Was ist SIEM (Security Information and Event Management)?

SIEM: Definition

Eine SIEM-Lösung (Security Information and Event Management) sammelt Logs und Ereignisse und normalisiert diese Daten zur weiteren Analyse in Form von Visualisierungen, Warnungen, Suchvorgängen, Berichten usw. Sicherheitsteams nutzen ihre SIEM-Lösung oft als zentrales Dashboard, mit dem sie viele ihrer alltäglichen Aufgaben außerhalb der Plattform ausführen. Sicherheitsanalysten nutzen SIEM-Lösungen für komplexe Cybersicherheits-Anwendungsfälle wie etwa kontinuierliches Monitoring, Threat Hunting sowie Untersuchung und Bekämpfung von Incidents.

Entstehungsgeschichte von SIEM

SIEM existiert schon seit mehr als 20 Jahren und hat seit den Anfangstagen als zentralisierte Datenbank große Fortschritte gemacht. Die ersten Iterationen von SIEM-Lösungen entstanden als Kombinationen aus Ansätzen für Security Information Management (SIM) und Security Event Management (SEM) und waren sehr eingeschränkt im Hinblick auf Skalierbarkeit, Warnfunktionen und Datenkorrelationsfunktionen.

Im Lauf der Zeit wurden diese anfänglich mangelhaften Funktionen von SIEM-Lösungen weiterentwickelt, und neue Funktionen für Verlaufsanalysen von Archivdaten wurden hinzugefügt. Diese Funktion ist hilfreich für Analysten, um mehr Kontext zu potenziellen Bedrohungen zu gewinnen.

Network view for security and compliance monitoring with Elastic Security

Visualisierungen und integrierte Workflows sind heutzutage zentrale Bestandteile von SIEM-Lösungen, und Analysten können Warnungen priorisieren und entsprechende Abwehrmaßnahmen ergreifen. Automatisierte Workflows für Erkennung und Abwehr in SIEM-Lösungen unterstützen Sicherheitsteams mit eingeschränkter Bandbreite dabei, große Mengen an potenziell bösartigen Aktivitäten effizient verarbeiten zu können.

Wie funktionieren SIEM-Lösungen?

Eine SIEM-Plattform sammelt Log- und Ereignisdaten aus verschiedenen Technologien und liefert Sicherheitsanalysten einen umfassenden Überblick über die IT-Umgebung der Organisation. Eine effektive SIEM-Lösung behebt bekannte Bedrohungen im System automatisch und weist auf komplexere Situationen hin, damit die Sicherheitsanalysten ermitteln können, ob eine weitere Untersuchung und ggf. Abwehrmaßnahmen erforderlich sind.

Die Geräte, Netzwerke, Server, Apps und Systeme im Ökosystem einer Organisation produzieren im alltäglichen Betrieb riesige Datenmengen. Diese Daten enthalten Unmengen an Kontext, der zum Schutz des Ökosystems genutzt werden kann. An dieser Stelle kommen SIEM-Systeme ins Spiel.

Warum ist SIEM wichtig?

SIEM ist eine entscheidende Komponente für jedes Sicherheitsteam. Sie dient als zentrales Hub, in dem riesige Datenmengen zur Analyse zusammengeführt werden können, um den Analysten ein einheitliches Erlebnis und ein zentralisiertes Kontrollzentrum zu bieten. Mit SIEM können Sicherheitsteams sogar Bedrohungen identifizieren und abwehren, die den Perimeterschutz umgangen haben und in das Ökosystem der Organisation eingedrungen sind.

Vorteile von SIEM

Mit einer modernen, leistungsfähigen und skalierbaren SIEM-Lösung (viele ältere SIEM-Lösungen sind in dieser Hinsicht eingeschränkt) erhalten Organisationen die folgenden Vorteile:

Ganzheitliche Transparenz

Es ist entscheidend, dass die Teams eine einzige und zentrale Informationsquelle zur Verfügung haben, um die Umgebung fortlaufend überwachen und analysieren und Maßnahmen ergreifen zu können.

Einheitliches Narrativ

Eine korrekt konfigurierte SIEM-Lösung normalisiert unterschiedliche Datentypen, um einen einheitlichen Snapshot der umfangreichen IT-Umgebung einer Organisation zu liefern.

Automatische Bedrohungserkennung

Mit einer modernen SIEM-Lösung können Sicherheitsexperten die Erkennung von Bedrohungen und Anomalien automatisieren. Anschließend können Sie schnelle Datenabfragen ausführen, um Ereignisserien zu untersuchen, historische Daten auf Trends und Kontext hin zu analysieren und vieles mehr.

Risikomanagement

Mit einer SIEM-Lösung können Teams bislang unbekannte Bedrohungen mit Machine-Learning-basierter Anomalieerkennung aufdecken und sich Einblicke in besonders gefährdete Entitäten verschaffen.

Moderne SIEM-Anwendungsfälle

Mit SIEM können Sicherheitsteams eine Vielzahl missionskritischer Anwendungsfälle bewältigen. Einige der wichtigsten Anwendungsfälle:

Log-Verwaltung

Die Log-Daten aus den Hosts, Apps, Netzwerken usw. einer Organisation müssen mit einer zentralisierten Log-Verwaltungsplattform erfasst, gespeichert und analysiert werden.

Kontinuierliches Monitoring

Durch die aktive Überwachung der Umgebung können Analysten ungewöhnliche Trends erkennen, die möglicherweise auf eine Bedrohung hindeuten. Dazu können die folgenden Aspekte überwacht werden:

  • Systemänderungen
  • Betriebszeit/Ausfallzeiten
  • Netzwerkabläufe

Erweiterte Erkennung

Eine Lösung mit erweiterten Erkennungsfunktionen sollte neben modernen Malware- und Ransomware-Angriffen auch die folgenden Aspekte erkennen:

  • Änderungen an Anmeldedaten und Berechtigungen von Nutzern
  • Ungewöhnliche Verhaltensweisen
  • Insiderbedrohungen
  • Daten-Exfiltration

Threat Hunting

Die proaktive Suche nach Bedrohungen in der IT-Umgebung. Für erfolgreiches Threat Hunting wird eine Suchmaschine benötigt, die große Datenmengen schnell durchsuchen kann.

Incident-Response

Nach einem Sicherheits-Incident ist es wichtig, die Auswirkungen mit einer koordinierten Reaktion zu minimieren.

Compliance

Eine moderne SIEM-Lösung sollte die Compliance mit geltenden Vorgaben und Frameworks sicherstellen. Die Compliance-Vorgaben unterscheiden sich je nach Branche und Region (z. B. HIPAA für das Gesundheitswesen, DSGVO in der EU, usw.). Eine moderne SIEM-Lösung sollte unter anderem die folgenden Vorgaben unterstützen:

  • DSGVO
  • HIPAA
  • SOX
  • PCI DSS
  • SOC 2 / 3
  • ISO/IEC

Was ist der Unterschied zwischen SIEM und SOAR?

Mit einer SIEM-Lösung erhalten Sicherheitsteams ein Dashboard für Visualisierungen, Warnmeldungen und Berichten, um Bedrohungen besser entdecken zu können, und mit Security Orchestration, Automation and Response (SOAR) können Teams die Reaktion ihrer Organisation auf erkannte Incidents standardisieren und vereinfachen.

SIEM ist also für die Erkennung von Bedrohungen zuständig, und SOAR spezialisiert sich auf den allgemeinen Umgang der Organisation mit diesen Bedrohungen. In der Praxis kommen diese Lösungen einander immer näher.

Wie sieht die Zukunft von SIEM aus?

Um Sicherheitsexperten eine echte zentrale Informationsquelle für die Integration mit anderen Technologien zu liefern, müssen sich SIEM-Lösungen vom traditionellen geschlossenen „Black Box“-Ansatz verabschieden. Die Sicherheitssoftware muss also mit offenen Methoden entwickelt werden, damit allgemein erkennbar ist, welche Funktionen die Nutzer schützen und welcher Code zum Schutz vor aufkommenden Bedrohungen verbessert werden kann.

Dies klingt zwar zunächst kontraproduktiv (Warum sollte ein Cybersicherheitsanbieter seinen Code offenlegen?), aber die bisherige Praxis von Sicherheitsanbietern, ihren Code vor der Community zu verbergen, macht diese Unternehmen selbst zu einer Zielscheibe für Hacker. Ein einziger unentdeckter Angriff auf die Sicherheitssoftware kann Tausende Kunden durch Schwachstellen und Einbrüche gefährden, weil so riesige Mengen sensibler Daten zugänglich werden. Ganz gleich, ob die Angreifer es auf Finanzinformationen, Geschäftsgeheimnisse, Erpressungsmaterial oder diplomatische Skandale abgesehen haben – wenn nur eine einzige Blackbox geknackt wird, erhalten sie Zugang zum gesamten Königreich.

Bei Elastic sind wir davon überzeugt, dass Offenheit die beste Cybersicherheit ermöglicht. Wir freuen uns auf die Zusammenarbeit mit unseren Kunden und Mitbewerbern, um die von uns gewünschte Veränderung herbeizuführen und allen, die darauf angewiesen sind, eine bessere, offenere Sicherheit zu ermöglichen.

Elastic Security for SIEM entdecken

Elastic Security for SIEM ist die Lösung des Vertrauens für führende Organisationen in aller Welt. Mit dieser Lösung erhalten Sicherheitsteams einen ganzheitlichen Überblick über sämtliche Daten in ihrem Ökosysteme und können anhand dieser Daten so schnell und umfangreich reagieren, wie dies in modernen Unternehmen erforderlich ist.

Elastic Security for SIEM lässt sich auch nahtlos mit anderen Anwendungsfällen im Sicherheitsbereich integrieren, inklusive: