Mit der Cybersicherheit entwickeln sich auch die Methoden und die Bandbreite der Angriffe immer weiter. SecOps-Teams stehen vor der permanenten Herausforderung, die Assets eines Unternehmens vor internen und externen Bedrohungen schützen zu müssen. Während SIEM-Plattformen versuchen, einen ganzheitlichen Überblick über die Sicherheitslage des Unternehmens sowie Einblicke in Vorfälle und Anomalien zu vermitteln, sollen Log-Management-Plattformen in erster Linie Daten aller Art sammeln und darüber hinaus optimierte Speicher-, Such-, Aggregations- und Visualisierungsfunktionen bereitstellen.
Lösungen für Log-Management und Sicherheitsinformations- und Ereignismanagement (SIEM) können sich oft ergänzen und stehen manchmal in Konkurrenz zueinander. Das hängt aber von den jeweils betrachteten Lösungen ab. SIEM- und Log-Management-Plattformen überschneiden sich oft insofern, als dass beide Ereignisdaten verarbeiten und häufig für dasselbe Anwendungsszenario verwendet werden können. Darüber hinaus möchten einige Unternehmen mithilfe einer modernen Log-Management-Plattform flexibel ihr eigenes SIEM entwerfen können. Häufige Voraussetzung hierfür ist oft ein wirklich gutes Verständnis von den Kernkonzepten der Plattform und ihren internen Abläufen.
Um ein umfassenderes Verständnis von SIEM- und Log-Management-Tools zu erhalten, unterteilen wir ihre Funktionen in drei Kategorien: hauptsächlich in SIEM-Systemen enthaltene Funktionen; hauptsächlich in Log-Management-Systemen enthaltene Funktionen und Vorteile der gemeinsamen Verwendung.
Lösungen für SIEM und Log-Management: Vergleich und Definitionen
Was ist ein SIEM-System?
Bei Sicherheitsinformations- und Ereignismanagement (SIEM) handelt es sich um ein Tool, das Rechnerdaten Ihrer IT-Systeme erfasst und anschließend analysiert und korreliert, um Sicherheitsbedrohungen zu erkennen.
Was ist SIEM-Logging?
SIEM-Software sammelt Protokolle aus mehreren Quellen und leitet sie an ein zentrales Logging-System weiter. Die meisten SIEM-Plattformen verfügen über Integrationen, die das Abrufen von Protokollen aus einer Vielzahl von Systemen ermöglichen. Zudem kann es für weniger bekannte Systeme eine ganze Reihe von Anwendungen oder Integrationen geben, die in der Community entwickelt wurden.
Zu den gängigen Arten von SIEM-Integrationen gehören:
- Agenten: Die Log-Sammler-Agenten der SIEM-Software werden auf Ziel- und Quellservern installiert und als separate Services ausgeführt. Diese Agenten lesen verschiedene Protokolle und senden den Inhalt dieser Protokolle an die SIEM-Lösung.
- API-Verbindungen: Protokolle werden über ihre API-Endgeräte und mithilfe von API-Schlüsseln erfasst. Dabei handelt es sich in der Regel um Cloud-Anwendungen von Drittanbietern.
- Anwendungsintegrationen: Diese finden sich auf der SIEM-Seite. Die von Quellsystemen gesendeten Daten können in einem beliebigen Format vorliegen und bestimmte Protokolle verwenden. Diese Integrationen können aus den vom Quellsystem generierten Daten die relevanten Felder extrahieren und geeignete Visualisierungen für Anwendungsszenarien erstellen. Darüber hinaus bieten viele Integrationen auch sofort einsatzbereite Visualisierungen für verschiedene Anwendungsszenarien.
- Webhooks: Diese Methode wird häufig genutzt, um Daten aus der SIEM-Lösung an eine andere Plattform zu senden. Sie kann mithilfe einer Regel ausgelöst werden. Ein typisches Beispiel wäre eine Integration für Slack, bei der eine Warnung an einen bestimmten Slack-Kanal gesendet wird, um ein Team über ein Problem zu informieren, das möglicherweise untersucht werden muss.
- Benutzerdefinierte Skripte: Ingenieure können geplante benutzerdefinierte Skripte ausführen, die Daten von Quellsystemen erfassen, die Log-Daten anschließend formatieren und an die SIEM-Software senden.
Was ist ein Log-Management-System?
Ein Log-Management-System (LMS) ist eine Software-Lösung, die Log-Daten und Ereignisprotokolle aus verschiedensten Quellen erfasst, sortiert und an einem zentralen Ort speichert. Mithilfe von Log-Management-Softwaresystemen können IT-, DevOps– und SecOps-Teams einen zentralen Ort einrichten, von dem aus sie alle relevanten Netzwerk- und Anwendungsdaten abrufen können. Die Daten müssen sofort durchsuchbar sein, d. h. das IT-Team kann problemlos auf die erforderlichen Daten zugreifen, um Entscheidungen zur Netzwerkintegrität, Ressourcenzuweisung oder Sicherheit zu treffen.
Mithilfe von Log-Management-Tools können Unternehmen das hohe Volumen an Log-Daten verwalten, die im Unternehmensnetzwerk generiert werden. Mit diesen Tools lässt sich Folgendes bestimmen:
- Welche Daten und Informationen protokolliert werden müssen
- In welchem Format sie protokolliert werden müssen
- Der Zeitraum, in dem die Log-Daten gespeichert werden sollen
- Wie nicht mehr benötigte Daten gelöscht oder vernichtet werden sollen
Funktionen und Möglichkeiten
Hauptfunktionen einer SIEM-Lösung:
- Korrelationsregeln
- Fähigkeit, begrenzte Datenmengen zu durchsuchen
- Selektive Erfassung sicherheitsbezogener Protokolle
- Sicherheitsbezogene Berichtsfunktionen
In der Theorie sollen SIEM-Lösungen aus Daten für den Benutzer verwertbare Warnungen herausfiltern. Zahlreiche Warn- und Komplexitätsstufen führen jedoch oft zu „einem Haufen Nadeln“ statt „die Nadel im Heuhaufen“. SIEM-Lösungen können aufgrund ihrer Komplexität hohe Bereitstellungs-, Betriebs- und Wartungskosten verursachen. Oft gehen sie Kompromisse bei der Geschwindigkeit und Genauigkeit ein, weil sie immer versuchen, ihren Funktionsumfang voll auszuschöpfen. Die Preisstruktur der SIEM-Lösungen verleitet oft dazu, nicht alle möglichen Datenquellen einzubeziehen.
Vorteile einer Log-Management-Lösung:
- Reduzierter Log-Management-Aufwand
- Einbeziehung aller Datenquellen (IT, Sicherheit, DevOps, Business Analytics)
- Hochleistungsarchitektur
- Langzeitaufbewahrung von Daten
- Umfassende Abfrage-, Aggregations- und Visualisierungsfunktionen
- Bedarfs- und ergebnisbasierte Anwendungsszenarien
- Funktionen für Datenanalyse und -korrelation
Moderne Log-Management-Tools zielen primär darauf ab, Daten aus vielen verschiedenen Quellen so schnell wie möglich zu erfassen und den Benutzern umfassende Möglichkeiten zu bieten, ihre Daten nach dem Eingang sofort zu durchsuchen. Sie können Millionen von Ereignissen pro Sekunde sammeln, komprimieren und effizient speichern. Die wesentlichen Stärken von Log-Management-Lösungen beziehen sich genau auf die Bereiche, in denen SIEM-Systeme Schwächen haben. Log-Management-Tools bieten einen umfassenden Überblick über alle Daten eines Systems – bei geringerem Kosten- und Wartungsaufwand – und können diese länger speichern als SIEM-Systeme.
Vorteile einer gemeinsamen Nutzung von Log-Management- und SIEM-Lösungen:
- Flexible Suche in großen Datenvolumen in Verbindung mit gezielten Warnungen
- Fähigkeit, extrem große Datenmengen zu durchsuchen
- Einhaltung von Compliance-Regeln und -Anforderungen
- Ausgabe von Warnungen und Implementierung von Automatisierungsmöglichkeiten
- Kostensenkung durch Migration großer Datenvolumen zur Log-Management-Lösung
1. Umfassende Nutzung von Log-Daten:
Beide Tools nutzen in großem Umfang Log-Daten. SIEM-Lösungen legen ihr Hauptaugenmerk auf die sorgfältige Auswahl, Analyse und Filterung der Daten, bevor diese den Endbenutzer erreichen. Log-Management-Lösungen konzentrieren sich darauf, den Zugriff auf alle Daten sowie eine Möglichkeit bereitzustellen, diese Daten mithilfe einer leicht zu erlernenden Suchsprache problemlos zu filtern und zu kuratieren.
2. Anwendungsszenarien für die Bedrohungssuche:
SIEM- und Log-Management-Systeme können für die Bedrohungssuche verwendet werden. SIEM-Lösungen brauchen in der Regel länger, um Benutzer vor Bedrohungen zu warnen, und könnten einige Bedrohungen übersehen, weil sie nicht über den ganzen Datensatz verfügen. Log-Management-Lösungen können Benutzer schneller vor Bedrohungen warnen und einen praktischeren und umfassenderen Ansatz zur Bedrohungssuche unterstützen.
3. Audits und Berichte:
SIEM- und Log-Management-Plattformen können Audits und Berichte bereitstellen. SIEM-Plattformen sind jedoch oft auf sicherheitsbezogene Daten beschränkt, während Log-Management-Plattformen häufig über ein viel größeres Spektrum an Daten verfügen.
4. Warnungen und Automatisierung:
Log-Management- und SIEM-Lösungen bieten Warnungen und Automatisierung. Aufgrund der Echtzeit-Suchergebnisse braucht Log-Management weniger Zeit als SIEM, um Warnungen auszugeben und Reaktionen zu veranlassen. SIEM-Systeme nutzen durch Playbooks eine komplexere Methode für die Verwaltung Ihrer Automatisierungsreaktion. Diese Playbooks lassen sich auf der Basis der vom SIEM-Anbieter bereitgestellten automatisierten Reaktionen erstellen. Außerdem ermöglichen sie oft die Nutzung vieler vorgefertigter Integrationen mit SOAR-Anbietern.
Vollständige Protokollierung und Einblicke – kostenlos
Falcon LogScale Community Edition (ehemals Humio) ist eine kostenlose moderne Log-Management-Plattform für die Cloud. Durch die Erfassung von Streaming-Daten erhalten Sie einen sofortigen Überblick über verteilte Systeme und können Zwischenfälle verhindern bzw. beheben.
Falcon LogScale Community Edition ist sofort kostenlos verfügbar und bietet folgende Vorteile:
- Erfassung von bis zu 16 GB pro Tag
- Speicherung bis zu 7 Tage
- Keine Kreditkarte erforderlich
- Unbegrenzter Zugriff ohne Testzeitraum
- Indexlose Protokollierung, Echtzeit-Warnungen und Live-Dashboards
- Zugriff auf unseren Marktplatz und zugehörige Pakete, einschließlich Leitfäden zur Entwicklung neuer Pakete
- Lernen und Kooperation in einer aktiven Gemeinschaft