwaltungsaufwand reduzieren.
• Verfügen Sie über Sicherheitspersonal mit SIEM-Expertise? Der menschliche Faktor ist entscheidend, um den wahren Nutzen eines SIEM-Systems zu erzielen. Wenn Sie kein geschultes Sicherheitspersonal haben, mieten Sie die Analysedienste über ein hybrid verwaltetes oder SIEM-as-a-Service-Modell.

---

SIEM-Dimensionierung: Geschwindigkeit, Volumen und Hardwareanforderungen

Die meisten SIEMs werden heute vor Ort eingesetzt. Daher müssen Unternehmen die Größe der generierten Protokoll- und Ereignisdaten sowie die für deren Verwaltung erforderlichen Systemressourcen sorgfältig prüfen.

Geschwindigkeitsberechnung: Ereignisse pro Sekunde (EPS)

Ein gängiges Maß für die Geschwindigkeit sind Ereignisse pro Sekunde (EPS), definiert als: Anzahl der Sicherheitsereignisse geteilt durch den Zeitraum in Sekunden = EPS

EPS kann zwischen normalen Zeiten und Spitzenzeiten variieren. Beispielsweise generiert ein Cisco-Router durchschnittlich 0,6 Ereignisse pro Sekunde, in Spitzenzeiten, beispielsweise während eines Angriffs, können jedoch bis zu 154 EPS generiert werden.

Laut dem SIEM Benchmarking Guide des SANS Institute sollten Unternehmen ein Gleichgewicht zwischen normalen und Spitzen-EPS-Messungen finden. Es ist weder praktikabel noch notwendig, ein SIEM zu entwickeln, das Spitzen-EPS für alle Netzwerkgeräte abdeckt, da es unwahrscheinlich ist, dass alle Geräte gleichzeitig ihre Spitzenwerte erreichen. Andererseits müssen Sie für Krisensituationen planen, in denen das SIEM am dringendsten benötigt wird.

---

Ein einfaches Modell zur EPS-Prognose während Normal- und Spitzenzeiten

1. Messen Sie den normalen EPS und den Spitzen-EPS, indem Sie sich die Daten der letzten 90 Tage für das Zielsystem ansehen.
2. Schätzen Sie die Anzahl der Spitzen pro Tag
3. Schätzen Sie die Dauer einer Spitze in Sekunden und damit auch die Gesamtzahl der Spitzensekunden pro Tag
4. Berechnen Sie die Gesamtzahl der Spitzenereignisse pro Tag = (Gesamtzahl der Spitzensekunden pro Tag) * Spitzen-EPS
5. Berechnen Sie die Gesamtzahl der normalen Ereignisse pro Tag = (Gesamtsekunden –Gesamtspitzensekunden pro Tag) * Normales EPS

Die Summe dieser beiden Zahlen ergibt die geschätzte Gesamtgeschwindigkeit. Darüber hinaus empfiehlt der SANS-Leitfaden Folgendes:

• 10 % für Kopffreiheit
• 10 % für Wachstum

Die endgültige Anzahl der Ereignisse pro Tag beträgt also:

(Gesamtzahl der Spitzenereignisse pro Tag + Gesamtzahl der normalen Ereignisse pro Tag) * 110 % Spielraum * 110 % Wachstum

Geschwindigkeitsberechnung: Ereignisse pro Sekunde (EPS)

Die folgende von SANS bereitgestellte Tabelle zeigt typische durchschnittliche EPS (normale EPS) und Spitzen-EPS für ausgewählte Netzwerkgeräte. Die Daten sind mehrere Jahre alt, können aber grobe Werte für Ihre ersten Schätzungen liefern.

Um die Größe Ihres SIEM-Systems zu bestimmen, führen Sie eine Bestandsaufnahme der Geräte durch, von denen Sie Protokolle erfassen möchten. Multiplizieren Sie die Anzahl ähnlicher Geräte mit ihrem geschätzten EPS, um die Gesamtzahl der Ereignisse pro Tag in Ihrem Netzwerk zu ermitteln.

Speicherbedarf

Als Faustregel gilt, dass ein durchschnittliches Ereignis 300 Bytes belegt. Für jeweils 1.000 EPS (86,4 Millionen Ereignisse pro Tag) muss das SIEM also Folgendes speichern:

Hardware-Dimensionierung

Nachdem Sie die Geschwindigkeit und das Volumen Ihrer Ereignisse ermittelt haben, berücksichtigen Sie bei der Dimensionierung der Hardware für Ihr SIEM die folgenden Faktoren:

• Speicherformat– wie werden die Dateien gespeichert? In einem Flatfile-Format, einer relationalen Datenbank oder einem unstrukturierten Datenspeicher wie Hadoop?
• Speicherbereitstellung und Hardware– ist es möglich, Daten in die Cloud zu verschieben? Falls ja, sind Cloud-Dienste wie Amazon S3 und Azure Blob Storage für die Speicherung der meisten SIEM-Daten äußerst attraktiv. Andernfalls sollten Sie überlegen, welche Speicherressourcen lokal verfügbar sind und ob Sie Standardspeicher mit Hadoop- oder NoSQL-Datenbanken oder Hochleistungsspeichergeräte verwenden.
• Protokollkomprimierung– welche Technologie steht zur Komprimierung von Protokolldaten zur Verfügung? Viele SIEM-Anbieter werben mit Komprimierungsraten von 1:8 oder mehr.
• Verschlüsselung– müssen Daten beim Eintritt in den SIEM-Datenspeicher verschlüsselt werden? Ermitteln Sie die Software- und Hardwareanforderungen.
• Hot Storage (Kurzzeitdaten)– erfordert hohe Leistung, um Echtzeitüberwachung und -analyse zu ermöglichen.
• Langzeitspeicherung (Datenaufbewahrung)– erfordert große, kostengünstige Speichermedien, um eine maximale Aufbewahrung historischer Daten zu ermöglichen.
• Failover und Backup– als unternehmenskritisches System sollte das SIEM redundant aufgebaut sein und durch einen klaren Geschäftskontinuitätsplan abgesichert werden.

Skalierbarkeit und Data Lakes

In den letzten zehn Jahren sind Netzwerke gewachsen, die Anzahl der vernetzten Geräte ist explosionsartig gestiegen und das Datenvolumen exponentiell angestiegen. Darüber hinaus besteht ein wachsender Bedarf an Zugriff auf alle historischen Daten – nicht nur auf eine gefilterte, zusammengefasste Version –, um tiefere Analysen zu ermöglichen. Moderne SIEM-Technologie kann riesige Mengen historischer Daten interpretieren und nutzen, um neue Anomalien und Muster zu erkennen.

Im Jahr 2015 veröffentlichte O'Reilly einen Bericht mit dem TitelThe Security Data Lake, der einen robusten Ansatz für die Speicherung von SIEM-Daten in einem Hadoop-Datensee bietet. Der Bericht stellt klar, dass Data Lakes SIEMs nicht ersetzen - SIEM wird nach wie vor benötigt, um Protokolldaten von vielen verschiedenen Systemen zu analysieren und sinnvoll zu nutzen und später Erkenntnisse und Warnungen aus den Daten zu gewinnen.

Der Data Lake bietet als Ergänzung zu einem SIEM:

• Nahezu unbegrenzter, kostengünstiger Speicher auf Basis handelsüblicher Geräte.
• Neue Möglichkeiten zur Verarbeitung von Big Data – Tools im Hadoop-Ökosystem wie Hive und Spark ermöglichen die schnelle Verarbeitung riesiger Datenmengen und ermöglichen gleichzeitig die Abfrage der Daten über SQL durch herkömmliche SIEM-Infrastrukturen.
• Die Möglichkeit, alle Daten über eine Vielzahl neuer Datenquellen hinweg zu speichern, wie Cloud-Anwendungen, IoT und mobile Geräte.

Heute gibt es neben dem Schwergewicht Hadoop weitere technische Optionen zur Implementierung von Data Lakes, darunter ElasticSearch, Cassandra und MongoDB.

SIEM der nächsten Generation– Ein weiterer Vorteil von Data Lake Storage sind planbare Hardwarekosten. Sie können dem Data Lake einfach Knoten hinzufügen, die auf Standard- oder Cloud-Hardware laufen, und so den Datenspeicher linear erweitern. SIEMs auf Basis von Data Lake-Technologie ermöglichen die einfache und kostengünstige Erweiterung neuer Datenquellen oder die Erweiterung der Datenspeicherung.

---

SIEM-Architektur: Damals und heute

In der Vergangenheit handelte es sich bei SIEMs um teure, monolithische Unternehmensinfrastrukturen, die mit proprietärer Software und kundenspezifischer Hardware für die Verarbeitung großer Datenmengen erstellt wurden. Wie die Softwarebranche im Allgemeinen entwickeln sich SIEMs immer agiler, schlanker und deutlich intelligenter als zuvor.

SIEM-Lösungen der nächsten Generation verwenden eine moderne Architektur, die kostengünstiger und einfacher zu implementieren ist und Sicherheitsteams dabei hilft, echte Sicherheitsprobleme schneller zu erkennen:

• Moderne Data-Lake-Technologie– bietet Big-Data-Speicher mit unbegrenzter Skalierbarkeit, niedrigen Kosten und verbesserter Leistung.
• Neue Managed-Hosting- und Verwaltungsoptionen– MSSPs unterstützen Unternehmen bei der Implementierung von SIEM, indem sie einen Teil der Infrastruktur (vor Ort oder in der Cloud) betreiben und Fachwissen zur Verwaltung von Sicherheitsprozessen bereitstellen.
• Dynamische Skalierbarkeit und vorhersehbare Kosten– SIEM-Administratoren müssen die Größe nicht mehr akribisch berechnen und bei steigenden Datenmengen keine Architekturänderungen mehr vornehmen. Der SIEM-Speicher kann jetzt dynamisch und vorhersehbar mitwachsen, wenn das Datenvolumen zunimmt.

• Daten mit Kontext anreichern– Dies ist wichtig, um Fehlalarme in der SIEM-Lösung herauszufiltern, Daten zu analysieren und echte Bedrohungen effektiv erkennen und darauf reagieren zu können.
• Neue Erkenntnisse mit User and Entity Behavior Analytics (UEBA)– SIEM-Architekturen umfassen heute erweiterte Analysekomponenten wie maschinelles Lernen und Verhaltensprofilierung, die über traditionelle Korrelationen hinausgehen und neue Beziehungen und Anomalien in riesigen Datensätzen erkennen. Lesen Sie mehr in unserem Kapitel zu UEBA.
• Optimierte Reaktion auf Sicherheitsvorfälle– Moderne SIEM-Systeme nutzen SOAR-Technologie (Security Orchestration and Automation), um Sicherheitsvorfälle zu erkennen und automatisch darauf zu reagieren. Zudem unterstützen sie die Untersuchung von Vorfällen durch das Security Operation Center (SOC). Weitere Informationen finden Sie in unserem Kapitel zur Reaktion auf Sicherheitsvorfälle.