SIEM Log-Management: Log-Management im SOC der Zukunft

Was ist SIEM?

SIEM-Softwarelösungen erfassen Protokolldaten aus verschiedenen Quellen, beispielsweise Anwendungen und Netzwerkhardware, und aggregieren sie auf einer zentralen Plattform. Sie können Korrelationen und Echtzeitanalysen durchführen, um Teams auf Indikatoren für Kompromittierungen (IoCs) wie fehlgeschlagene Anmeldeversuche aufmerksam zu machen. So können sie schneller und effektiver auf laufende Angriffe reagieren.

SIEM-Tools kombinieren die Funktionen von Security Event Management (SEM), Security Information Management (SIM) und Security Event Correlation (SEC) in einer Lösung.

Was ist Log-Management?

Unter Protokollverwaltung versteht man den gesamten Prozess, den Teams zur Handhabung der von den verschiedenen Anwendungen in ihrer IT-Umgebung generierten Protokolle verwenden.

Die Protokollverwaltung lässt sich in eine Reihe unabhängiger Teilprozesse unterteilen. In der Regel beginnt sie mit der Erfassung von Protokolldaten aus einer Datenquelle. Die Protokolle werden dann an einem zentralen Ort aggregiert, wo sie analysiert werden können. In manchen Fällen müssen die Protokolldaten auch transformiert werden. Das bedeutet, dass sie neu organisiert oder zerlegt werden müssen, um den von der Organisation verwendeten Formatstandards zu entsprechen oder ihre Analyse zu erleichtern. Anschließend können die Protokolle zentral analysiert oder visualisiert werden.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach helfen Ihnen die folgenden Tipps dabei, das Potenzial von SIEM und Protokollverwaltung zu maximieren und sicherzustellen, dass sie robuste Sicherheits- und Betriebseinblicke liefern:

Nutzen Sie dynamisches Baselining zur Anomalieerkennung
Verwenden Sie dynamische Baselines in Ihrem SIEM, um sich an schwankende Geschäftsaktivitäten anzupassen. Beispielsweise können Sie das Anmeldeverhalten während der Hauptgeschäftszeiten getrennt von den Aktivitäten außerhalb der Geschäftszeiten erfassen, um Fehlalarme zu reduzieren.

Konzentrieren Sie sich auf die Anreicherung von Protokolldaten an der Quelle
Bevor Protokolle das SIEM erreichen, fügen Sie kritischen Kontext wie Asset-Kritikalität, Geschäftsauswirkungen oder bekannte Schwachstellen hinzu. Angereicherte Protokolle ermöglichen dem SIEM, aussagekräftigere Warnungen bereitzustellen und Reaktionen effektiv zu priorisieren.

Festlegen von Protokollaufbewahrungsstufen basierend auf der Kritikalität
Nicht alle Protokolle müssen gleich lange gespeichert werden. Definieren Sie Aufbewahrungsrichtlinien basierend auf gesetzlichen Anforderungen, Geschäftsanforderungen und dem Wert des Protokolls für die Bedrohungserkennung oder forensische Analyse. Dieser Ansatz reduziert die Kosten und gewährleistet gleichzeitig die Compliance.

Implementieren Sie Echtzeit-Protokollvalidierungsmechanismen
Richten Sie Prüfungen ein, um die Vollständigkeit und Genauigkeit der Protokolldaten bei der Erfassung zu überprüfen. Automatisierte Warnmeldungen bei fehlenden oder fehlerhaften Protokollen verhindern Schwachstellen und gewährleisten eine zuverlässige Sicherheitsüberwachung.

Verwenden Sie einen modularen Ansatz für Korrelationsregeln
Entwerfen Sie Korrelationsregeln als modulare, wiederverwendbare Komponenten. So können Sie Regeln bei neuen Bedrohungen effizient aktualisieren, ohne bestehende Workflows überarbeiten zu müssen.

SIEMs vs. Log-Management: Ähnlichkeiten und Unterschiede

SIEM und Protokollverwaltung haben viele Gemeinsamkeiten. Beide arbeiten mit Protokollen aus mehreren Systemen und nutzen diese, um Einblick in die Vorgänge in der IT-Umgebung zu geben. Sie können beide nutzen, um Probleme in Ihrer Umgebung zu finden und zu beheben sowie historische Probleme zu prüfen und zu untersuchen.

Es gibt jedoch einige wesentliche Unterschiede:

Zweck

• Protokollverwaltungssysteme dienen in erster Linie dazu, Protokolldaten an einem Ort zu sammeln (unabhängig von Speicherort und Art der Daten). Sie können generische Protokollverwaltungssysteme aus Sicherheitsgründen verwenden, die Verarbeitung und Analyse der Daten kann jedoch komplex sein.
• SIEM-Systeme konzentrieren sich auf Sicherheit. Sie können sicherheitsrelevante Daten aus einem großen und vielfältigen IT-Ökosystem, einschließlich Daten aus Sicherheitstools, erfassen und automatisch so verpacken, dass Sicherheitsteams sie nutzen können.

Automatisierung

• Die Protokollverwaltung ist in der Regel nicht vollständig automatisiert und führt keine Echtzeit-Bedrohungsanalyse durch. Darüber hinaus müssen Sie explizit konfigurieren, welche Informationen erfasst, wie und wo Protokolle gespeichert werden sollen.
• Moderne SIEMs können Bedrohungen in Echtzeit erkennen und analysieren. Sie können den Lebenszyklus der Protokollverwaltung automatisch abwickeln, relevante Informationen identifizieren, verarbeiten und automatisch speichern.

Zentrale Datenverwaltung

• Die Protokollverwaltung sammelt Daten aus Systemereignissen und Protokollen, es erfordert jedoch einige Anstrengungen, die Daten in einem standardisierten Datenspeicher zu organisieren.
• SIEM vereinfacht die Zentralisierung Ihrer Daten. Es sammelt Protokolle und Ereignisse aus Hunderten von Organisationssystemen. Normalerweise generiert jedes Gerät Ereignisse und sammelt diese in einfachen Protokolldateien oder Datenbanken. Das SIEM-System kann die Daten speichern (lokal, in der Cloud oder beides), in ein standardisiertes Format konvertieren und für eine effiziente Analyse und Auswertung indizieren.

Compliance-Funktionen

• Tools zur Protokollverwaltung verfügen nicht über integrierte Compliance-Funktionen. Datensicherheits- und Datenschutzstandards stellen spezifische Anforderungen, und es kann schwierig sein, diese mit einem sofort einsatzbereiten Protokollverwaltungssystem zu erfüllen.
• Moderne SIEM-Systeme verfügen über Compliance-Reporting-Funktionen. Sie verfügen über integrierte Berichte im spezifischen, von Compliance-Standards geforderten Format. Dies macht SIEM zu einem wesentlichen Bestandteil der Compliance-Strategie eines Unternehmens.

Bedrohungserkennung

• Log-Management-Tools sind nicht in der Lage, Ereignisse intelligent zu analysieren, um komplexe Cyberbedrohungen zu erkennen. Einfache Sicherheitsprobleme lassen sich durch die Definition von Benachrichtigungen über offensichtliche Bedrohungsmuster, wie z. B. mehrere Anmeldeversuche, identifizieren.
• SIEM-Tools können Cyberbedrohungen erkennen und warnen – selbst komplexe Bedrohungen, die mehrere IT-Systeme betreffen, oder Ausweichtaktiken nutzen, um ihre Spuren zu verwischen. Durch die Korrelation mehrerer Sicherheitsereignisse mit bekannten Mustern bösartigen Verhaltens können SIEMs viele Arten von Sicherheitsereignissen in Unternehmensnetzwerken identifizieren. Moderne SIEMs bieten zudem Verhaltensanalysen auf Basis von maschinellem Lernen, um anomales Verhalten zu identifizieren, das keinem bekannten Muster entspricht.

4 Best Practices für die SIEM Log-Management

Die Protokollverwaltung ist eine Kernfunktion eines Security Operations Centers (SOC). Dabei geht es darum, Tiefe und Umfang der SOC-Sichtbarkeit zu definieren. Effektives Protokollmanagement ist unerlässlich, um eine schnelle Erkennung und Reaktion zu ermöglichen und die Einhaltung gesetzlicher Anforderungen zu gewährleisten. Darüber hinaus erleichtert es Audits und forensische Analysen von Sicherheitsvorfällen.

In einer modernen, schnelllebigen Geschäftsumgebung können Umfang und Vielfalt der Protokolle enorm sein. Im SOC können sich schnell riesige Protokollmengen ansammeln, doch nicht alle Protokolle sind für die Cybersicherheit gleichermaßen wichtig. Die Protokollverwaltung hilft bei der Definition der Protokolle und Quellen, die priorisiert werden sollten. Sie unterstützt außerdem die Wartung der Infrastruktur zur Protokollerfassung.

Viele Unternehmen bevorzugen eine SIEM-Plattform gegenüber einer eigenständigen Protokollverwaltungsplattform. Sie erkennt komplexe Bedrohungen mithilfe von Korrelationsregeln, bietet mehr Transparenz über verschiedene Technologien und Netzwerke, ermöglicht erweiterte Datenanalysen und ordnet die Protokollabdeckung den Frameworks PCI-DSS, NIST und MITRE ATT&CK.

Wählen Sie die richtigen Protokollquellen

SIEM-Ingenieure können Protokolldaten aus drei Arten von Quellen sammeln:

• Sicherheitskontrollsysteme– Beispiele hierfür sind ein Intrusion Detection and Prevention System (IPS), eine Next-Generation Firewall (NGFW), eine Web Application Firewall (WAF), ein Sicherheitsgateway, Endpoint Protection Platforms (EPP) und Web-Sicherheitskontrollen.
• Netzwerkinfrastruktur– Beispiele hierfür sind DNS-Server, DHCP-Server, Router und drahtlose Infrastruktur sowie öffentlicher Cloud-Zugriff und -Anwendungen.
• Endbenutzeranwendungen und -systeme– Beispiele sind Sicherheitsereignisprotokolle (Windows), Betriebssystemprotokolle, PowerShell, Sysmon und benutzerdefinierte Anwendungsprotokolle.

Das SOC-Team wählt die Protokollquellen auf Grundlage von Nutzungsmustern, ihrer Auswirkung auf die Bedrohungserkennung, Abdeckung, Prüfanforderungen und Anpassungsfähigkeit an die Protokollverwaltungsplattform des Unternehmens aus.

Anforderungen für Bedrohungserkennung und Log-Management ermitteln

Der wichtigste Schritt bei der Verwendung eines SIEM für die Protokollverwaltung besteht darin, Ihre Anforderungen zu kennen. Recherchieren Sie die dynamische Bedrohungslandschaft, um herauszufinden, wie Angreifer neue Angriffsvektoren und -techniken nutzen könnten, um Sicherheitslücken auszunutzen.

Definieren Sie zunächst die Angriffsfläche Ihres Unternehmens, Sicherheitsprioritäten, relevante Bedrohungsarten und historische Korrelationsanforderungen, um die Bedrohungssuche zu ermöglichen. Listen Sie anschließend die für Ihr Unternehmen geltenden Datenschutz- und Sicherheitsvorschriften auf, um die Einhaltung sicherzustellen. Mithilfe von Vorbereitungslisten können Sie fundierte Entscheidungen über die Menge der zu speichernden und zu verwaltenden Protokolle treffen. Nutzen Sie das MITRE ATT&CK-Framework zur Planung Ihrer Cybersicherheitsstrategie.

Integrieren Sie SIEM in Ihre Protokollquellen und optimieren Sie die Protokollebenen

Einige SIEM-Lösungen erfordern viel Pflege und Wartung, um das Sicherheitsprotokollmanagement optimal zu nutzen. Die Beseitigung von Schwachstellen sollte bei der Auswahl einer Lösung oberste Priorität haben, da die Protokolltransparenz für die Bedrohungserkennung entscheidend ist. Beginnen Sie mit der Integration Ihrer SIEM-Lösung, um zukünftige Probleme beim Protokollmanagement zu minimieren.

Priorisieren und integrieren Sie Protokollquellen und optimieren Sie Protokollereignisse basierend auf den beim Integrationstest ermittelten Anforderungen. Es ist auch wichtig, Regeln für Protokollfehlerwarnungen zu definieren – legen Sie die Häufigkeit der Protokollerfassung für wichtige Quellen fest.

Verbessern Sie kontinuierlich Ihre Protokolltransparenz mit Bedrohungsintelligenz

Die Kenntnis der Bedrohungslandschaft ist entscheidend für eine effektive Protokolltransparenz. Die moderne Cybersicherheitslandschaft verändert sich jedoch ständig. Daher ist ein kontinuierlicher Prozess zur Überwachung und Verwaltung von SIEM angesichts von Transparenzproblemen wie Protokollfehlern, blinden Flecken und neuen Bedrohungen wichtig.

Blindes Navigieren durch Ihr Protokollmanagement kann zu Verzögerungen und Fehlalarmen führen. Eine wichtige Best Practice besteht darin, fundierte Bewertungen der Protokollverwaltungsplattform und datenbasierte Entscheidungen zur Sicherheitsimplementierung zu treffen. Bewerten Sie Ihre Protokolltransparenz kontinuierlich mithilfe automatisierter und manueller Red-Team-Ansätze, um neue Sicherheitslücken zu identifizieren und zu schließen. Nutzen Sie die Automatisierung, um Protokollfehler und Leistungsprobleme zu erkennen.

Security Log Management mit Exabeam

Exabeam Security Log Management ermöglicht Ihnen die Erfassung, Analyse, Speicherung und Suche von Protokolldaten in großem Umfang mit einem Cloud-nativen Data Lake, extrem schneller Abfrageleistung und Dashboarding über mehrere Jahre hinweg. Die Grundlage bilden vier Schlüsselfunktionen: Transparenz im Cloud-Maßstab, umfassende Protokollerfassung, schnelle, intuitive Suche und automatisierte Untersuchungserfahrung.

Transparenz im Cloud-Maßstab

Exabeam Security Log Management ist die branchenweit fortschrittlichste Cloud-native Lösung für Sicherheitsanwendungen. Eine leistungsstarke Benutzeroberfläche ermöglicht Ihnen die Integration und Überwachung der Datenaufnahme vor Ort oder in der Cloud, die Erstellung und Überwachung von Parsern sowie die Visualisierung des Datenverbrauchs und der Integrität jedes Exabeam Dienstes. Erzielen Sie die gewünschten Sicherheitsergebnisse und schließen Sie kritische Lücken, indem Sie die Abdeckung und Konfiguration Ihrer Datenquellen verstehen. Erfahren Sie genau, wie Sie Ihre Sicherheitslage verbessern können, indem Sie empfohlene Informationen, Ereignisströme und Parsekonfigurationen anzeigen, die sich an die Bedürfnisse Ihres Unternehmens anpassen.

Umfassende Protokollsammlung

Das Produkt erfasst, analysiert und speichert Protokolle sicher und nutzt ein neues Common Information Model (CIM), Datenanreicherung mithilfe von Bedrohungsinformationen und anderen Kontextinformationen, um Sicherheitsereignisse zu erstellen, die benannte Felder identifizieren und für eine beschleunigte Analyse und zusätzlichen Sicherheitskontext normalisieren. Ein Assistent ermöglicht die Erstellung benutzerdefinierter Parser aus neuen oder vorlagenbasierten Protokollquellen und erleichtert so die Entwicklung, Bereitstellung und Verwaltung fehlerfreier Parser.

• Support für über 200 lokale Produkte
• Mehrere Transportmethoden: API, Agent, Syslog, SIEM-Datenseen
• 34 Cloud-basierte Sicherheitsprodukte
• 11 SaaS-Produktivitätsanwendungen
• 21 Cloud-Infrastrukturprodukte
• Über 8.000 vorgefertigte Protokollparser

Schnelle, intuitive Suchfunktionen

Eine wesentliche Funktion von Exabeam Security Log Management ist die Suche – eine zentrale Schnittstelle, die es Analysten ermöglicht, in heißen, warmen, kalten und eingefrorenen Daten mit gleicher Geschwindigkeit zu suchen. Die Zeitersparnis ist wertvoll, da Untersuchungen in der Regel mehrere Abfragen umfassen und Suchbegriffe über mehrere Iterationen hinweg verfeinert werden müssen, um die gewünschten Ergebnisse zu erzielen. Auch die Suche in Echtzeit- oder historischen Daten stellt kein Hindernis mehr dar. SOC-Teams müssen historische Daten nicht importieren und warten, bis sie wiederhergestellt und verarbeitet sind. Und es gibt keine Lernkurve; Analysten müssen keine proprietäre Abfragesprache erlernen. Erstellen Sie schnell leistungsstarke Visualisierungen aus Ihren analysierten Protokolldaten. Erstellen Sie in wenigen Minuten ein Dashboard aus 14 verschiedenen vorgefertigten Diagrammtypen oder generieren Sie sie aus Suchanfragen und Korrelationsregeln.

Automatisierte Untersuchungserfahrung

Verwandeln Sie Ihre Suchvorgänge mit nur einem Klick in leistungsstarke Regeln zur Bedrohungssuche. Richtig konzipierte Korrelationsregeln ermöglichen es Unternehmen, ein breites Spektrum an abnormalem Verhalten und Ereignissen aufzudecken. Um diese Anomalien zu identifizieren, definieren Sie Bedingungen, die als Auslöser fungieren, indem Sie eingehende Ereignisse mit vordefinierten Beziehungen zwischen Entitäten vergleichen. Schreiben, testen, veröffentlichen und überwachen Sie benutzerdefinierte Korrelationsregeln für Ihre wichtigsten Geschäftseinheiten und -ressourcen. Definieren Sie beispielsweise höhere Kritikalitätsstufen für Aktivitäten Threat Intelligence Service. Ergänzen Sie Ereignisse aus verschiedenen kommerziellen und Open-Source-Threat-Intelligence-Feeds um Kontextanreicherungen. Diese aggregieren, bereinigen und bewerten die Ereignisse mithilfe proprietärer Machine-Learning-Algorithmen, um einen hochpräzisen und aktuellen IoC-Stream zu erstellen.