Was ist SIEM?

Wenn es um Cybersicherheit geht, gibt es keinen unfairen Vorteil

Cyber-Kriminelle verlagern das Spielfeld zu ihrem Vorteil. Sie benutzen nicht mehr nur ihre Tastaturen.

Sie verlassen sich bei der Durchführung von Angriffen auf KI, maschinelles Lernen und Automatisierung. Das Dark Web ist zu einem Einkaufszentrum für Malware, Exploitation-Kits und Cyberangriffsdienste geworden. Jeder schlechte Akteur mit genügend Kryptowährung kann ein Cyberkrimineller werden.

Es gibt nichts Gerechtes an der Cyberkriminalität

IT-Fachleute, die für die Cybersicherheit verantwortlich sind, stehen vor einer schwierigen Herausforderung. Mit dem steigenden Wert ihrer sensiblen Daten wächst auch die Entschlossenheit von Cyberkriminellen, sich diese zu eigen zu machen. Erschwerend kommt hinzu, dass sich die Angriffsfläche durch die Zunahme von Remote-Benutzern und Cloud-Anwendungen ständig vergrößert.

Cyberkriminelle haben die Messlatte höher gelegt und viele Unternehmen mit neuen Schwachstellen konfrontiert. Die alten Methoden der manuellen Sicherheitsverwaltung können mit einer Armee automatisierter bösartiger Akteure, die Schaden anrichten wollen, nicht mithalten.

IT-Experten müssen das Spielfeld der Cybersicherheit wieder zu ihren Gunsten verändern. Sie brauchen Cloud-basierte Cybersicherheit, Ressourcen in globalem Maßstab, autonome Bedrohungsreaktionen und KI-gesteuerte Bedrohungserkennung und -priorisierung.

Die Antwort auf diese neuen Cyberbedrohungen ist Security Information and Event Management (SIEM). Was ist SIEM? Lesen Sie weiter, um es herauszufinden.

Was ist SIEM? Verständnis von SIEM, SOAR und SOC-as-a-Service

Um ihren Vorsprung zurückzugewinnen, wenden sich IT-Experten neuen Technologien und Diensten zu. Es gibt drei neue Technologien, die im Kampf gegen Cyberkriminalität an vorderster Front stehen: SIEM, SOAR und SOC-as-a-Service.

SIEM ist das Rückgrat der Tools zur Analyse von Cyberbedrohungsdaten. SOAR hilft SIEM, viele Prozesse zu automatisieren und verschiedene Cyberbedrohungen weiter zu untersuchen. SOC-as-a-Service bringt eine Gruppe von Experten ein, die dabei helfen, auf die größeren, dringlicheren Cyberbedrohungen zu reagieren, die von den SIEM- und SOAR-Systemen erkannt werden, und schafft so ein ganzheitliches Cybersicherheitssystem, das den neuen, anspruchsvolleren Bedrohungen von heute standhalten kann.

SIEM

Was ist SIEM (Security Information and Event Management)? SIEM ist ein Dienst, der große Mengen von Bedrohungsdaten sammelt, analysiert, korreliert und normalisiert. Was früher ein mühsamer und manueller Prozess war, wird jetzt vom SIEM-Dienst durchgeführt. Die Endergebnisse werden den IT-Fachleuten zur Überprüfung und zum Handeln vorgelegt.

Zu den grundlegenden SIEM-Funktionen gehören:

  • Datenverdichtung: SIEM-Dienste sammeln riesige Mengen von Sicherheitsprotokollen, Audits, Kontrollkonsolen, Warnmeldungen und anderen Bedrohungsinformationen in Echtzeit. Die Sicherheitsdaten werden von einer Vielzahl von Quellen wie Anwendungen, Netzwerk-Appliances, Sicherheitssensoren, Firewalls, sicheren Gateways, CASBs, Endpunkten und mehr gesammelt.
  • Korrelation: Die Bedrohungsdaten werden vom SIEM-Dienst aufgenommen und analysiert, um gemeinsame Attribute wie Zeit, Geräte-ID, Besitzer, Standort und Aktivität zu identifizieren. SIEM-Dienste korrelieren Sicherheitsdaten, um eine vollständigere und aussagekräftigere Bedrohungsbewertung zu erstellen.
  • Forensische Analyse: SIEM bietet den Benutzern Suchkriterien und Prüfmodule, um aktuelle und historische Datensätze zu analysieren. Daten von verschiedenen SIEM-Knotenpunkten können abgerufen und zu aussagekräftigen und umsetzbaren Ergebnissen zusammengestellt werden.
  • Warnung: Korrelierte Daten, die mit bekannten Bedrohungen übereinstimmen oder ihnen ähneln oder die nicht der Definition von ‘normalem Verhalten’ entsprechen, führen dazu, dass eine Warnung an IT-Experten gesendet wird.

Weitere SIEM-Funktionen sind,

  • Dashboards: Um die Transparenz zu verbessern, unterstützt SIEM Tools zur Entwicklung und Anzeige von Mustern, die helfen, Bedrohungen und andere Anomalien zu identifizieren und zu verfolgen.
  • Einhaltung von Vorschriften: SIEM bietet eine spezielle Datenerfassung und Alarmierung zur Unterstützung von Data Governance, Compliance Management und Audits für PCI, HIPAA und andere.
  • Aufbewahrung: SIEM-Daten können über einen langen Zeitraum gespeichert und aufbewahrt werden. Dies ist wichtig, um den Ursprung eines Angriffs bis zur Grundursache zurückzuverfolgen. Die Datenaufbewahrung ist erforderlich, um gesetzliche Aufbewahrungspflichten zu erfüllen und Compliance-Anforderungen und Audits zu unterstützen. Es ist auch hilfreich, über historische Referenzdaten zu verfügen, wenn Abwehr-, Eindämmungs- und Abhilfepläne für aktuelle und zukünftige Bedrohungen entwickelt werden.

SIEM als Cloud-basierter Dienst

Was ist SIEM als Cloud-basierter Dienst? Ein Cloud-basierter SIEM-Dienst sammelt Bedrohungsdaten im Cloud-Maßstab von allen seinen Nutzern weltweit. Microsoft Azure Sentinel beispielsweise verfügt über einen cloudbasierten SIEM-Dienst, der täglich mehr als sieben Petabyte und eine Million Signale von Hunderten von Unternehmen sammelt.

Obwohl Sie ein einzelner Kunde sind, werden Ihre Bedrohungsdaten mit denen von Hunderten anderer Kunden verglichen, von denen viele Dienstanbieter mit eigenen Kunden sind. Der Vorteil eines so großen Datenpools ist, dass bestehende und neue Bedrohungen genau und schnell analysiert und identifiziert werden können. Dies führt dazu, dass IT-Fachleute über eine umfassendere Sicherheitslage verfügen und Angriffe früher in der Angriffskette beheben können.

Das SIEM nimmt auch Informationen über die Effektivität seines Prozesses auf und lässt diese Informationen in seine Machine-Learning-Engine einfließen, um den Prozess und die Genauigkeit bei der Identifizierung und Klassifizierung von Bedrohungen kontinuierlich zu verbessern.

Zusammenfassend lässt sich sagen, dass SIEM-Dienste Bedrohungsdaten aus Tausenden von Quellen sammeln. Sie nutzen maschinelles Lernen und KI in Echtzeit, um die Daten zu normalisieren, zu analysieren, zu korrelieren, anzureichern und zu kategorisieren. Die Datenausgabe wird mit bestehenden Bedrohungsprofilen und anderen Parametern verglichen. Wird dabei eine mögliche Bedrohung identifiziert, wird eine Warnung ausgegeben. Man bräuchte ein Heer von Cybersecurity-Experten, um die gleichen Aufgaben eines SIEM-Dienstes manuell durchzuführen.

SOAR

Für Cybersicherheitsteams ist es nahezu unmöglich, alle vom SIEM-Dienst generierten Bedrohungswarnungen zu analysieren, zu prüfen und zu priorisieren. SOAR ist ein zusätzliches Cybersicherheits-Tool für SIEM-Systeme.

Was ist ein SOAR (Security Orchestration, Automation and Response)? SOAR-Dienste sammeln Warnmeldungen aus dem SIEM-Dienst und anderen Quellen, um Bedrohungen weiter zu identifizieren. Einfache und unbedeutende Sicherheitsprobleme werden von SOAR mithilfe vordefinierter Playbooks selbstständig behoben. Fortgeschrittenere Vorfälle können für eine ‘Klick-für-Klick’-Überprüfung durch einen Sicherheitsexperten konfiguriert oder mithilfe einer Drittanbieteranwendung behoben werden. Schwerwiegendere, komplexe und einzigartige Sicherheitsbedrohungen werden mit zusätzlichen Kontextinformationen angereichert und zur weiteren Bearbeitung an das Sicherheitsteam im SOC (Security Operations Center) weitergeleitet. SIEM- und SOAR-Dienste arbeiten im Allgemeinen als Team. Microsoft Azure Sentinel ist zum Beispiel ein Cloud-basierter Dienst, der integriertes SIEM und SOAR bietet.

Es ist wichtig zu bedenken, dass SIEM- und SOAR-Dienste nicht die einzigen Quellen für Bedrohungswarnungen sind. Warnmeldungen aus anderen Quellen wie Cloud-Anwendungen oder entfernten Standorten sind möglicherweise nicht Teil des SEIM. SIEMs und SOARs ersetzen das Sicherheitsteam nicht, sondern nehmen ihm nur bestimmte Aufgaben ab. SIEMs und SOARs sind Tools, die den Großteil der Routineaufgaben im Bereich der Cybersicherheit automatisieren, so dass sich die Mitarbeiter des SOC (Security Operations Center) auf schwerwiegendere Vorfälle konzentrieren können.

SOC-as-a-Service

Was ist SOC-as-a-Service? Vergessen Sie nie, dass es eine Armee erfahrener Cyberkrimineller gibt, die fortschrittliche Tools wie KI nutzen, um ausgeklügelte, mehrstufige Angriffe auf Ihre Sicherheitsvorkehrungen zu entwickeln. SIEM- und SOAR-Dienste sind zwar wertvoll, aber sie können menschliche Intelligenz und Erfahrung nicht ersetzen.

Komplexe und kritische Angriffe erfordern sofortige und ganzheitliche Aufmerksamkeit im gesamten Unternehmen, die weit über die Reichweite eines SOAR hinausgeht. Erfahrene Techniker wissen intuitiv, wie sie über die ‘alltäglichen’ Prozesse hinausgehen können, um Angriffe schnell zu finden und zu beheben. Sie verfügen über die Flexibilität, die Erfahrung, den Instinkt und das einzigartige Toolkit, das erforderlich ist, um schwere Angriffe zu jagen und zur Strecke zu bringen, egal wo sie sich verstecken. Das ist etwas, was ein SIEM/SOAR oder ein Anfängeringenieur nicht leisten kann. In Notfällen ist es entscheidend, ein erfahrenes SOC mit erfahrenen Technikern zu haben.

Ein SOC, das 24 x 7 x 365 von Technikern der Stufe 3 besetzt ist, bedeutet, dass die Playbooks zahlreicher, effizienter und gepflegter sind. Angriffe werden eingedämmt und schneller zum Stillstand gebracht. Mit ihrer Erfahrung und ihren fortschrittlichen Tools sind die Techniker der Stufe 3 in der Lage, eine große Anzahl von Angriffen auf hohem und kritischem Niveau in kürzerer Zeit zu priorisieren und zu bewältigen. Während Anfänger mit dem ‘Lernen’ beschäftigt sind, stoppen erfahrene Techniker Cyberangriffe in einem frühen Stadium der Angriffskette. Es ist wahrscheinlicher, dass sie Sicherheitsfälle innerhalb von Minuten oder Stunden statt in Tagen oder Wochen abschließen können.

Warum ist Siem wichtig?

Die Implementierung eines SIEM-Systems in eine Cybersicherheitslösung bietet viele Vorteile. Einer davon ist, dass SIEM anpassbare Dashboards bereitstellt, die es einfacher machen, einen vollständigen Überblick über Ihre Netzwerkumgebung in Echtzeit zu erhalten. Ein weiterer Vorteil ist, dass ein System, das jede Bedrohung meldet und protokolliert und gleichzeitig auf bereits bekannte Bedrohungen zugreift, dazu beiträgt, die Falsch-Positiv-Rate zu senken, da die KI des Systems Bedrohungen besser verwalten kann. Außerdem wird die durchschnittliche Zeit für die Erkennung und Reaktion auf jede Bedrohung verkürzt, da die Hauptarbeit vom System erledigt wird und nur bei den komplexesten Bedrohungen die Aufmerksamkeit eines Experten erforderlich ist.

Was ist der Unterschied? SIEM, SIM und SEM

Obwohl SIEM, SIM und SEM alle sehr ähnlich sind, haben sie jeweils unterschiedliche spezifische Funktionen. Security Information Management (SIM) ist ein Cybersicherheits-Tool, das historische Cyberbedrohungen, d. h. Bedrohungen aus der Vergangenheit, meldet und analysiert. Das Security Event Management konzentriert sich im Gegensatz zu SIM nicht auf historische Daten, sondern versucht, Bedrohungen in Echtzeit zu protokollieren und zu melden. SIEM (Security Information and Event Management) ist eine Lösung, die das Wissen historischer Daten (SIM) mit den Vorteilen des Umgangs mit Cyberbedrohungen in Echtzeit (SEM) kombiniert, um Cyberbedrohungen effektiv zu erkennen, zu melden und darauf zu reagieren.

Erwägen Sie einen MDR-Service - Das Beste aus SIEM, SOAR und SOC-as-a-Service in einem

Die Implementierung und Überwachung eines SIEM, die Verwaltung eines SOAR und der Betrieb eines rund um die Uhr besetzten SOC mit Cybersicherheitsexperten ist teuer und komplex. Viele Unternehmen haben sich dafür entschieden, einen professionellen Cybersecurity-Anbieter zu beauftragen, anstatt einen ‘Do-it-yourself’-Plan zu implementieren. Sie verlassen sich auf einen MDR (Managed Detection and Response)-Anbieter für erstklassige Cybersicherheit. Als Bonus haben MDR-Kunden auch eine durchschnittliche Senkung der Cybersicherheitskosten um 50% erfahren.

Ein professioneller MDR-Service umfasst nahezu alle Prozesse, Technologien und Techniken, die zur Abwehr, Erkennung, Eindämmung und Beseitigung von Cybersecurity-Bedrohungen und -Angriffen eingesetzt werden. Dazu gehören Remote-Benutzer, Cloud-Anwendungen, Compute Clouds, WANs und Remote-Standorte. MDR kombiniert alle Vorteile von SIEM, SOAR und SOC-as-a-Service in dem vom Kunden gewünschten Umfang.

  • Fortschrittlichere MDR-Dienstleister weisen den Benutzer nicht nur in die Eindämmung und Behebung von Cyberangriffen ein, sondern helfen auch, wenn sie hinter der Firewall zugelassen sind, Angriffe zu unterbinden.
  • Führende MDR-Anbieter können auch das traditionelle SOC (Security Operation Center) durch SOC-as-a-Service ersetzen oder ergänzen.
  • Der Kunde kann in Fragen der Cybersicherheit so weit einbezogen werden, wie er es wünscht, von minimal bis sehr aktiv.

Ontinue bietet IT-Fachleuten Vorteile bei der Cybersicherheit

Bitte kontaktieren Sie unsere Kundenbetreuer, um mehr über unser SIEM/SOAR- und SOC-as-a-Service-Angebot zu erfahren. Erfahren Sie mehr über eine umfassende Cybersicherheit mit dem Ontinue ION MXDR-Dienst.