Security Information and Event Management (SIEM) ist eine Cybersicherheitslösung, die Sicherheitsdaten aus verschiedenen Quellen sammelt, analysiert und korreliert, um potenzielle Bedrohungen in Echtzeit zu erkennen, zu untersuchen und darauf zu reagieren.
Inhalt
Definition von SIEM
Das Security Operations Center (SOC) spielt eine zunehmend wichtigere Rolle in der Cybersicherheit. Ein SOC ist eine zentrale Einheit, die sich um Sicherheitsfragen innerhalb eines Unternehmens kümmert. Es ist ein wesentlicher Bestandteil einer umfassenden Cybersicherheitsstrategie, die darauf ausgelegt ist, Cyberbedrohungen in Echtzeit zu überwachen, zu erkennen, darauf zu reagieren und sie zu entschärfen. Das Ausmaß und die Raffinesse von Cyberangriffen machen SOCs unverzichtbar für Unternehmen, die ihre digitalen Ressourcen schützen und eine robuste Sicherheitsstrategie verfolgen möchten.
SIEM-Sicherheitsfunktionen
SIEM-Systeme sammeln und aggregieren Logdaten, führen Korrelationsanalysen durch, um Anomalien zu erkennen, und generieren umsetzbare Alarmmeldungen für Sicherheitsteams. Außerdem liefern sie detaillierte Berichte, die der Einhaltung von Compliance dienen und bei Audits helfen. Als Eckpfeiler moderner Security Operations Center (SOCs) verbessert SIEM die Erkennung von Bedrohungen, die Reaktion auf Vorfälle und die allgemeine Sicherheitslage, indem es Rohdaten aus Protokollen in verwertbare Informationen umwandelt. Dadurch können Unternehmen Risiken proaktiv eindämmen.
Protokollsammlung
SIEM-Systeme sammeln Protokoll- und Alarmdaten von verschiedenen Geräten und Anwendungen in der gesamten IT-Infrastruktur, darunter Firewalls, Server, Endpunkte, Datenbanken und Cloud-Services. Diese Aggregation stellt sicher, dass alle sicherheitsrelevanten Informationen an einem Ort gespeichert werden. Das sorgt für mehr Transparenz und beseitigt Datensilos. Die Protokolle (Logs) können Benutzeraktivitäten, Systemfehler, Zugriffsversuche und anwendungsspezifische Ereignisse enthalten. SIEM kann Daten aus verschiedenen Quellen erfassen und so einen ganzheitlichen Überblick über die Sicherheitslandschaft eines Unternehmens bieten.
Korrelation von Sicherheitsvorfällen
Die Korrelation von Sicherheitsereignissen umfasst die Analyse von Mustern und Beziehungen zwischen mehreren Protokollen, um potenzielle Bedrohungen oder verdächtige Verhaltensweisen zu identifizieren. Ein einzelner fehlgeschlagener Anmeldeversuch ist beispielsweise noch kein Grund zur Sorge. Aber mehrere fehlgeschlagene Versuche, gefolgt von einer erfolgreichen Anmeldung von einem ungewöhnlichen Standort aus, könnten auf einen Brute-Force-Angriff hindeuten. Durch die Anwendung von vordefinierten Regeln, Algorithmen für Machine Learning und kontextbewussten Analysen identifiziert SIEM diese Muster und priorisiert potenzielle Sicherheitsvorfälle für die Untersuchung.
Warnungen und Benachrichtigungen
Wenn ungewöhnliche Aktivitäten oder ein potenzieller Sicherheitsvorfall erkannt werden, generieren SIEM-Systeme Warnungen basierend auf vordefinierten Schwellenwerten und Regeln. Diese Warnungen werden über Dashboards, E-Mails oder integrierte Reaktionstools an Sicherheitsteams gesendet. Eine Warnung könnte beispielsweise ausgelöst werden, wenn ein unbefugter Zugriff auf eine kritische Datenbank oder ungewöhnliche Traffic-Spitzen auf einen Denial-of-Service-Angriff (DoS) hindeuten. Alarmmeldungen werden priorisiert, damit sich das Sicherheitspersonal zuerst auf die wichtigsten Probleme konzentrieren kann. Das sorgt für eine effizientere Reaktion.
Berichterstellung
SIEM-Plattformen erstellen umfassende Berichte, die Sicherheitsvorfälle, Trends und Incident Responses zusammenfassen. Diese Reports tragen wesentlich dazu bei, die Sicherheitslage der Organisation im Lauf der Zeit zu verstehen. Sie helfen bei der Einhaltung von Compliance-Anforderungen und liefern verwertbare Erkenntnisse zur Verbesserung zukünftiger Abwehrmaßnahmen. Sie können auch Workflows für das Incident Management enthalten, die Schritt-für-Schritt-Verfahren für die Eindämmung, Beseitigung und Wiederherstellung nach einem Vorfall beschreiben. Reports dienen häufig als wichtige Dokumentation für interne Prüfungen und externe Audits.
SIEM-Tools
SIEM-Tools erfassen und analysieren große Datenmengen von den Endpunkten eines Unternehmens in Echtzeit. Sie erkennen Cyberbedrohungen und blockieren diese in Zusammenarbeit mit Sicherheitsteams. Für diese Teams müssen Sie Regeln definieren und Warnmeldungen generieren.
SIEM-Tools unterstützt auch in Bezug auf folgende Punkte:
- Ereignisprotokolle, die dabei helfen können, Daten aus zahlreichen Quellen zu konsolidieren
- Anreicherung von Rohdaten, die aus einer Korrelation von Ereignissen aus verschiedenen Protokollen oder Quellen gewonnen wurden, mit Informationen
- Automatisierung von Alarmen; bei den meisten SIEM-Plattformen durch Einrichtung direkter Benachrichtigungen
SIEM- und SOAR-Tools (Security Orchestration, Automation and Response) haben maßgeblich zur Zentralisierung von Daten über Sicherheitsvorfälle und zur Automatisierung von Response-Workflows beigetragen. Doch obwohl diese Tools nützlich sind, bringen sie große Herausforderungen mit sich:
- Überlastung durch Daten: SIEM-Plattformen generieren häufig übermäßige Warnungen, überfordern SOC-Teams und führen zu Warnungen und Ermüdung.
- Komplexität der Integration: SOAR setzt stark auf nahtlose Integration in verschiedene Tools, was komplex und zeitaufwendig sein kann.
- Betriebliche Silos: Beide Technologien erfordern einen erheblichen manuellen Aufwand, um Daten zu korrelieren und Reaktionen zu orchestrieren. Dies führt zu Ineffizienzen bei der Incident Response.
Obwohl diese Tools nach wie vor wertvoll sind, hat ihr fragmentierter Ansatz bei der Detection and Response Reaktion eine Chance für XDR geschaffen, eine einheitlichere Lösung anzubieten.
XDR im Vergleich zu SIEM
XDR ähnelt SIEM insofern, als es ein Tool zur Verbesserung des Sicherheitsniveaus und der Effizienz ist. SIEM und XDR unterscheiden sich wie folgt:
Datenerfassungsziele und Kontextualisierung
- SIEM – sammelt, verwaltet und analysiert Ereignisse und Protokolle, die in einem Netzwerk oder System erzeugt werden. Die Analyse wird in erster Linie mithilfe von Log-Daten durchgeführt, anhand derer sich abnormale Aktivitäten und Anzeichen von Angriffen erkennen lassen.
- XDR – erfasst und analysiert Telemetriedaten aus verschiedenen Datenquellen, darunter Endgeräte, Netzwerke und die Cloud. Erfasst werden nicht nur Sicherheitsvorfälle, sondern auch Informationen zu Endpunktdateien und -prozessen, Netzwerkverkehrsdaten und vieles mehr.
Analyse und Erkennung
- SIEM – analysiert die erfassten Daten nach vordefinierten Regeln und Algorithmen. Es erkennt ungewöhnliche Aktivitäten oder Anzeichen von Angriffen und erzeugt entsprechende Alarme und Warnungen. Bei einigen Produkten lassen sich Korrelationsanalysen zwischen mechanischen Protokollen durchführen. Allerdings hängt die Beurteilung, ob es sich bei einem Ereignis um einen möglichen Cyberangriff handelt, von der menschlichen Intuition des Betreibers ab.
- XDR – ermittelt Anzeichen für Cyberangriffe für die gesammelten Telemetriedaten. Basis dafür sind Bedrohungsinformationen (Malware, bösartige Websites, bösartige E-Mails, von Cyberangreifern verwendete Angriffsmethoden usw.), über die Cybersicherheitsunternehmen verfügen, die XDR anbieten.
Incident Response und Automatisierung
- SIEM – stellt grundlegende Informationen und Verfahren für Sicherheitsvorfälle zur Verfügung, um bei der Incident Response zu helfen. SIEM konzentriert sich in erster Linie auf die Generierung von Alarmmeldungen und die Überwachung. Für die eigentlichen Reaktionsverfahren können andere Produkte erforderlich sein.
- XDR – bietet Automatisierungs- und Orchestrierungsfunktionen zur Unterstützung einer schnellen Reaktion auf Sicherheitsvorfälle. Erkannte Bedrohungen werden analysiert, Handlungsempfehlungen folgen in Echtzeit.
Abhängigkeit von der Quelle
- Der Wert einer SIEM-Lösung hängt direkt mit den Quellen zusammen, aus denen sie ihre Informationen bezieht. Wenn es Lücken in der Absicherung gibt, werden diese oft spät oder gar nicht bemerkt.
- Wenn man SIEM mit XDR vergleicht, ist das Ergebnis in den meisten Fällen keine Entweder-oder-Entscheidung. Häufiger geht es um XDR und SIEM, da SIEMs den größten Nutzen aus Detection-and-Response-Protokollen ziehen.
- Eine SIEM-Lösung ist abhängig von der Qualität der Daten, die von Drittanbietern generiert werden. Deshalb werden häufig beide Varianten parallel eingesetzt, und XDR-Lösungen leiten vorkorrelierte Daten an das SIEM weiter.
SIEM-Vorteile
Zentrales Management von Protokollen
Durch die Einführung von SIEM können Protokolle (Logs) zentral verwaltet werden. Dadurch entfällt der Aufwand, Protokolle für jedes Gerät zu verwalten, und Fehler und Auslassungen bei der Administration werden reduziert. Darüber hinaus verfügt SIEM über die Funktion, gesammelte Logs zu normalisieren und die gesamte IT-Umgebung zu visualisieren. Das erlaubt ein effizientes und umfassendes Management.
Früherkennung von Sicherheitsvorfällen und Bedrohungen
SIEM zentralisiert das Log-Management und führt Korrelationsanalysen in Echtzeit durch. Dadurch können Vorfälle und Bedrohungen frühzeitig erkannt werden. Wenn ein bedrohliches Symptom oder ein Vorfall entdeckt wird, kann eine rasche Reaktion erfolgen und die Ausbreitung des Schadens minimiert werden.
Verhinderung von internem Betrug
Sicherheitsvorfälle werden nicht nur durch externe Cyberangriffe verursacht. Auch die Prävention von Fehlverhalten durch eigene Mitarbeiterinnen und Mitarbeiter ist eine wichtige Sicherheitsmaßnahme für ein Unternehmen. Mithilfe von SIEM können Sie verdächtiges Verhalten von Beschäftigten und unbefugten Zugriff erkennen. SIEM ist auch effektiv bei der Verhinderung von internem Betrug.
Behebung des Mangels an Sicherheitspersonal
Mit SIEM können Sie Security Operations optimieren. Sie können eine Reihe von Aufgaben automatisieren, etwa Protokollaggregation, Normalisierung und Analyse. Dadurch benötigen Sie weniger Ressourcen für die Sicherheitsmaßnahmen Ihres Unternehmens. Obwohl für den Betrieb von SIEM ein gewisses Maß an Kenntnissen in Bezug auf Sicherheit erforderlich ist, können Sie durch dessen Einführung effizientere Sicherheitsmaßnahmen ergreifen als zuvor.
SIEM im SOC
SIEM wird hauptsächlich in einem Security Operations Center (SOC) eingesetzt. Diese Organisation überwacht die Sicherheit innerhalb eines Unternehmens und erfasst das Auftreten von Cyberangriffen und Vorfällen. SIEM ist ein wichtiges Tool für Sicherheitsfachleute und unterstützt effiziente Security Operations auf unterschiedlichen Wegen. Dazu gehören:
Warnmeldung durch integriertes Log-Management
SIEMs verwalten verschiedene Protokolle (Logs) auf integrierte Weise. Sie erkennen Anzeichen für ungewöhnliche Aktivitäten oder Angriffe und alarmieren das Sicherheitspersonal. Beispielsweise erkennt SIEM nicht nur Malware und andere unbefugte Aktivitäten, sondern benachrichtigt Sie auch, wenn verdächtige Ereignisse festgestellt werden. Dazu gehören etwa mehrere Anmeldeversuche bei Servern, auf denen wichtige Informationen gespeichert sind, oder die Nutzung von Cloud-Diensten, die nicht von Ihrem Unternehmen autorisiert wurden.
Untersuchung und Reaktion auf Vorfälle
Auf der Grundlage von nicht autorisierten oder verdächtigen Ereignissen untersucht SIEM, ob es sich um einen Cyberangriff handelt (normales Verhalten, Zugriffsfehler und dergleichen). Ist es tatsächlich ein Cyberangriff, können dessen Weg und Umfang zurückverfolgt werden. Dabei lässt sich auch feststellen, ob es sich um einen externen oder internen Cyberangriff handelt. Das liefert wichtige Hinweise für die Reaktion auf den Vorfall (Incident Response).
Berichterstattung
Mittel- bis langfristig können und sollten Sie den Status von Verstößen gegen die Sicherheitsrichtlinien Ihres Unternehmens und die Auswirkungen von Cyberangriffen visualisieren und anschließend einen Bericht erstellen. Wenn ein Unternehmen visualisiert, welchen Cyberangriffen es über einen Zeitraum von einem Monat, drei Monaten, sechs Monaten, einem Jahr und so weiter ausgesetzt war, kann es überlegen, welche Sicherheitsmaßnahmen es als Nächstes ergreifen sollte.
Die wichtigsten Anwendungsfälle für SIEM sind oben aufgeführt. Der größte Vorteil für das Sicherheitspersonal besteht jedoch darin, dass Ereignisse und Logdaten aus verschiedenen Produkten schnell visualisiert und mit der nächsten Maßnahme verknüpft werden können.
SIEM-Herausforderungen
SIEM bietet zwar Vorteile für SOCs und andere Organisationen, bringt jedoch auch die folgenden Herausforderungen mit sich:
Komplexe Implementierung und Konfiguration
SIEMs sind komplexe Systeme, deren Implementierung und Konfiguration Zeit und Fachwissen erfordert. Sicherheitsfachleute müssen ständig daran arbeiten, Geräte-Logs und Datenquellen zu integrieren, Regeln zu konfigurieren und Alarmmeldungen zu optimieren.
Verarbeitung großer Mengen an Protokolldaten
Eine große Menge an Protokolldaten (Logdaten) muss verarbeitet und analysiert werden. Für die Verarbeitung solcher Datenmengen sind geeignete Hardware- und Speicherressourcen erforderlich. Außerdem gilt es, die Aufbewahrungsfristen für Logdaten und die Datenkomprimierung/-reduzierung zu organisieren.
Ständige Reaktion auf Fehlalarme und Alarmüberlastung
SIEMs generieren Warnmeldungen basierend auf vordefinierten Regeln und Mustern. Trotzdem kann es zu Fehlalarmen und falschen Negativmeldungen kommen. Je nach Konfiguration kann eine große Anzahl von Alarmen eingehen. Daher müssen die Warnmeldungen kontinuierlich angepasst und die Regeln auf Benutzerseite verbessert werden.
Reaktion nach Erkennung eines Vorfalls
Wird ein Ereignis in Echtzeit erkannt, muss der tatsächliche Vorfall bestätigt und eine Reaktion darauf eingeleitet werden. Stimmt das Sicherheitspersonal die Warnmeldungen nicht im Voraus ab, muss es auf Alarme unterschiedlicher Größenordnung reagieren. Das kann wiederum die operative Effizienz beeinträchtigen.
Anforderungen an Fähigkeiten und Ressourcen
Die ordnungsgemäße Implementierung und der ordnungsgemäße Betrieb von SIEM erfordern Kenntnisse in den Bereichen Sicherheitsanalyse und Protokollverwaltung. Voraussetzung ist auch die Verfügbarkeit geeigneter Ressourcen (Personal, Hardware und Software).
Hilfeangebote zum Thema SIEM
Wie Sie gelesen haben, sollte SIEM nicht isoliert betrachtet werden. Trend Vision One™ Security Operations (SecOps) korreliert Ereignisse in den Bereichen Endgeräte, Server, E-Mail, Identität, Mobilgeräte, Daten, Cloud-Workloads, OT, Netzwerk und globale Bedrohungsinformationen. Es integriert XDR, agentenbasiertes SIEM und SOAR und sorgt für einen umfassenden Kontext.
Mit SecOps können Sie die höchsten Prioritäten ermitteln, umsetzbare Warnmeldungen generieren und komplexe Reaktionsmaßnahmen automatisieren. Ihre Teams verbringen weniger Zeit mit mühsamen, wiederkehrenden Aufgaben und können sich sich stattdessen hochwertigen, proaktiven Sicherheitsaufgaben widmen, zum Beispiel der Suche nach Bedrohungen und der Entwicklung von Erkennungsmechanismen.
Joe Lee ist Vice President of Product Management bei Trend Micro. Er leitet die globale Entwicklung von Strategien und Produkten für Lösungen zur E-Mail- und Netzwerksicherheit in Unternehmen.
Häufig gestellte Fragen (FAQs)
Was leistet Security Information and Event Management?
Security Information and Event Management (SIEM) sammelt, analysiert und korreliert Sicherheitsdaten aus den IT-Systemen eines Unternehmens, um Bedrohungen zu erkennen, die Reaktion auf Vorfälle zu unterstützen und die Einhaltung von Vorschriften sicherzustellen.
Was sind die drei Hauptaufgaben eines SIEM?
Die drei Hauptaufgaben von SIEM sind das Sammeln und Zentralisieren von Sicherheitsdaten, das Erkennen und Melden potenzieller Bedrohungen sowie die Unterstützung bei der Reaktion auf Vorfälle und der Berichterstattung zur Compliance.
Welchen Zweck hat eine Korrelationsregel für das Security Information and Event Management?
Der Zweck der Korrelationsregel für das Security Information and Event Management (SIEM) ist es, komplexe Bedrohungen der Cybersicherheit zu erkennen, die von anderen Methoden zur Erkennung von Bedrohungen möglicherweise übersehen werden.
Wie unterscheiden sich Security Information Management und Security Event Management?
Das Security Information Management (SIM) sammelt und analysiert Langzeit-Protokolldaten für Compliance- und Berichtszwecke. Security Event Management (SEM) konzentriert sich darauf, Bedrohungen schnell zu erkennen und darauf zu reagieren.
Was ist ein Beispiel für ein SIEM-Tool?
Beispiele für Tools, die häufig im Bereich Security Information and Event Management (SIEM) eingesetzt werden, sind Datenerfassungstools, Search Nodes, Index- und Aggregationspunkte und Sicherheitswarnungen.
Was sind die drei Arten von SIEM?
Die drei Haupttypen von SIEM-Systemen (Security Information and Event Management) sind On-Premises-SIEM (vor Ort), Cloud-basiertes SIEM und hybride SIEM-Modelle.
Was wird als SIEM betrachtet?
Security Information and Event Management (SIEM) bezeichnet alle Cybersicherheitsdienste oder -lösungen, die IT-Protokolle analysieren, um mögliche Cybersicherheitsvorfälle zu erkennen und darauf zu reagieren.
Wie unterscheiden sich eine Firewall und ein SIEM?
Eine Firewall blockiert bösartige Angriffe, die IT-Systeme infiltrieren. Security Information and Event Management (SIEM) ist eine umfassendere Lösung, die Cyberbedrohungen innerhalb eines Systems erkennt.
Was ist eine SIEM-Software?
SIEM-Software (Security Information and Event Management) ist ein Cybersicherheitstool, das Daten aus IT-Protokollen analysiert, um Cyberbedrohungen zu erkennen und darauf zu reagieren.
Wie unterscheiden sich SIEM und SOC?
Security Operations Center (SOCs) sind Teams aus Fachleuten für Cybersicherheit. Security Information and Event Management (SIEM) ist ein Tool, das SOCs verwenden, um Cyberangriffe zu erkennen und zu verhindern.