adam121 - Fotolia

Technische Neuheiten bei SIEM-Produkten

Viele Faktoren müssen bei der Auswahl eines SIEM-Produktes beachtet werden und Administratoren sollten die neusten technischen Entwicklungen kennen.

SIEM-Produkte (Security Incident and Event Managament) sind seit über zehn Jahren das Security-Herz vieler Unternehmen. Diese Produkte gewährleisten ein zentrales Interface für Informationen von zahlreichen Security-Systemen. Dabei können sie für Logging und Compliance sowie für Incident Detection und Response genutzt werden. Die SIEM-Technologien haben sich über die Jahre verändert und es ist essentiell, diese Veränderungen beim Aufbau der eigenen SIEM-Strategie zu berücksichtigen.

Hier sind einige Neuheiten, die Administratoren abwägen sollten, wenn sie nach einer neuen SIEM-Lösung suchen oder die Qualität der existierenden SIEM-Produkte bewerten wollen.

Big Data

Einer der größten Trends der letzten Jahre war der Übergang von relationalen Datenbanken auf Big-Data-Modelle. Wird SIEM nur als zentralisiertes Logging verwendet, so ist eine Transformation zu Big Data eventuell keine gute Entscheidung, da potenziell Informationen verloren gehen können. Big Data verwendet keine relationalen Datenbanken, so dass nicht gegeben ist, dass jedes gespeicherte Datenbit auch wirklich zurückgeholt werden kann. Nutzt das Unternehmen SIEM für Incident Detection und Response, so kann ein Big-Data-Modell die Detection-Rate erhöhen, da hier mehr Daten gesammelt und verarbeitet werden, um Muster von Attacken zu finden.

Threat Intelligence Feeds

SIEM-Produkte unterstützen immer mehr die Verarbeitung von Threat Intelligence Feeds. Diese Feeds enthalten Informationen über Indikatoren von Bedrohungen. Dazu gehören unter anderem IP-Adressen, Host-Namen und URLs, die von Hackern genutzt werden. Jeder Feed verfügt über eine Bewertung der Bedrohungsindikatoren. Damit werden beispielsweise der Grad der Bedrohung und die zusätzlichen Metadaten, die der Threat Intelligence Kontext geben, eingeschätzt.

Wird ein Threat Intelligence Feed mit SIEM-Daten verwendet, so gewährleistet dies umfassende Informationen und ermöglicht eine schnellere Identifizierung von Vorfällen sowie sichere Reaktionen. Stellen Sie sicher, dass ihre SIEM-Lösung Threat Intelligence Feeds unterstützt.

Cloud-basierte Integration

Logging in Multi-Tenant-Clouds (mehrere Nutzer) war bislang eine Herausforderung für SIEM. Mittlerweile gibt es zahlreiche Cloud-basierte SIEM-Services und -Produkte, die Audit-Logs sammeln und diese an die regulären (nicht-Cloud) SIEM-Server des Unternehmens senden. Einige dieser Cloud-basierten SIEM-Lösungen werden von den gleichen Herstellern angeboten, die auch reguläre SIEM-Angebote offerieren. In diesem Fall ist eine Integration recht einfach. In anderen Fällen benötigt das Unternehmen eine Planung und Tests, um zu bestimmen, ob die Daten aus der Cloud sich in kurzer Zeit für das Enterprise-SIEM-System sammeln, verarbeiten und senden lassen, um so Incident Response zu unterstützen.

Verteilte Analyse

SIEM wurde oft nur als zentrale Log-Verarbeitung angesehen. Unternehmen können nun aber optimierte Skalierbarkeit gewährleisten, indem individuelle Datensammelstellen (Data Collection Points) ihre eigene Datenanalyse und -verarbeitung durchführen. Wenn eine SIEM-Lösung kaum mit der Workload mithalten kann, so bringt eine verteilte (distributed) Architektur hohen Nutzen.

Unternehmen sollten bei der Auswahl eines SIEM-Produktes diese vier Technologien im Auge behalten. Es kann sein, dass manche Firmen SIEM wirklich nur für zentralisiertes Logging nutzen wollen und diese Neuheiten für weniger wichtig halten. Allerdings sollten sich IT-Manager darüber im Klaren sein, wie viel mehr ein SIEM-Produkt leisten kann als reines Log-Management. SIEM kann ein wertvolles Tool für die schnelle Entdeckung von Gefahren sein und die Daten von Systemen und Vorfällen mit Threat Intelligence gegeneinander abgleichen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im November 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Compliance

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close