Die besten SIEM-Tools
Tools für Security Information und Event Management (SIEM) bieten einen konsolidierten Überblick über Security-Ereignisse und Bedrohungen. Wir stellen die besten Tools vor.
SIEM verspricht einen konsolidierten Überblick über Security-Ereignisse und Bedrohungen. Anwender sollen Angriffe schnell erkennen und gezielt darauf reagieren können. Lesen Sie worauf es bei den Tools ankommt.
Wenn Sie Ihr Unternehmen vor Sicherheitsbedrohungen schützen wollen, brauchen Sie maximale Transparenz. Das ist der Grundgedanke, der hinter Software für Security Information and Event Management (SIEM) steckt, die für die meisten großen und mittleren Unternehmen unerlässlich ist.
SIEM-Software erfasst in Echtzeit Ereignisund Protokolldaten von einer Reihe von Netzwerkgeräten, Servern, Systemsoftwares und anderer IT-Infrastruktur. Ziel ist es, Muster oder Anomalien zu entdecken und Warnmeldungen zu senden, wenn potenzielle Bedrohungen identifiziert werden. SIEM-Tools können daher eine wichtige Rolle bei der Reaktion auf Sicherheitsvorfälle spielen.
Weil auch SIEM-Software in die Cloud verlagert, mit Threat-Intelligence-Systemen integriert, sowie um Analytics- und Machine-LearningFunktionen angereichert wird, entwickelt sich dieser Bereich rasant weiter. Die Auswahl einer passenden SIEM-Lösung zu treffen, ist nicht trivial. Zum einen sind die Investitionskosten vergleichsweise hoch, zum anderen gestaltet sich der Konfigurationsprozess ziemlich komplex. Die meisten Anwender möchten das nicht mehrfach durchlaufen.
SIEM – darauf kommt es an
Um Unternehmen bei der SIEM-Entscheidung unter die Arme zu greifen, haben wir die wichtigsten Aspekte zusammengestellt, über die Sie sich in Bezug Software vorab Gedanken machen sollten.
Cloud oder On-Premises?
Die meisten modernen SIEM-Lösungen werden im SaaS-Modell angeboten, um sie schneller anpassen und Funktionen hinzufügen zu können. Die in der Cloud verfügbaren, nahezu grenzenlosen Ressourcen machen es den Anbietern auch leichter, MachineLearning-Funktionen zu integrieren. Diese benötigen große Mengen von Referenzdaten, bevor sie verdächtiges Verhalten identifizieren können. Allgemeiner Konsens ist daher, dass SaaS und SIEM gut zusammenpassen.
Trotzdem sind einige Unternehmen auf ein On-Premises-SIEM angewiesen. Das ist dann der Fall, wenn Log Files oder ähnliche Daten in einer lokalen Infrastruktur gespeichert werden müssen. Für diese Fälle gibt es einige wenige Optionen.
Analysefähigkeiten
Eine SIEM-Lösung ist nur so gut wie die Informationen, die sie bereitstellt. Für Unternehmen gibt es keinen Sinn, sämtliche Logund Ereignisdaten aus der Infrastruktur zu sammeln, wenn diese nicht dabei helfen, Probleme zu identifizieren und fundierte Entscheidungen zu treffen. Heutzutage beinhalten die Analysefunktionen von SIEM-Systemen in den meisten Fällen maschinelles Lernen, um Anomalien in Echtzeit zu erkennen und ein genaues Frühwarnsystem bereitzustellen. Damit lassen sich potenzielle Angriffe oder Anwendungs- oder Netzwerkfehler genau unter die Lupe nehmen.
Der individuelle Bedarf an SIEM-Analysen hängt von vielen Faktoren ab. Folgende Fragen sollten sich Sicherheitsprofis stellen, um ihre Plattformoptionen einzugrenzen:
Welche Art von Systemen ist zu überwachen?
Wie steht es um die Fähigkeiten des Unternehmens, Dashboards und Berichte zu erstellen oder Analysen durchzuführen? Haben Sie bereits in eine Analytics-Plattform investiert, die Sie nutzen möchten?
Wer wenig Erfahrung und Skills besitzt, sollte sich SIEM-Lösungen mit einer umfangreichen Dashboard-Bibliothek anschauen oder auch entsprechende Managed-Services-Angebote.
Log-Ingestion
Eine weitere praktische Überlegung betrifft die Art und Weise, wie Daten vom SIEM genutzt werden. Im Allgemeinen handelt es sich dabei um eine Kombination aus Push- und Pull-Verfahren: Softwareagenten ziehen Log- und Ereignisdaten von einigen Systemen, während Netzwerk-Hardware und Cloud-Anwendungen Ereignisdaten über eine Integration oder eine API direkt an das SIEM senden.
Daran schließt sich die Frage an, ob das SIEM die Schlüsselinformationen aus Ihren Ereignissen von Anfang an richtig identifizieren kann. Idealerweise sollte Ihr Security Information and Event Management ein hohes Maß an Genauigkeit beim Parsen von Ereignisdaten aus den meisten gängigen Systemen aufweisen, ohne dass Anpassungen erforderlich sind. Darüber hinaus sollten Sie darauf achten, dass Ihr SIEMSystem Flexibilität bietet, wenn es um die Frage geht, wie Ereignisdaten verarbeitet werden.
Alarm-Konfiguration
Ein Motiv für die Anschaffung eines modernen SIEM ist die Echtzeitüberwachung der Systeme. Aber auch das bringt nur wenig, wenn ein Mensch das System auf Alarme oder Benachrichtigungen (in Form von E-Mails, Textnachrichten oder Push-Mitteilungen an mobile Geräte) überwacht.
Wie jeder Email-Benutzer weiß, besteht das Problem bei Alarmen und Benachrichtigungen darin, deren Volumen überschaubar zu halten. Erhalten die Benutzer zu viele Hinweise, werden sie diese ignorieren, vielleicht sogar deaktivieren. Sind es zu wenige, können kritische Bedrohungen unerkannt bleiben. Es ist deshalb wichtig, Mitteilungen – einschließlich Regeln, Schwellenwerten und Benachrichtigungsmethoden – möglichst flexibel konfigurieren zu können.
Automatisierte Behebung
In einer perfekten Welt würden Computersysteme einen Angriff oder ein Anwendungsproblem erkennen und automatisch Schritte zu dessen Behebung einleiten. Das ist in dieser Form zwar noch nicht möglich, aber in bestimmten Szenarien ist es sinnvoll, bestimmte Ereignisse mit einer automatischen Reaktion zu verknüpfen (zum Beispiel Sperren eines Benutzerkontos, Hinzufügen einer IP-Adresse zu einer Blacklist, et cetera).
Eine wichtige Automatisierungsfunktion ist die Fähigkeit des Systems, in Regeln „hineinzuwachsen“. Das beginnt mit der Überwachung und Alarmierung (zur Feinabstimmung der Bedingungen und zur Begrenzung von Fehlalarmen) bis hin zur vollautomatischen Abhilfe, sobald das volle Vertrauen in Ihre Regelbedingungen hergestellt ist.
Rollenbasierter Zugriff
Rollenbasierter Zugriff ist für große Unternehmen mit unterschiedlichen Geschäftsbereichen, mehreren Anwendungsteams oder verstreuten Standorten unerlässlich. Administratoren, Entwicklern und Analysten den Zugriff auf die Log-Ereignisse zu gewähren, die sie auch benötigen, ist nicht nur eine Frage von Bequemlichkeit, sondern auch eine Voraussetzung für das Least-Privilege-Prinzip.
Die Ereignisse, die ein SIEM-Tool erfasst, weisen oft einen hohen Detailgrad hinsichtlich Anwendungs- und Servicefunktionalität auf oder sogar darüber, wie Geräte in Ihrem Netzwerk konfiguriert sind. Der unerlaubte Zugriff auf diese Ereignisdaten kann böswilligen Akteuren zugutekommen. Begrenzter Zugriff auf SIEM-Ereignisdaten ist aus gutem Grund eine Best Practice: Sie begrenzt auch die Auswirkungen bei kompromittierten Konten und trägt letztlich zum Schutz Ihres gesamten Netzwerks bei.
Einhaltung gesetzlicher Vorschriften
Viele Branchenvorschriften – beispielsweise HIPAA – erfordern nicht nur die Verwendung eines SIEM oder eines ähnlichen Dienstprogramms, sondern legen auch fest, wie die Lösung konfiguriert werden muss. Sie sollten die jeweils für sie relevanten Anforderungen im Detail prüfen. Zu den Dingen, auf die Sie achten sollten, gehören:
Aufbewahrungsfristen, Verschlüsselungsanforderungen (sowohl für Daten bei der Übertragung, als auch für Daten im Ruhezustand), digitale Signaturen (um sicherzustellen, dass Ereignisdaten nicht in irgendeiner Weise verändert werden) und Berichtspflichten.
Denken Sie auch daran, dass die meisten Compliance-Regelungen ein Audit- oder Berichts
element enthalten. Stellen Sie also sicher, dass Ihre SIEM-Lösung die entsprechenden Dokumentationen oder Berichte ausgeben kann, um die Auditoren zufriedenzustellen.
Ereignis-Korrelation
Ein Grund für die Implementierung eines SIEM-Systems liegt in der Möglichkeit, Protokolle von unterschiedlichen (und/oder integrierten) Systemen in einer einzigen Ansicht zu korrelieren. Zum Beispiel könnte eine einzelne Anwendung in Ihrem Netzwerk aus verschiedenen Komponenten bestehen, wie einer Datenbank, einem Anwendungsserver und der Anwendung selbst. Ein SIEM sollte in der Lage sein, Log-Ereignisse von jeder dieser Komponenten einzubeziehen, selbst wenn diese über mehrere Hosts verteilt sind. So können Sie sehen, wie Ereignisse innerhalb einer Komponente zu Ereignissen innerhalb einer anderen Komponente führen.
Das gleiche Prinzip gilt für ein Unternehmensnetzwerk als Ganzes: In vielen Fällen können korrelierte Ereignisprotokolle verwendet werden, um verdächtige Privilege-Escalation-Vorgänge zu identifizieren oder um einen Angriff zu verfolgen, der sich auf verschiedene Segmente Ihres Netzwerks auswirkt. Diese umfassende Sichtweise wird immer relevanter, wenn Unternehmen in die Cloud wechseln oder Container-basierte Infrastrukturen wie Kubernetes implementieren.
SIEM-Ökosysteme
SIEM-Lösungen sind darauf ausgelegt, sich mit anderen Systemen von verschiedenen Anbietern zu verbinden. Natürlich gibt es Standards für den Datenaustausch – von textbasierten Log-Dateien bis hin zu Protokollen wie SNMP oder Syslog. Wenn ein SIEM direkt (oder über Plugins) mit anderen Systemen integriert werden kann, macht das die Sache einfacher. Ein robustes, ausgereiftes Ökosystem ermöglicht es, Ihr SIEM um Funktionen wie Ereignissammlung, Analyse, Alarmierung und Automatisierung zu erweitern.
Zusätzlich zu den Systemverbesserungen, die durch ein SIEM-Ökosystem erreicht werden können, gibt es aber auch andere geschäftliche Aspekte, die berücksichtigt werden sollten. Zum Beispiel sorgt ein ausgereiftes SIEM oft für eine Nachfrage nach Schulungen, fördert Community-basierten Support und hilft sogar, den Einstellungsprozess zu rationalisieren.
Interaktion über API
Ein erweiterbares Ökosystem ist eine tolle Sache, wird aber nicht alle unterschiedlichen Anforderungen jedes Unternehmens erfüllen. Wenn Ihr Geschäft mit Softwareentwicklung zu tun hat – und insbesondere, wenn Ihr Unternehmen Zeit und Mühe in Devops investiert hat – kann die Möglichkeit, mit Ihrem SIEM programmatisch zu interagieren, einen großen Unterschied machen.
Statt Entwicklungszeit für die Logging-Fähigkeit aus Sicherheits- oder Debugging-Gründen aufzuwenden, kann ein SIEM Ereignisdaten aus Ihrem benutzerdefinierten Code aufnehmen, korrelieren und analysieren.
Wie viel Sie für SIEM bezahlen sollten
SIEM-Plattformen, die als Cloud-Service zur Verfügung stehen, werden fast immer im Abonnement angeboten. Trotzdem kann Ihre Rechnung auch Nutzungsgebühren enthalten, zum Beispiel für das Volumen der Ereignisdaten oder die Anzahl der überwachten Endpunkte. Die Quintessenz: Sobald Sie Ihre geeigneten SIEM-Kandidaten eingegrenzt haben, vergleichen Sie die Abonnement- und Nutzungsgebühren en détail. Haben Sie eine Präferenz für ein teureres Angebot? Dann sollten Sie überlegen, wie damit Effizienzgewinne oder Einsparungen möglich werden.
Sie wollen mehr über die Einsatzmöglichkeiten von SIEM erfahren? Dann finden Sie auf der Website der COMPUTERWOCHE die richtigen Informationen: Analytics in der IT-Sicherheit: Ist UBA das bessere SIEM? www.cowo.de/3547290 Security meets Krise – Wie Sie ihr SIEM ohne Budget aufmöbeln www.cowo.de/3549229 Schutz vor Insider Threat mit DLO,UBA, SIEM und Forensik: Absichern gegen Innentäter www.cowo.de/3545635