SIEM & Security Monitoring

Das Thema Cybersecurity wird immer wichtiger. Welche Möglichkeiten gibt es, diese Thema Schritt für Schritt in den Griff zu bekommen und in Ihrem Unternehmen transparenter zu gestalten?

Security Information and Event Management (SIEM) ist ein Ansatz des Sicherheits-Managements, welches darauf abzielt, eine ganzheitliche Sicht auf die Sicherheit Ihrer IT zu haben.

Kurz zusammengefasst bedeutet das:
Relevante Daten über die Sicherheit Ihres Unternehmens fallen an verschiedenen Stellen an. Diese Daten werden dann an einer zentralen Stelle zusammengeführt und betrachtet. So kann man wesentlich einfacher Trends und Muster erkennen. Wenn zum Beispiel ein potenzielles Problem erkannt wird, dann protokolliert die SIEM-Lösung zusätzliche Informationen und es werden Warnmeldungen erzeugt.

Wie funktioniert ein SIEM-System?

SIEM-Systeme sammeln Ereignis- und Protokolldaten von unterschiedlichsten Systemen, wie zB Hostsysteme, Anwendungen, Antivirusprodukten oder Firewalls. Diese Daten werden in der gesamten Infrastruktur Ihres Unternehmens gesammelt. Die SIEM-Tools identifizieren und sortieren die Daten in Kategorien wie erfolgreiche und fehlgeschlagene Anmeldungen, Malware-Aktivitäten und andere (wahrscheinlich) bösartige Aktivitäten.

Über vordefinierte Regeln können Ihre Administratoren diese Warnungen mit hohen oder niedrigen Prioritäten festlegen. Erfolgen zB bei einem Benutzerkonto 25 fehlgeschlagene Anmeldeversuche in 25 Minuten, dann kann dies als verdächtig (aber noch nicht kritisch) vermerkt werden. Wenn ein Benutzerkonto hingegen innerhalb von fünf Minuten 100 fehlgeschlagene Anmeldeversuche verzeichnet, wird dies mit einer hohen Priorität versehen, da es sich mit hoher Wahrscheinlichkeit um eine bösartige Aktivität handelt.

Warum ist der Einsatz eines SIEM-Systems wichtig?
Ein SIEM-System kann das Sicherheitsmanagement wesentlich erleichtern. Es erlaubt Unternehmen, Vorfälle zu erkennen, die andernfalls unentdeckt geblieben wären. Mit Hilfe von SIEM-Systemen sind Protokolldaten zentral verfügbar und Berichte können angefertigt werden. Auch nach einem Vorfall können SIEM-Lösungen hilfreiche Dienste leisten. Es kann den Ursprung eines Angriffs aufdecken und Quellen identifiziert werden. Über automatisierte Tools können laufende Angriffe gestoppt oder eingegrenzt werden.

Was sind die Vorteile eines SIEM-Systems?

  • Sicherheitsrelevante Daten werden automatisiert von einem System gesammelt und analysiert
  • Bedrohungen lassen sich erkennen und lösen Sicherheitswarnungen aus
  • Die Quelle kann schneller entdeckt werden und die Zeit für die Identifizierung verkürzt sich erheblich
  • Schäden durch Cyberangriffe können reduziert werden
  • Audit- und Compliance-Berichte
  • Unterstützung des Helpdesks und beim Datenschutz

Wie gehen wir mit SIEM Projekten um?
Es gibt ganz Unterschiedliche Herangehensweisen an das Thema, je nach Anforderung den Kunden und auch abhängig davon ob schon ein Logmanagement (Link) vorhanden ist.
Die Grundlage ist aber immer eine Bestandsaufnahme der Systeme & Daten. Dann können wir den Kunden sagen ob und in welcher Form die Anforderungen umsetzbar sind.
Wenn der Kunde schon Use-Cases definiert hat, können wir konkret sagen, ob die vorhandenen Daten ausreichend sind, oder noch etwas hinzugefügt werden muss.
Gibt es noch keine Use-Cases machen wir Ihnen Vorschläge was mit den vorhandenen Daten möglich ist. Dabei gehen wir Schritt für Schritt vor. So wird die Qualität der Auswertungen sichergestellt und die Nutzer der Daten & Dashboards können sich einarbeiten. So ist auch genügend Zeit um etwa Prozesse anzupassen oder andere organisatorische Maßnahmen umzusetzen.
Da sich IT-Systeme ständig verändern sorgen wir dafür das ihr Logmanagement auch für neue Anforderungen gewappnet ist.

Brauchen wir ein SIEM System, oder genügt ein Logmanagement System?
Das hängt von Ihren Anforderungen und von den Features des Logmanagements ab.
Bei dieser Frage können wir Ihnen gerne mit einer individuellen Beratung weiterhelfen