Sicherheitsinformations- und Ereignismanagement (SIEM)

September 16, 2020
No Comments

Sicherheitsinformations- und Ereignismanagement (SIEM) ist ein Ansatz für das Sicherheitsmanagement, bei dem die Funktionen SIM (Sicherheitsinformationsmanagement) und SEM (Sicherheitsereignismanagement) in einem zusammengefasst werden Sicherheitsmanagementsystem. Das Akronym SIEM wird mit einem stillen e als „sim“ ausgesprochen.

Die zugrunde liegenden Prinzipien jedes SIEM-Systems bestehen darin, relevante Daten aus mehreren Quellen zu aggregieren, Abweichungen von der Norm zu identifizieren und geeignete Maßnahmen zu ergreifen. Wenn beispielsweise ein potenzielles Problem erkannt wird, protokolliert ein SIEM-System möglicherweise zusätzliche Informationen, generiert eine Warnung und weist andere Sicherheitskontrollen an, den Fortschritt einer Aktivität zu stoppen.

Auf der grundlegendsten Ebene ein SIEM-System kann regelbasiert sein oder eine statistische Korrelations-Engine verwenden, um Beziehungen zwischen Ereignisprotokolleinträgen herzustellen. Erweiterte SIEM-Systeme wurden entwickelt, um Benutzer- und Entitätsverhaltensanalysen (UEBA) sowie Sicherheits-Orchestrierung, Automatisierung und Antwort (SOAR) zu umfassen.

Die Einhaltung des PCI DSS (Payment Card Industry Data Security Standard) hat ursprünglich die Einführung von SIEM in großen Unternehmen vorangetrieben. Bedenken hinsichtlich fortgeschrittener persistenter Bedrohungen (Advanced Persistent Threats, APTs) haben kleinere Unternehmen dazu veranlasst, die Vorteile von SIEM Managed Security Service Providern (MSSPs) zu prüfen. Die Möglichkeit, alle sicherheitsrelevanten Daten von einem einzigen Standpunkt aus zu betrachten, erleichtert es Unternehmen jeder Größe, ungewöhnliche Muster zu erkennen.

SIEM-Systeme arbeiten mit der Bereitstellung mehrerer Daten Sammeln Sie Agenten auf hierarchische Weise, um sicherheitsrelevante Ereignisse von Endbenutzergeräten, Servern und Netzwerkgeräten sowie von speziellen Sicherheitsgeräten wie Firewalls, Antiviren- oder Intrusion Prevention-Systemen (IPS) zu erfassen. Die Kollektoren leiten Ereignisse an eine zentrale Verwaltungskonsole weiter, in der Sicherheitsanalysten das Rauschen sichten, die Punkte verbinden und Sicherheitsvorfälle priorisieren.

In einigen Systemen kann bei Edge-Kollektoren eine Vorverarbeitung auftreten , wobei nur bestimmte Ereignisse an einen zentralen Verwaltungsknoten weitergeleitet werden. Auf diese Weise kann das Informationsvolumen, das kommuniziert und gespeichert wird, reduziert werden. Obwohl Fortschritte beim maschinellen Lernen den Systemen helfen, Anomalien genauer zu kennzeichnen, müssen Analysten dennoch Feedback geben und das System kontinuierlich über die Umgebung informieren.

Hier sind einige der wichtigsten Funktionen, die bei der Bewertung von SIEM-Produkten überprüft werden müssen:

  • Integration mit anderen Steuerelementen. Kann das System anderen Sicherheitskontrollen im Unternehmen Befehle erteilen, um laufende Angriffe zu verhindern oder zu stoppen?
  • Künstliche Intelligenz (KI). Kann das System seine eigene Genauigkeit durch maschinelles Lernen und tiefes Lernen verbessern?
  • Feeds mit Bedrohungsinformationen. Kann das System Bedrohungsinformationen-Feeds unterstützen, die von der Organisation ausgewählt wurden, oder ist es verpflichtet, einen bestimmten Feed zu verwenden?
  • Umfangreiche Compliance-Berichte. Enthält das System integrierte Berichte für allgemeine Compliance-Anforderungen und stellt die bereit Organisation mit der Möglichkeit, Compliance-Berichte anzupassen oder neue Compliance-Berichte zu erstellen?
  • Forensik-Funktionen. Kann das System zusätzliche Informationen zu Sicherheitsereignissen erfassen, indem es die Header und Inhalte von interessierenden Paketen aufzeichnet?

Wie funktioniert SIEM?

SIEM-Tools erfassen Ereignis- und Protokolldaten, die von Hostsystemen, Anwendungen und Sicherheitsgeräten wie Antivirenfiltern und Firewalls erstellt wurden, in der gesamten Infrastruktur eines Unternehmens und bringen diese ein Daten zusammen auf einer zentralen Plattform. Die SIEM-Tools identifizieren und sortieren die Daten in Kategorien wie erfolgreiche und fehlgeschlagene Anmeldungen, Malware-Aktivitäten und andere wahrscheinliche böswillige Aktivitäten.

Die SIEM-Software generiert dann Sicherheitswarnungen, wenn sie potenzielle Sicherheitsprobleme identifiziert. Mithilfe einer Reihe vordefinierter Regeln können Organisationen diese Warnungen als niedrige oder hohe Priorität festlegen.

Beispielsweise kann ein Benutzerkonto, das in 25 Minuten 25 fehlgeschlagene Anmeldeversuche generiert, als verdächtig gekennzeichnet werden, aber dennoch festgelegt werden Eine niedrigere Priorität, da die Anmeldeversuche wahrscheinlich von dem Benutzer durchgeführt wurden, der wahrscheinlich seine Anmeldeinformationen vergessen hatte.

Ein Benutzerkonto, das in fünf Minuten 130 fehlgeschlagene Anmeldeversuche generiert, wird jedoch als mit hoher Priorität gekennzeichnet Ereignis, weil es sich höchstwahrscheinlich um einen Brute-Force-Angriff handelt.

Warum ist SIEM wichtig?

SIEM ist wichtig, weil es Unternehmen die Verwaltung der Sicherheit durch massives Filtern erleichtert Mengen an Sicherheitsdaten und Priorisierung der von der Software generierten Sicherheitswarnungen.

Mit der SIEM-Software können Unternehmen Vorfälle erkennen, die ansonsten möglicherweise unentdeckt bleiben. Die Software analysiert die Protokolleinträge, um Anzeichen für böswillige Aktivitäten zu identifizieren.Da das System Ereignisse aus verschiedenen Quellen im Netzwerk sammelt, kann es außerdem die Zeitachse eines Angriffs neu erstellen, sodass ein Unternehmen die Art des Angriffs und seine Auswirkungen auf das Unternehmen bestimmen kann.

Ein SIEM Das System kann einem Unternehmen auch dabei helfen, die Compliance-Anforderungen zu erfüllen, indem automatisch Berichte erstellt werden, die alle protokollierten Sicherheitsereignisse in diesen Quellen enthalten. Ohne SIEM-Software müsste das Unternehmen Protokolldaten erfassen und die Berichte manuell erstellen.

Ein SIEM-System verbessert auch das Incident Management, indem es dem Sicherheitsteam des Unternehmens ermöglicht, den Weg eines Angriffs über das Netzwerk aufzudecken , identifizieren Sie die Quellen, die kompromittiert wurden, und stellen Sie die automatisierten Tools bereit, um die laufenden Angriffe zu verhindern.

Vorteile von SIEM

Einige der Vorteile von SIEM umfassen Folgendes:

  • verkürzt die Zeit, die zum Erkennen von Bedrohungen benötigt wird, erheblich und minimiert den Schaden durch diese Bedrohungen.
  • bietet eine ganzheitliche Ansicht der Informationssicherheitsumgebung eines Unternehmens und erleichtert das Sammeln und Analysieren Sicherheitsinformationen zum Schutz der Systeme – Alle Daten eines Unternehmens werden in einem zentralen Repository gespeichert, in dem sie gespeichert und leicht zugänglich sind.
  • kann von Unternehmen für eine Vielzahl von Anwendungsfällen verwendet werden, die sich um Daten drehen oder Protokolle, einschließlich Sicherheitsprogramme, Audit- und Compliance-Berichte, er Fehlerbehebung bei LP Desk und Netzwerk;
  • unterstützt große Datenmengen, damit Unternehmen ihre Daten weiter skalieren und erweitern können;
  • bietet Bedrohungserkennung und Sicherheitswarnungen; und
  • kann bei größeren Sicherheitsverletzungen detaillierte forensische Analysen durchführen.

Einschränkungen von SIEM

Trotz seiner Vorteile gibt es noch einige Einschränkungen von SIEM, einschließlich der folgenden:

  • Die Implementierung dauert normalerweise lange, da Unterstützung erforderlich ist, um eine erfolgreiche Integration in die Sicherheitskontrollen eines Unternehmens und die vielen Hosts in seiner Infrastruktur sicherzustellen. Die Installation von SIEM dauert in der Regel 90 Tage oder länger, bevor es funktioniert.
  • Es ist teuer. Die anfängliche Investition in SIEM kann in Hunderttausenden von Dollar liegen. Die damit verbundenen Kosten können sich auch summieren, einschließlich der Personalkosten für die Verwaltung und Überwachung einer SIEM-Implementierung, des jährlichen Supports und der Software oder Agenten zur Datenerfassung.
  • Das Analysieren, Konfigurieren und Integrieren von Berichten erfordert das Talent von Experten. Aus diesem Grund werden einige SIEM-Systeme direkt in einem Security Operations Center (SOC) verwaltet, einer zentralen Einheit, die von einem Informationssicherheitsteam besetzt ist, das sich mit Sicherheitsproblemen eines Unternehmens befasst.
  • SIEM-Tools hängen normalerweise davon ab Regeln zur Analyse aller aufgezeichneten Daten. Das Problem ist, dass das Netzwerk eines Unternehmens eine große Anzahl von Warnungen generiert – normalerweise 10.000 pro Tag -, die möglicherweise positiv sind oder nicht. Folglich ist es aufgrund der Anzahl irrelevanter Protokolle schwierig, potenzielle Angriffe zu identifizieren.
  • Ein falsch konfiguriertes SIEM-Tool kann wichtige Sicherheitsereignisse übersehen, wodurch das Management von Informationsrisiken weniger effektiv wird.

SIEM-Tools und -Software

Einige der Tools Fügen Sie im SIEM-Bereich Folgendes hinzu:

  • Splunk. Splunk ist ein vollständiges lokales SIEM-System. Splunk unterstützt die Sicherheitsüberwachung und bietet erweiterte Funktionen zur Erkennung von Bedrohungen.
  • IBM QRadar. QRadar kann je nach den Anforderungen und der Kapazität eines Unternehmens als Hardware-Appliance, virtuelle Appliance oder Software-Appliance bereitgestellt werden. QRadar on Cloud ist ein Cloud-Service, der von IBM Cloud basierend auf dem QRadar SIEM-Produkt bereitgestellt wird.
  • LogRhythm. LogRhythm, ein gutes SIEM-System für kleinere Unternehmen, vereint SIEM, Protokollverwaltung, Netzwerk- und Endpunktüberwachung und Forensik sowie Sicherheitsanalysen.
  • Exabeam. Das SIEM-Produkt von Exabeam bietet verschiedene Funktionen, darunter UEBA, ein Datensee, erweiterte Analysefunktionen und ein Bedrohungsjäger.
  • RSA. Die RSA NetWitness Platform ist ein Tool zur Erkennung und Reaktion von Bedrohungen, das Datenerfassung, Weiterleitung, Speicherung und Analyse umfasst. RSA bietet auch SOAR an.

Auswahl des richtigen SIEM-Produkts

Die Auswahl des richtigen SIEM-Tools hängt von einer Reihe von Faktoren ab, einschließlich des Budgets und der Organisation Sicherheitslage.

Unternehmen sollten jedoch nach SIEM-Tools suchen, die die folgenden Funktionen bieten:

  • Compliance-Berichterstellung;
  • Reaktion auf Vorfälle und Forensik;
  • Überwachung des Datenbank- und Serverzugriffs;
  • Erkennung interner und externer Bedrohungen;
  • Überwachung, Korrelation und Analyse von Bedrohungen in Echtzeit in einer Vielzahl von Anwendungen und Systemen;
  • Intrusion Detection System (IDS), IPS, Firewall, Ereignisanwendungsprotokoll und andere Anwendungs- und Systemintegrationen,
  • Bedrohungsinformationen und
  • Überwachung der Benutzeraktivität ( UAM).

Geschichte von SIEM

Die SIEM-Technologie, die seit Mitte der 2000er Jahre existiert, entwickelte sich zunächst aus der Disziplin der Protokollverwaltung, den kollektiven Prozessen und Richtlinien für die Verwaltung und Erleichterung der Generierung, Übertragung, Analyse, Speicherung, Archivierung und endgültigen Entsorgung der großen Mengen an Protokolldaten, die in einem Informationssystem erstellt wurden.

Analysten von Gartner Inc. haben den Begriff SIEM im Gartner-Bericht 2005 „Improve“ geprägt IT-Sicherheit mit Vulnerability Management. “ In dem Bericht schlugen die Analysten ein neues Sicherheitsinformationssystem vor, das auf SIM und SEM basiert.

Basierend auf älteren Protokollsammlungsverwaltungssystemen führte SIM eine Langzeitspeicheranalyse und Berichterstattung über Protokolldaten ein. SIM integrierte auch Protokolle mit Bedrohungsinformationen. SEM befasste sich mit der Identifizierung, Erfassung, Überwachung und Meldung sicherheitsrelevanter Ereignisse in Software, Systemen oder IT-Infrastruktur.

Anschließend erstellten die Anbieter SIEM, indem sie SEM kombinierten, das Protokoll- und Ereignisdaten in Echtzeit analysiert und eine Bedrohungsüberwachung bereitstellt , Ereigniskorrelation und Reaktion auf Vorfälle mit SIM, das Protokolldaten sammelt, analysiert und meldet.

Die Zukunft von SIEM

Die zukünftigen Trends von SIEM umfassen Folgendes:

  • Verbesserte Orchestrierung. Derzeit bietet SIEM Unternehmen nur grundlegende Workflow-Automatisierung. Da Unternehmen jedoch weiter wachsen, muss SIEM zusätzliche Funktionen anbieten. Aufgrund der zunehmenden Kommerzialisierung von KI und maschinellem Lernen müssen SIEM-Tools beispielsweise eine schnellere Orchestrierung bieten, um den verschiedenen Abteilungen innerhalb eines Unternehmens das gleiche Schutzniveau zu bieten. Darüber hinaus werden die Sicherheitsprotokolle und die Ausführung dieser Protokolle schneller sowie effektiver und effizienter.
  • Bessere Zusammenarbeit mit MDR-Tools (Managed Detection and Response). Da die Bedrohung durch Hacking und nicht autorisierten Zugriff weiter zunimmt, ist es wichtig, dass Unternehmen einen zweistufigen Ansatz implementieren, um Sicherheitsbedrohungen zu erkennen und zu analysieren. Das IT-Team eines Unternehmens kann SIEM intern implementieren, während ein Managed Service Provider (MSP) ) kann das MDR-Tool implementieren.
  • Verbesserte Cloud-Verwaltung und -Überwachung. SIEM-Anbieter werden die Cloud-Verwaltungs- und Überwachungsfunktionen ihrer Tools verbessern, um die Sicherheitsanforderungen von Organisationen, die die Cloud verwenden, besser zu erfüllen.
  • SIEM und SOAR werden sich zu einem Tool entwickeln. Suchen Sie nach traditionellen SIEM-Produkten, um die Vorteile von SOAR zu nutzen. SOAR-Anbieter werden jedoch wahrscheinlich darauf reagieren, indem sie die Funktionen ihrer Produkte erweitern.

Articles
Previous Post

Frenchmen Street (Deutsch)
Next Post

Beste Grand Canyon-Ansichten
Schreibe einen Kommentar