Definition von SIEM
Sicherheitsinformations- und Ereignismanagement (SIEM) ist ein Paket aus Tools und Services, das Funktionen für Sicherheitsereignismanagement (SEM) und Sicherheitsinformationsmanagement (SIM) in sich vereint. SIEM ermöglicht es Analysten, Protokoll- und Ereignisdaten zu überprüfen, Bedrohungen nachzuvollziehen und entsprechende Schutzvorkehrungen zu treffen sowie Protokolldaten abzurufen und in Berichten zu zusammenzustellen. SIM konzentriert sich dabei auf die Erfassung und Verwaltung von Protokollen und anderen Sicherheitsdaten, während es bei SEM um Echtzeitanalysen und Berichterstellung geht. SIEM-Systeme kombinieren SEM und SIM.
Diese Systeme bieten Einblick in schädliche Aktivitäten, indem sie Daten aus allen Bereichen einer Umgebung auf einer zentralen Plattform zusammenführen, von der sie zum Qualifizieren von Warnmeldungen, Erstellen von Berichten und für die Reaktion auf Zwischenfälle herangezogen werden können. Dank der Möglichkeit, jederzeit Daten aus allen Netzwerkanwendungen zu analysieren, können Unternehmen potenzielle Sicherheitsbedrohungen erkennen, bevor diese Geschäftsabläufe stören.
2022 CrowdStrike Global Threat Report
Laden Sie den Global Threat Report 2021 herunter, um sich über die Trends zu informieren, die unsere Teams im letzten Jahr mit Blick auf die sich ständig weiterentwickelnden Taktiken, Techniken und Prozeduren von Angreifern beobachtet haben.
Jetzt herunterladenWelche Vorteile bietet SIEM?
Ein SIEM-System bietet Unternehmen Sicherheitsvorteile in vier Bereichen:
1. Effizienz
Ein SIEM-System nutzt Automatisierung und Machine Learning, um die Transparenz zu verbessern, das SOC zu entlasten und zuverlässigere sowie aussagekräftigere Berichte für IT- und Compliance-Zwecke bereitzustellen.
2. Prävention und Eindämmung von Bedrohungen
SIEM-Systeme machen riesige Datenvolumen für den Menschen zugänglich. Dadurch lassen sich Bedrohungen priorisieren und die IT kann einfacher und schneller auf sie reagieren – ganz gleich, wo in der Umgebung sie auftauchen.
3. Kosteneinsparungen
Ein SIEM-System steigert die Effizienz des Sicherheitsteams, indem es einfache Aufgaben automatisiert und die Behebung von Zwischenfällen beschleunigt. Dadurch sinken die Kosten für den Betrieb eines SOC.
4. Compliance
Einige SIEM-Systeme verfügen über integrierte Funktionen für Compliance-Berichte, wodurch Verstöße gegen Vorschriften verhindert und Audits vereinfacht sowie beschleunigt werden. Gleichzeitig werden auf diese Weise auch die Compliance-Kosten gesenkt.
SIEM-Funktionen
Abgesehen von den verschiedenen Vorteilen eines SIEM-Systems für das Unternehmen insgesamt lässt sich mithilfe der spezifischen SIEM-Funktionen die Effizienz des Sicherheitsteams im Unternehmen optimieren.
- Aggregation von Daten: Konsolidiert Daten zahlreicher Systeme und vereinfacht sowie beschleunigt dadurch Suchvorgänge.
- Bedrohungserkennung: Analysiert Verhaltensdaten der Umgebung und deckt verdächtige Muster auf.
- Forensische Untersuchungen: Führt detaillierte Analysen wichtiger Sicherheitsereignisse durch und stützt sich dabei auf hochentwickelte Tools, die zur Beweissicherung vor Gericht verwendet werden können.
- Compliance und Audits: Unterstützt PCI DSS, HIPAA, DSGVO, SOX sowie weitere Vorschriften durch Bereitstellen von starker Perimetersicherheit, Echtzeit-Bedrohungserkennung, Protokolle-Transparenz, Zugriffskontrolle sowie automatisierten Berichten und Dokumentation.
SIEM-Anwendungsszenarien
- Überwachen, Korrelieren und Analysieren von Aktivitäten über mehrere Systeme und Anwendungen hinweg
- Verhindern externer und interner Bedrohungen durch Überwachung von Benutzeraktivitäten, z. B. von internen und externen Benutzern mit privilegiertem Zugriff, Benutzern mit Zugriff auf kritische Datenbestände (z. B. geistiges Eigentum) sowie Führungskräften
- Überwachen der Zugriffe auf Server- und Datenbankressourcen und Funktionen zur Überwachung von Datenexfiltrationen
- Erstellen von Compliance-Berichten
- Reduzieren von IoT-Bedrohungen (wie DoS-Angriffe) und Kennzeichnen kompromittierter oder gefährdeter Geräte in der Umgebung
- Verbesserte Funktionen zur Orchestrierung und Automatisierung von Workflows zur Reaktion auf Zwischenfälle
Funktionsweise von SIEM-Systemen
Ein SIEM-System trägt Protokoll- und Ereignisdaten aus den Anwendungen, Servern, Sicherheitsgeräten und Systemen eines Unternehmens auf einer zentralen Plattform zusammen. Anschließend ordnet das SIEM-System die Daten verschiedenen Kategorien zu und identifiziert potenzielle Bedrohungen, indem diese Daten auf Abweichungen von Verhaltensregeln geprüft werden, die Ihr IT-Team definiert hat. Mögliche Kategorien sind beispielsweise „Malware-Aktivitäten“ oder „Fehlgeschlagene Anmeldeversuche“. Bei einer Abweichung alarmiert das SIEM-System die Sicherheits- oder IT-Analysten, damit sie die ungewöhnliche Aktivität näher untersuchen können.
Funktionen eines SIEM-Systems
Ein SIEM-System besteht aus einer Reihe von Tools und Services, darunter:
1. Dashboard
Eine zentrale Oberfläche für SOC-Mitarbeiter ist eine benutzerfreundliche Möglichkeit, mit Daten zu interagieren, Warnmeldungen zu verwalten, Status und Aktivitäten von Schutzprodukten zu überwachen sowie Systeme zu identifizieren, die nicht mehr auf Anfälligkeiten geprüft werden.
2. Analysefunktionen
Bieten die Möglichkeit, aus riesigen Datenvolumen wichtige Erkenntnisse abzuleiten und mithilfe von Machine Learning verborgene Bedrohungen automatisch zu identifizieren. Analysegestützte SIEM-Systeme können IT-Betriebsdaten und Sicherheitsinformationen kombinieren, um so spezifische Anfälligkeiten zu identifizieren.
3. Erkennung hochentwickelter Bedrohungen
Verwendet Netzwerksicherheitsüberwachung, endpunktbasierte Detektion und Reaktion sowie Sandbox- und Verhaltensanalysen, um neue potenzielle Bedrohungen zu identifizieren und in Quarantäne zu verschieben. Korreliert außerdem Abwehrmechanismen gegen verschiedene Arten hochentwickelter hartnäckiger Bedrohungen.
4. Bedrohungsanalysen
Korrelieren aktuelle Daten zu Kompromittierungsindikatoren sowie zu Taktiken, Techniken und Prozeduren von Bedrohungsakteuren mit weiteren Informationen zu Zwischenfällen und Aktivitäten. Das vereinfacht die Erkennung ungewöhnlicher Ereignisse.
5. Compliance-Berichte
Die Protokolle aller Hosts, die für das Reporting zu berücksichtigen sind, werden regelmäßig und automatisch an das SIEM-System übertragen. Dort werden sie zu einem einzigen Bericht konsolidiert und bei Bedarf angepasst, um umfassende Compliance-Berichte zu einem oder mehreren Hosts zu liefern. Die Berichterstellungsfunktionen sind mit den Vorgaben für PCI DSS, HIPAA, DSGVO und SOX konform.
Grenzen von SIEM-Systemen
SIEM-Systeme können nicht immer den vollständigen Kontext zu unstrukturierten Daten bereitstellen. Dies kann zu Fehlalarmen führen. Zudem sind Sicherheitsteams möglicherweise mit der Diagnose und Ermittlung der Sicherheitsereignisse überfordert, da enorme Mengen an Warnmeldungen und Daten generiert werden. Die Reaktion auf Warnmeldungen erfolgt mitunter verzögert oder gar nicht, da Analysten den Überblick darüber verlieren, welche Meldungen tatsächlich relevant sind. SIEM-Systeme sind kein Ersatz für Sicherheitskontrollen im Unternehmen wie Eindringungsschutz-Systeme, Firewalls oder Virenschutztechnologien. Sie überwachen Ereignisse im Unternehmen nicht in Echtzeit, sondern bestimmen anhand der Protokolldaten anderer Sicherheitslösungen, ob ein Ereignis stattgefunden hat.
SIEM-Tools
Gartner empfiehlt: „Verantwortliche für Sicherheits- und Risikomanagement sind zunehmend auf Sicherheitsinformations- und Ereignismanagementlösungen angewiesen, die in der Lage sind, Angriffe frühzeitig zu erkennen und eine schnelle Untersuchung und Reaktion unterstützen. Benutzer sollten ein ausgewogenes Verhältnis zwischen erweiterten SIEM-Funktionen und den Ressourcen herstellen, die zum Ausführen und Anpassen der Lösung erforderlich sind.“2
Die CrowdStrike-Partner Splunk und IBM wurden im Magic Quadrant 2020-Bericht zu Sicherheitsinformations- und Ereignismanagement genannt.
Splunk
Splunk integriert Endgeräteschutz der nächsten Generation und Bedrohungsdaten von CrowdStrike in Splunk Enterprise Security (ES) und unterstützt Unternehmen bei der Prävention, Erkennung und Reaktion auf Bedrohungen in Echtzeit. Die schnelle und skalierbare Bereitstellung ermöglicht eine frühzeitige Erkennung und Behebung von Bedrohungen.
CrowdStrike und IBM
Gemeinsam bieten CrowdStrike und IBM einen ganzheitlichen Überblick über die Bedrohungslandschaft eines Unternehmens. Benutzer haben dadurch die Möglichkeit, proaktiv auf der Basis umfassender Transparenz und automatisierter Informationen zu handeln.
See Crowdstrike Falcon In Action
Sie möchten wissen, wie Sie Falcon Host-Daten in einem SIEM-System nutzen können? Dann laden Sie jetzt das Datenblatt zum Falcon SIEM-Connector herunter:
Jetzt herunterladen1Gartner: „Critical Capabilities for Security Information and Event Management“, Gorka Sadowski u. a., 24. Februar 2020.
2Gartner: „Magic Quadrant for Security Information and Event Management“, Kelly Kavanagh u. a., 18. Februar 2020.
Gartner unterstützt keine der in den eigenen Forschungspublikationen dargestellten Anbieter, Produkte oder Dienstleistungen und empfiehlt Technologienutzern nicht, nur die Anbieter mit den höchsten Bewertungen oder anderen Auszeichnungen zu wählen. Die Forschungspublikationen von Gartner stellen Meinungsäußerungen des Gartner-Forschungsteams dar und sollten nicht als Tatsachenfeststellung interpretiert werden. Gartner schließt hinsichtlich dieser Forschung jedwede Garantie, ausdrücklich oder impliziert, aus, einschließlich die der Marktgängigkeit oder der Eignung für einen bestimmten Zweck.