SIEM – mehr als nur Logs sammeln

Logdaten stellen die zentrale Informationsquelle jeder IT-Infrastruktur dar. Doch zwischen „Logs sammeln“ und „Logs nutzen“, liegen oftmals massive Unterschiede. Nur durch geschickte Korrelation der erfassten Datenpunkte lassen sich aus den umfangreichen Informationen auch Mehrwerte gewinnen, um aus diesen Informationen Wissen zu erlangen.

Die Notwendigkeit zur Erfassung und Sammlung von Log-Informationen muss keinem Verantwortlichen in der IT-Welt noch erklärt werden. Syslog- und ähnliche Kollektoren sind in nahezu jeder Infrastruktur etabliert; Endpunkte, Server und Appliances generieren Tag für Tag Gigabytes an Log-Informationen, welche in eigens dafür bereitgestellten Data Lakes abgelegt und archiviert werden. Eine Frage, die jedoch an dieser Stelle gestellt werden muss, lautet: Sammeln Sie diese Daten nur oder nutzen Sie sie auch?

 

Forensik ist gut – Alarmierung ist besser

Hand aufs Herz – wann haben Sie zuletzt Ihre gespeicherten Logdaten genutzt, um aktiv für Sicherheit zu sorgen? Es ist zwar gut und wichtig, im Falle eines Sicherheitsvorfalls alle relevanten Informationen zur Verfügung zu haben, um z. B. Infektionswege nachvollziehen zu können und eventuelle Schwachstellen zu schließen. Doch wäre es nicht viel besser, diese Schwachstellen zu erkennen, bevor es zu einem Vorfall kommt? Auch diese Informationen sind bereits vorhanden. Sie schlummern unentdeckt und ungenutzt im Datenmeer und warten nur darauf, gehoben und genutzt zu werden. Durch Kombination von Datenpunkten verschiedener Logquellen und durch Anreicherung dieser Daten um extern verfügbare Informationen lassen sich Daten in Wissen umwandeln. Dieses Wissen kann dann dafür verwendet werden, Sicherheitslücken zu erkennen und zu schließen, bevor Angreifer diese nutzen und Ihnen Schaden zufügen können.

Warum die Frage wichtiger sein kann als die Antwort

Eine alte Weisheit besagt: „Wer nicht weiß, wo es hingehen soll, darf sich nicht wundern, woanders anzukommen.“ Die gleiche Herausforderung stellt sich beim Betrieb eines SIEM (Security Information und Event Management). Was muss detektiert werden? Wann ist eine Anomalie in meinen Daten relevant? Wie oft muss ich prüfen, ob ich noch auf dem richtigen Weg bin?

Stellen Sie sich einen produzierenden Betrieb mit einer abschließenden Qualitätskontrolle vor. Auch hier muss kontinuierlich geprüft werden, ob die Ergebnisse noch den Erwartungen entsprechen. Allerdings sind hier die Ergebnisse meist messbar und in Zahlen darstellbar. Akzeptable Fertigungstoleranzen zum Beispiel sind absolute Werte und ändern sich in der Regel nicht mit der Tageszeit. Bei Kennzahlen in der IT-Sicherheit kann das jedoch völlig anders sein. Verursacht ein Mitarbeiter an einem Montagmorgen nach der Urlaubszeit 10 fehlgeschlagene Logins, da er sein Kennwort vergessen hat, ist dies noch lange kein Grund zur Sorge. Passiert dies jedoch an einem Samstag kurz nach Mitternacht, kann dies durchaus einen kritischen Sicherheitsvorfall darstellen.

Das Finden und Definieren der Anwendungsfälle, die Sie mit einem SIEM überwachen wollen, bedeutet die größte Herausforderung bei der Implementierung.

Der Unterschied zwischen Korrelation und Kausalität

Wer viel misst, misst viel Mist – oder anders formuliert: Sagen meine Zahlen wirklich das aus, was ich wissen muss? Nur weil die Zahl der Geburten pro Jahr eine auffällige Parallelität zur Größe der Population der Störche aufweist, besteht zwischen diesen beiden Zahlen auch tatsächlich ein kausaler Zusammenhang? Dieses fundamentale Problem beim Finden passender Zusammenhänge für die Erstellung von Use Cases kann eine schwer zu lösende Aufgabe darstellen. Hier macht es oft Sinn, sich der Unterstützung von Experten zu bedienen, die mit einem unvoreingenommenen Blick die zu überwachende Infrastruktur und IT-Landschaft analysieren und die entsprechenden Kennzahlen identifizieren und in sinnvollen Zusammenhang setzen.

Auch nach der Inbetriebnahme eines SIEM oder nach der Etablierung neuer Use Cases kann es notwendig sein, in regelmäßigen Abständen die generierten Alarme kritisch auf Nutzbarkeit und Inhalt zu hinterfragen. Die überwachte IT lebt und verändert sich stetig, und in gleichem Maße muss auch das Werkzeug der Überwachung angepasst werden, um stets auf einem aktuellen Stand zu sein. Zyklische Reviews eines SIEM sind essenziell für die Nutzbarkeit dieses Werkzeugs.

Buy or Build – Managed Security Services

Eine große Entscheidung, vor der Unternehmen oftmals stehen, wenn es um die Etablierung eines SIEM geht, ist: Haben wir die Ressourcen, dies selbst aufzubauen und zu betreiben? Viele Teilbereiche der IT-Sicherheit lassen sich nicht als „Nebenher-Aufgabe“ erledigen. Gerade aktives Threat Hunting und das Anpassen der eigenen Use Cases auf die tagesaktuelle Bedrohungslage ist ein Vollzeit-Job, der neben umfassenden Fachkenntnissen eben vor allem eines fordert: Zeit! Dies ist jedoch gleichzeitig die Ressource, die am knappsten bemessen ist.

Warum entscheiden Sie sich hier nicht für professionelle Managed Security Services der Experten? Mit maßgeschneiderten Lösungen aus unserem Portfolio, dem „FERNAO MTDA" (FERNAO managed threat detection and alerting) lösen Sie dieses Problem. Hierdurch steht Ihnen die Expertise unseres Analysten-Teams zur Verfügung, und Sie schaffen sich zudem Freiräume, die Sie dazu nutzen können, sich auf Ihr Kerngeschäft zu konzentrieren.

Gerne bereiten wir Ihnen hierzu ein individuelles Angebot. Sprechen Sie uns an und erfahren Sie, wie Ihnen unsere Managed Security Services auf Ihrem Weg zu mehr IT-Sicherheit helfen können.

 

Diese Blogbeiträge und Services könnten Sie auch interessieren:

Endpoint-driven security: EPP oder EDR?
Endpoint-driven security: Vom EDR zum SIEM zum SOC
EPP, EDR, NDR, XDR – Hilfe!
IT Security: SIEM
FERNAO MTDA

< Zurück zur Übersicht
fernao.com | Insights | Blog | SIEM – mehr als nur Logs sammeln