tadamichi - Fotolia

Angriffe erkennen: SIEM für die Echtzeitanalyse einsetzen

SIEM-Lösungen können mehr als sture Berichte abliefern. Per Echtzeitanalyse lassen sich potentielle und tatsächliche Angriffe schneller erkennen.

In vielen Unternehmen werden SIEM-Lösungen (Security Information and Event Management) dazu eingesetzt, regelmäßige Sicherheitsberichte abzuliefern. Diese Berichte werden zum einem aus Compliance-Gründen generiert, oder auch im Falle eines tatsächlichen Vorfalls, um nachträgliche Untersuchungen durchzuführen. Dabei sind viele SIEM-Plattformen auch ganz trefflich in der Lage, Echtzeitanalysen (Real-Time Analytics) zu bieten.

Will heißen, die SIEM-Lösungen erhalten die neuen Ereignisprotokolldaten in Sachen Sicherheit – und zwar sobald diese verfügbar sind. Dies erlaubt es diese Daten fortwährend zu überwachen und zu kontrollieren. Auch im Hinblick auf identifizierbare Ereignisse, die dann wiederum weitere Maßnahmen erfordern. Dies könnte beispielsweise beinhalten, eine ganz bestimmte Netzwerkverbindung genauer zu betrachten. Ober aber eine erforderliche Warnung an die IT-Abteilung abzusetzen. Und zu guter Letzt könnte dies auch eine Weiterleitung an ein anderes Sicherheitssystem sein, einen bereits existierenden Angriff abzuwehren.

SIEM-Echtzeitanalyse: Darauf sollten Sie achten

Unternehmen, die auf die Echzeitanalysefunktionen von SIEM setzen, können Angriffe schneller erkennen und stoppen und somit Datensicherheitsverletzungen reduzieren. Auf folgende Punkte sollten Sie achten, wenn SIEM-Systeme im Hinblick auf die Echtzeitanalyse bewertet werden sollen:

Verschiedene Analyseverfahren. Besondere Umstände erfordern besondere Analyseverfahren, oder eine Kombination verschiedener Techniken. So kann beispielsweise eine signaturbasierte Vorgehensweise manche Angriffe schneller erkennen, in anderen Fällen aber nutzlos sein, da sie von Angreifern leicht umgangen werden kann.

SIEM-Lösungen sollten in der Lage sein, ungewöhnliche Ereignisse zu erkennen. Etwa Änderungen im Benutzerverhalten, statistische Anomalien oder unerwartete Aktivitäten. Für jedes Szenario sollten die Produkte auch die jeweils richtige Technik einsetzen.

Ereignisse in den richtigen Zusammenhang bringen. Einer der großen Vorteile von SIEM ist zweifelsohne, dass die Lösungen einen Blick auf das große Ganze liefern können. So sind sie in der Lage, einzelne Ereignisse aus unterschiedlichsten Log-Files zu einem zusammengehörigen Vorkommnis zu bündeln. So könnte beispielsweise ein Intrusion-Detection-System erkennen, dass ein Server angegriffen wird. Aber erst der Zugriff auf das Betriebssystem des Servers und dessen Protokolle erlaubt festzustellen, ob dieser Angriff auch erfolgreich war und was eigentlich vorgefallen ist. Die Korrelation verschiedener Informationen ist ein entscheidender Vorteil von SIEM.

Die Unterstützung und Nutzung von Threat Intelligence Feeds. Ein Threat Intelligence Feed liefert aktuelle Informationen zu den neuesten Bedrohungen, die gerade entdeckt wurden. Werden andere Unternehmen beispielsweise gerade von bestimmten IP-Adressen aus angegriffen, so erfährt dies die eigene SIEM-Lösung via Threat Intelligence Feed. Über solche Feeds kann ein SIEM-System seine Echtzeitanalysen ganz erheblich verbessern. Und somit auch eine bessere Grundlage für die Priorisierung von Maßnahmen schaffen.

Einige SIEM-Lösungen setzen auf Threat Intelligence Feeds des Herstellers, andere unterstützen auch Drittanbieter-Feeds. Schlussendlich ist die Qualität der Daten des Feeds von Bedeutung. Zur Qualität gehören in diesem Fall Aktualität, Umfang und Genauigkeit der Daten. Und es muss auch berücksichtigt werden, wie die SIEM-Plattform den Threat Intelligence Feed nutzt. Dieser darf immer nur ein Baustein von vielen sein, die bei der Echtzeitanalyse Berücksichtigung finden. Findet hier ein unausgewogenes Verhältnis statt, führt dies zu häufigen Fehlalarmen, was den effektiven Einsatz einer Echtzeitanalyse ad adsurdum führt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: SIEM richtig auswählen.

SIEM: Continuous Monitoring in Zeiten von Big Data.

Technische Neuheiten bei SIEM-Produkten.

So beeinflussen moderne Threat-Intelligence-Tools die Netzwerksicherheit.

Artikel wurde zuletzt im August 2016 aktualisiert

Erfahren Sie mehr über Network-Intrusion-Detection und -Analyse

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close