Security Information and Event Management (SIEM)
Mit Security Information and Event Management (SIEM) bezeichnet man ein System zur Auswertung von Sicherheitsinformationen und -ereignissen. Ein SIEM sammelt, aggregiert und korreliert dafür Logdaten der verschiedenen Systeme und Anwendungen. Ziel des Betriebes eines SIEM ist eine Echtzeitüberwachung der Infrastruktur mit schneller Reaktion auf sicherheitsrelevante Ereignisse sowie die Protokollierung für Compliance- und Prüfungszwecke.
Ein SIEM analysiert Logfiles und erkennt Vorfälle
Damit ein SIEM relevante Ereignisse erkennen kann, benötigt es die Daten von möglichst vielen Systemen und Anwendungen der überwachten Infrastruktur. Das sind neben den Firewalls (insbesondere Traffic-Logs) und Windows-Systemen (z.B. An- und Abmeldeversuche) auch Webserver, Anwendungen, Virenscanner, Intrusion Detection/Prevention Systeme, möglicherweise sogar Netflow-Daten von Routern und Switches.
Das SIEM korreliert diese Daten und kann dadurch Anomalien erkennen, die auf einen möglichen vielleicht sogar bereits erfolgreichen Angriff hinweisen. Häufig verwendet das SIEM dafür sogenannte Indicator of Compromise (IoC), die entweder bereits vorkonfiguriert sind, bei der Konfiguration des SIEMs angelegt werden oder über Threat Intelligence gewonnen werden können.
Erkennbare Ereignisse sind beispielsweise:
- Eine hohe Anzahl fehlerhafter Anmeldeversuche eines Benutzeraccounts
- Eine gleichzeitige Anmeldung eines nicht-administrativen Benutzers gleichzeitig oder kurz nacheinander an vielen Systemen
- Eine gleichzeitige Anmeldung lokal an der Konsole und Remote über VPN
- Zugriffe von Clients auf bekannte Schadcode-Domänen oder IP-Adressen von C&C-Servern
- Viele Dateien auf die sehr kurz nacheinander zugegriffen und/oder die sehr schnell nacheinander verändert werden
- Große Datenmengen, die plötzlich nach außen übertragen werden
In so einem Fall kann das SIEM den Vorfall melden und, ggf. in Kombination mit einem Security Orchestration, Automation and Response (SOAR) automatisch Gegenmaßnahmen einleiten.
Die Datenmengen eines SIEM sind nicht unerheblich. Bereits in mittelständischen Infrastrukturen fallen schnell 10-20 GByte pro Tag an Logfiles an, die verarbeitet und ausgewertet werden müssen. Sollen Logfiles über einen längeren Zeitraum, z.B. 90 Tage aufbewahrt werden, müssen ausreichend große (und schnelle) Speicher bereitgestellt werden. In sehr großen Infrastrukturen können pro Tag auch mehrere Terabyte an Logdaten anfallen, insbesondere wenn auch Telemetrie- und Netflow-Daten verarbeitet werden sollen.
Verschiedene Betriebsformen
Beim Einrichten eines SIEMs ist eine der ersten Fragen, wo das SIEM betrieben wird und wer der Betreiber ist.
On Premise: Die immer noch am weitesten verbreitete Variante ist der Betrieb des SIEM in Ihrer eigenen Infrastruktur. Der wichtigste Vorteil ist, dass alle, insbesondere auch sensible Daten auf Ihren eigenen Systemen bleiben. Gerade in Hinblick auf den Datenschutz ist das ein gewichtiges Argument. Außerdem müssen keine größeren Datenmengen über das Internet übertragen werden. Der größte Nachteil ist, dass Sie für den Betrieb des SIEMs fachlich geeignete personelle Ressourcen bereitstellen müssen. Dabei genügt es nicht, das SIEM allgemein zu administrieren. Um alle Möglichkeiten auszuschöpfen, muss sich der SIEM-Administrator auch mit IoCs, der Reaktion auf Ereignissen, also SOAR und Threat Intelligence beschäftigen und auskennen.
Cloud: Verstärkt werden SIEM-Systeme deshalb in die Cloud verlagert. Allerdings müssen, reduziert durch Kompression und Vorfilterung, immer noch mehrere GBytes pro Tag in die Cloud geladen werden. Ein weiterer Nachteil ist, dass ggf. auch sensible Logfiles, die umfangreiche Analysen Ihres Unternehmens und Ihrer Mitarbeiter erlauben, an Dritte übermittelt werden. Der zentrale Vorteil ist jedoch, dass die Entwicklung von IoCs und vor allem der dafür notwendigen Threat Intelligence durch den Cloud-Anbieter geleistet wird, der dafür spezialisierte Mitarbeiter beschäftigen kann.
Security Operation Center: Ein Cloud-basiertes SIEM kann zwar sicherheitsrelevante Ereignisse erkennen und Ihr Unternehmen informieren, irgendjemand muss jedoch immer noch Gegenmaßnahmen einleiten. Verschiedene Dienstleister bieten deshalb den Betrieb eines Security Operation Center (SOC) an, an das Ihre Systeme angebunden werden. Die Mitarbeiter des Dienstleisters betreiben und überwachen das SIEM. Wird ein Ereignis ausgelöst, kann das SOC reagieren, das Ereignis bewerten, unwichtige Ereignisse aussortieren und für kritische Ereignisse Gegenmaßnahmen einleiten.
Unsere Leistung
Wir ermitteln Ihre Anforderungen an ein SIEM. Wir beraten Sie bei der Auswahl einer geeigneten On Premise Lösung und unterstützen Sie bei der Implementierung. Alternativ unterstützen wir Sie bei der Auswahl eines geeigneten Cloud- oder SOC-Anbieters.
Wir entwickeln für Sie die notwendigen Use Cases und Erkennungsregeln für sicherheitsrelevante Ereignisse und implementieren diese Regeln in Ihrem SIEM. Wir prüfen die Erkennung sicherheitsrelevanter Ereignisse durch unsere Test-Suite, die typische Sicherheitsvorfälle und Angriffe simuliert und werten die Erkennungsrate des SIEM aus. Und natürlich helfen wir Ihnen bei der Optimierung der Erkennungsregeln.
Zuletzt prüfen wir auf Wunsch Ihr SIEM als wirksames System der Angriffserkennung im Sinne des § 8a Abs. 1a BSIG.