leowolfert - Fotolia

Darauf sollten Unternehmen bei der Auswahl einer SIEM-Lösung achten

Vor dem Kauf einer SIEM-Lösung sollten Unternehmen eine ausführliche Evaluierung durchführen, um wirklich das am besten passende Produkt zu finden.

SIEM-Produkte und -Dienste (Security Information and Event Management) sammeln, analysieren und erstellen Berichte aus Protokolldaten, die von Security-Lösungen, Betriebssystemen, Enterprise-Anwendungen und anderer Software bereitgestellt werden, die in Unternehmen im Einsatz sind. Manche SIEM-Lösungen haben auch die Fähigkeit, von ihnen erkannte Angriffe selbst zu stoppen, um den Schaden zu begrenzen oder um rechtzeitig einzugreifen, bevor überhaupt ein Schaden entstehen kann.

Heutzutage gibt es viele verschiedene SIEM-Lösungen. Die Palette reicht von vergleichsweise einfachen und leichter zu implementierenden Systemen bis zu umfangreichen Lösungen, die ein breites Spektrum an Funktionen bieten. Es ist deswegen nicht immer einfach, herauszufinden, welche Produkte in die engere Auswahl einbezogen werden sollten. Noch schwieriger ist es, das beste Produkt für eine Organisation oder eine Abteilung innerhalb einer größeren Einheit zu finden. Teil der Evaluierung von SIEM-Lösungen sollte aus diesen Gründen die Erstellung einer Liste mit Anforderungen und wichtigen Kriterien sein, die dann genutzt werden kann, um benötigte Fähigkeiten herauszufiltern, die für das jeweilige Unternehmen besonders wichtig sind.

Dieser Beitrag listet einige wichtige Kriterien in Frageform auf, die Unternehmen in ihre Evaluierung mit aufnehmen sollten. Einfachere SIEM-Lösungen mit eingeschränkten Fähigkeiten stehen dabei nicht im Fokus, da sie leichter zu bewerten sind. Stattdessen geht es um ausgereifte SIEM-Lösungen, die insbesondere im Vergleich zu anderen Security-Systemen eine besondere Aufmerksamkeit verdienen.

Wie sieht die Unterstützung der SIEM-Lösung für die relevanten Protokolldaten aus?

Eine SIEM-Lösung hat nur einen reduzierten Nutzen, wenn sie nicht alle in einem Unternehmen vorhandenen Log-Quellen empfangen und verstehen kann, die für die jeweilige Organisation von Bedeutung sind. Dazu gehören vor allem die in einem Betrieb eingesetzten Sicherheitssysteme wie Firewalls, Virtual Private Networks (VPNs), Intrusion Prevention Systeme (IPS), E-Mail- und Web-Security-Gateways sowie Antimalware-Produkte. Die in die engere Wahl einbezogenen SIEM-Lösungen sollten auf alle Log-Dateien zugreifen können, die von den größeren Herstellern und Cloud-Anbietern in diesen Bereichen entwickelt werden.

Darüber hinaus sollte ein SIEM direkten Support für alle in einem Unternehmen eingesetzten Betriebssysteme bieten. Eine Ausnahme sind mobile Betriebssysteme, die bislang oft keine Möglichkeiten zur Speicherung von Protokollen bieten. Eine SIEM-Lösung sollte außerdem alle größeren Datenbanken unterstützen, die ein Unternehmen nutzt, sowie alle Anwendungen, die es mehreren Anwendern ermöglichen, mit sensiblen Daten zu arbeiten. Eingebauter SIEM-Support für andere Software, die eine Firma einsetzt, ist ebenfalls wünschenswert, aber in der Regel nicht unbedingt notwendig.

Wenn eine SIEM-Lösung keine integrierte Möglichkeit bietet, auf eine bestimmte Quelle zuzugreifen, kann entweder selbst eine passende Schnittstelle entwickelt werden oder es muss auf diese Daten verzichtet werden.

Kann die SIEM-Lösung vorhandene Logging-Fähigkeiten sinnvoll ergänzen?

Einige in einem Unternehmen eingesetzte Anwendungen und andere genutzte Software verfügen möglicherweise nicht über robuste eigene Funktionen, um durch ein SIEM verwertbare Protokolle zu erstellen.

Manche SIEM-Lösungen und -Dienste können dies durch eigenes Monitoring ergänzen, um so Lücken in der Überwachung zu schließen. Das bedeutet, dass ein SIEM nicht nur ein zentrales System zur Sammlung von Daten sein muss, sondern seinerseits auch selbst Rohdaten für andere Lösungen sammeln und bereitstellen kann.

Wie effektiv kann die SIEM-Lösung Threat-Intelligence-Daten nutzen?

Die meisten SIEM-Lösungen integrieren Feeds aus verschiedenen Threat-Intelligence-Quellen. Diese Feeds stammen oft von unterschiedlichen Anbietern und enthalten aktuelle Daten zu Bedrohungen, die weltweit beobachtet wurden. Dazu zählen auch Informationen über die für Angriffe verwendeten Server und ihre jeweiligen Charakteristiken. Der große Vorteil beim Einsatz dieser Feeds ist, dass sich dadurch Attacken auf die eigene Organisation schneller identifizieren lassen. Außerdem ermöglichen sie fundierte Entscheidungen darüber, welche Angriffe gestoppt werden müssen und welches die besten Mittel dazu sind.

Die Qualität der einzelnen Threat-Intelligence-Feeds variiert aber stark und hängt vom jeweiligen Anbieter ab. Wichtige Faktoren, die bei der Wahl eines Feeds in Betracht gezogen werden sollten, betreffen die Frequenz der Updates und wie der Anbieter die Einstufung der von ihm gemeldeten Gefahren begründet.

Welche forensischen Fähigkeiten kann ein SIEM-System bereitstellen?

Frühe SIEM-Lösungen haben nur Daten gesammelt, die andere Quellen bereitgestellt haben. Seit einiger Zeit gibt es aber auch SIEM-Produkte, die über eigene forensische Fähigkeiten verfügen und die selbst ihre eigenen Daten über verdächtige Aktivitäten sammeln können. Ein Beispiel dafür ist etwa die Fähigkeit, sämtliche Daten einer Netzwerkverbindung aufzuzeichnen, die vermutlich in Verbindung mit einer böswilligen Aktivität steht. Sofern diese Pakete nicht verschlüsselt sind, kann ein SIEM-Analyst sie anschließend gründlicher überprüfen, um den Angriff besser zu verstehen.

Eine weitere mittlerweile zu findende Möglichkeit ist die Aufzeichnung sämtlicher Aktivitäten auf einem bestimmten Host. Diese Überwachung kann entweder nur zu bestimmten Zeiten oder rund um die Uhr aktiviert werden. Insbesondere lässt sie sich nutzen, um Maschinen zu kontrollieren, die als Teil eines Angriffs erkannt wurden.

Welche Funktionen bietet die SIEM-Lösung, um erweiterte Datenanalysen durchzuführen?

SIEM-Lösungen, die zur Erkennung und Abwehr von Angriffen eingesetzt werden, sollten Funktionen für individuelle und direkte Analysen bieten, mit denen sich die automatisch ausgelösten Alarme und andere Ergebnisse ergänzen lassen. Selbst äußerst zuverlässige SIEM-Lösungen können sich gelegentlich täuschen, so dass eigene Untersuchungen nötig werden, um bestimmte Vorfälle eingehender zu untersuchen.

Dazu benötigen die Produkte leistungsfähige Schnittstellen und Interfaces, um individuelle Analysen überhaupt durchführen zu können. Dazu gehören insbesondere erweiterte Suchfunktionen und Fähigkeiten zur Datenvisualisierung.

Wie zeitnah, sicher und effektiv kann die SIEM-Lösung automatisch auf Vorfälle reagieren?

Die Fähigkeit einer SIEM-Lösung, automatisch auf bestimmte Vorfälle reagieren zu können, hängt stark von der Struktur der jeweiligen Organisation ab, also dem Netzwerk und den bereits eingesetzten Sicherheitslösungen. So kann zum Beispiel ein bestimmtes SIEM nicht in der Lage sein, die im Unternehmen genutzte Firewall zu steuern, um eine Verbindung zu beenden, über die gerade ein Angreifer eindringt und Daten klaut. Abgesehen davon, dass eine SIEM-Lösung also mit anderen Sicherheitssystemen kommunizieren können sollte, müssen auch die folgenden Punkte beachtet werden:

  • Reaktionsfähigkeit: Wie lange dauert es für eine SIEM-Lösung, einen Angriff zu erkennen und ihn mit Hilfe der vorhandenen Sicherheitsanwendungen zu stoppen?
  • Sicherheit: Wie sind die Kommunikationskanäle zwischen dem SIEM und anderen Sicherheitslösungen gesichert, um sie vor Lauschern und Manipulationen zu schützen?
  • Effektivität: Wie schlagkräftig ist das SIEM, um Angriffe zu stoppen, bevor Schaden entsteht?

Welche Compliance-Regelungen unterstützt das SIEM bei den von ihm erstellten Berichten?

Die meisten SIEM-Lösungen bieten umfangreiche Möglichkeiten, um Berichte zu erstellen. Viele von ihnen ermöglichen es auch, Reports zu erstellen, die die Anforderungen verschiedener Compliance-Initiativen erfüllen. Jedes Unternehmen, das sich für eine SIEM-Lösung interessiert, sollte sicherstellen, dass die ausgewählten Produkte möglichst viele der relevanten Compliance-Regelungen unterstützen. Falls eine Initiative nicht dabei ist, sollte es möglich sein, die Reporting-Schnittstellen so anzupassen, dass sich die Anforderungen mit etwas Aufwand auch selbst erfüllen lassen.

Individuelle SIEM-Evaluierung

SIEM-Lösungen sind äußerst komplexe Technologien, die einen hohen Aufwand erfordern. Das betrifft sowohl die Integration der bereits genutzten Sicherheitslösungen, aber auch die in Unternehmen meist vorhandene hohe Zahl von Hosts und Servern, die einbezogen werden müssen. Um herauszufinden, welches SIEM am besten zu einem Unternehmen passt, ist es nötig, zunächst einfache Evaluierungskriterien zu definieren, die nach und nach erweitert werden können.

Bislang gibt es noch kein SIEM, das die beste Lösung für alle Unternehmen wäre. Jede Umgebung hat ihre eigenen Charakteristiken und Sicherheitsbedürfnisse, die in Betracht gezogen werden müssen. Sogar die wichtigsten Gründe für eine SIEM-Lösung, also etwa die Erfüllung von Compliance-Vorgaben und die Erkennung und Bekämpfung von sicherheitsrelevanten Vorfällen, unterscheiden sich stark von Organisation zu Organisation.

Jedes Unternehmen sollte deswegen seine eigene Evaluierung durchführen, bevor es sich für ein SIEM-Produkt oder einen -Dienst entscheidet. Dieser Artikel hat mehrere Kriterien vorgestellt, die Teil jeder Evaluierung sein sollten. Das bedeutet aber nicht, dass nicht auch andere Kriterien wichtig sein können. Verwenden Sie die vorgestellten Punkte deswegen als Startpunkt, um Ihre eigenen Kriterien für eine SIEM-Evaluierung zu entwickeln. Dadurch stellen Sie sicher, wirklich das am besten zu Ihrer Organisation passende Produkt zu finden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: SIEM richtig auswählen

SIEM optimal vorbereiten und einsetzen

SIEM: Tipps zur Konfiguration für bessere Ergebnisse

SIEM aus der Cloud: Darauf sollten Unternehmen achten

Artikel wurde zuletzt im Juli 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close