Pro Tag fallen in einer IT-Infrastruktur alleine eines mittelständischen Unternehmens hunderte oder gar tausende Anmeldedaten, Log-Dateien oder Protokolle an. Durch richtige Auswertung und Korrelation dieser Informationen können sich IT-Administratoren und IT-Sicherheitsbeauftrage eine ganzheitliche Sicht auf die Sicherheit ihrer IT verschaffen und sicherheitsrelevante Vorgänge schneller identifizieren und analysieren. Letzten Endes gibt ein SIEM überhaupt erst die Möglichkeiten an die Hand, Sicherheitsvorfälle automatisch zu erfassen.
Ein SIEM-System arbeitet mit verteilten Software-Agenten in einem hierarchischen Prozess, um Ereignisse bei z.B. Servern, Endgeräten, Firewalls oder Virenschutz- oder Intrusion-Prevention-Systemen (IPS) zu protokollieren. Eine zentrale Management-Konsole verarbeitet diese Daten, vergleicht sie u. a. mit einem Profil der IT im Normalzustand und kann so Anomalien feststellen. Darüber hinaus dient SIEM dem Compliance Monitoring, indem entsprechende Daten analysiert und nach der Auswertung in einem Bericht zusammengefasst werden können.
Die Begriff SIEM steht für eine Zusammenfassung der Kompetenzen Security Information Management (SIM) und Security Event Management (SEM). SIM beschäftigt sich mit der Langzeitspeicherung, sowie der Analyse und Protokollierung von Log-Informationen. Als SEM wird der Teil des Sicherheitsmanagements verstanden, der sich um Echtzeit-Monitoring, Ereignis-Korrelation, Verarbeitung von Systemmeldungen kümmert.
Das SIEM kann auf Basis der getroffenen Parameter entweder intern betrieben werden oder der Betrieb über externe Dienstleister eingekauft werden. In beiden Fällen ist eine sorgfältige Planung notwendig.
Welche Abhängigkeiten sind zu beachten?
Diverse Abhängigkeiten können den Erfolg eines SIEM beeinflussen, bzw. regeln dessen Parametrisierung. Beispielhaft seien die folgenden beiden Fragen genannt:
Definition der Use Cases
Sogenannte Use Cases definieren die weitere Verarbeitung von Log- und Ereignisdaten. SIEM-Tools erlauben die Aufnahme solcher Use Cases und verarbeiten die Daten entsprechend der getroffenen Filtereinstellungen.
Unternehmen tun gut daran, die Planung und Einführung eines SIEM-Systems als Projekt aufzusetzen und der Planungsphase eine hohe Bedeutung beizumessen. Eine ungenügende Planung rächt sich im späteren SIEM-Betrieb. Dietzel & Company unterstützt Sie gerne, weitere Informationen erhalten Sie unter www.dietzel-company.com.
Ralf Schiemann erarbeitet seit vielen Jahren Lösungen für Anforderungen in GRC- und IT-Sicherheitsthemen. Er ist zertifizierter IT-Revisor sowie Informationssicherheits-Experte und ist Mitglied in diversen Arbeitsgruppen. Ein großes Tätigkeitsfeld bildet heute das IT-Sicherheitsgesetz, sowie die Einführung und der Betrieb von SIEM-Lösungen.