Was ist ein Security Information and Event Management System (SIEM)? Cybersecurity
Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Daniel Bieri.
Dank aktuellen SIEM-Systemen können Sicherheitsverantwortliche besser schlafen, da sie systemgestützt aktuelle Bedrohungsanalysen, Hilfe beim Einhalten von Compliance-Richtlinien und Reporting in Echtzeit erhalten.
Funktionen eines SIEM
Das Security Information and Event Management (SIEM) vereint die beiden Konzepte Security Information Management (SIM) und Security Event Management (SEM) unter einem Dach.
Das SIM sammelt verschiedenste Ereignisse und Logfiles aus den unterschiedlichsten Systemquellen, um diese an zentraler Stelle zur Ablage, Analyse und zum Reporting bereitzustellen. Mittels des SEM werden die erfassten Daten in Echtzeit korreliert und gegenüber festgelegten Sicherheitsrichtlinien ausgewertet. Die Ereignisse werden im Dashboard als Alarm dargestellt und automatisch an Sicherheitsverantwortliche notifiziert.
Aktuelle SIEM-Systeme
2005 definierten Mark Nicolett und Amrit Williams von Gartner SIEM-Produktfähigkeiten als Sammlung, Analyse und Darstellung von Informationen aus Netzwerk- und Sicherheitsgeräten. Dies gilt immer noch. Die Korrelation hat sich jedoch auf wirkungsvolle Analysemechanismen bis hin zur Artificial Intelligence (AI) weiterentwickelt. Ein analysegestütztes SIEM muss heute sowohl Threat Intelligence als auch anspruchsvolle Security Analytics bieten. Damit werden Sicherheitsverantwortliche in die Lage versetzt, die breit gefasste Bedrohungslandschaft besser zu verstehen und im Kontext der Unternehmung Massnahmen zu priorisieren.
Unter anderem weisen moderne SIEM-Lösungen Hilfsmittel auf, die zur Bekämpfung komplexer Bedrohungen innerhalb der Unternehmens-IT notwendig sind. Auch hat sich die Ergebnisdarstellung von Suchmustern aus den Unmengen von Log-Rohdaten von Stunden über wenige Sekunden bis hin zur Echtzeit verändert. Nebst der Integration von cloudbasierten Infrastrukturen zur Log-Datensammlung und -Analyse werden heutige SIEM-Lösungen in Cloud- und Hybridszenarien realisiert, um die Arbeitsbelastung der anfallenden Aufgaben zu verteilen.
Wer braucht ein SIEM-System
Falls Sie mehr als nur die zentrale Sammlung von systemgenerierten Log-Daten zur späteren Analyse von Aktivitäten benötigen, könnte ein SIEM-System für Sie von Interesse sein. Sind Hauptfunktionalitäten wie Echtzeit- und Benutzer-Monitoring, Incident Response, Informationen aus Analysen, Erkennung von komplexen Bedrohungen mit Bedrohungsinformationen für Sie relevant, sollten Sie sich eine SIEM-Lösung genauer ansehen. Müssen Sie Compliance-Verpflichtungen nachkommen und benötigen Sie daher Reportings zu Aktivitäten in verteilten Netzwerkinfrastrukturen und IT-Systemen oder Benutzeraktivitäten von Ihren Cloud- oder On-Premises-Services, so kann Sie hierbei ein SIEM-System in Ihrer täglichen Arbeit ebenfalls unterstützen.
Anbieter von SIEM-Systemen
Die Anbieter sind gemäss „Gartner Magic Quadrant for Security Information and Event Management“ hauptsächlich in zwei Kategorien zu finden, und zwar bei den Niche Players oder im Leader-Quadranten. Die Niche Players sind meist auf spezifische Bestandteile des SIEM fokussiert, wie z. B. AD-Audit. Auch gibt es interessante Kombinationen wie den Fortinet-Manager, -Analyzer und -SIEM, die zur NOC-SOC Management- und Analytics-Einheit kombiniert wurden. Im Leader-Quadranten sind die SIEM-Spezialisten wie Splunk, IBM QRadar, Exabeam, Securonix und weitere zu finden.
Ausblick
Die SIEM-Anbieter erhalten Konkurrenz vom SOAR-Markt (Security Orchestration, Automation and Response). SOAR-Lösungen konzentrieren sich auf die drei Fähigkeiten wie Bedrohungs- und Schwachstellenmanagement, Reaktion auf Sicherheitsvorfälle und Automatisierung von Sicherheitsoperationen. Beide Lösungen korrelieren Daten aus verschiedenen Quellen, jedoch haben SOAR-Lösungen den Vorteil, dass sie sich in eine breitere Palette von Anwendungen integrieren lassen. Mit dem absehbaren Zusammenwachsen des SOAR- und SIEM-Marktes werden noch umfangreichere SIEM-Werkzeuge für die IT-Sicherheitsabteilungen entstehen.
Fazit
Die SIEM-Systeme weisen heute Sicherheitsfunktionalitäten auf, die in einer intelligenten Art und Weise Log-Informationen zur Früherkennung von Bedrohungen nutzen. Die SIEM-Funktionalitäten haben sich etabliert und helfen Sicherheitsteams, die Transparenz zu erhalten.
Autor: Daniel Bieri
Quellen
https://www.splunk.com/pdfs/solution-guides/leitfaden-fuer-siem-kaeufer-de.pdf
https://simu-project.de/cms/upload/pdf/SIMU_DACH-Security_2014_final.pdf
https://de.wikipedia.org/wiki/Security_Information_and_Event_Management
CAS Cybersecurity und Information Risk Management
Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)