In drei Schritten zum einsatzbereiten SIEM

Mithilfe eines Systems, das Sicherheitsvorfälle in Anwendungen und Netzwerkkomponenten in Echtzeit analysiert und verarbeitet, kann sich das ändern. Das sogenannte Security Information and Event Management (SIEM) verspricht, die IT-Sicherheit auf eine neue Stufe zu heben. Vielfach mangelt es in Deutschland jedoch an Erfahrung mit dieser neuen Methodik. Unternehmen, die ein SIEM aufbauen möchten, sollten daher folgende Schritte beachten:

Schritt 1: Ohne Fahrplan keine Sicherheit

Die IT-Governance stellt, indem sie z.B. Prozess- und Führungsstrukturen festlegt, sicher, dass die IT die Strategie eines Unternehmens optimal unterstützt und potenzielle Risiken minimiert. Daher sollten Unternehmen im ersten Schritt die bestehende Richtlinie zur Informationssicherheit um das Thema „SIEM“ erweitern: Wer ist für den Betrieb und für die nachgelagerte Incident-Bearbeitung verantwortlich? Für welche Assets soll das Monitoring aufgebaut werden? Je klarer die Antwort, desto besser. Andernfalls besteht die Gefahr, dass Missverständnisse entstehen und nicht geprüft werden kann, ob die genannten Ziele erreicht wurden. Beides verursacht höhere Kosten und verzögert die Leistung.

Zur Governance gehören außerdem die Prozesse. Damit das SIEM schnellstmöglich einsatzbereit ist, muss ein Unternehmen Prozesse, z.B. zur Incident-Bearbeitung, definieren. Im schlimmsten Fall erzeugt das SIEM zwar Alarme oder sogenannte „Offenses“, aber es ist niemand da, der sich darum kümmert. Daher ist zu klären, welche technischen und personellen Ressourcen bereitstehen.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2020. Bestellen Sie ein kostenfreies Probe-Abo.

Schritt 2: Welches SIEM-Tool passt zu mir?

Inzwischen tummeln sich am Markt viele Anbieter von SIEM-Software. Zu den größeren – in den USA ansässigen – gehören Splunk, Alienvault, RSA oder Logrhythm. Wer der richtige Partner für die eigene IT-Infrastruktur ist, sollte gut durchdacht sein. Hier hilft eine professionelle Anforderungsanalyse. Anhand der zu überwachenden Assets und der daraus abgeleiteten Events pro Stunde lässt sich bereits eine sinnvolle Vorauswahl für ein SIEM-Tool treffen.

Zudem sollten Unternehmen zwei Fragen klären: Erstens, lässt sich ein bereits vorhandenes Incident-Management-Tool problemlos anbinden? Zweitens, wo sind die Log-Daten besser aufgehoben: in der Cloud oder on-premise? Eine gründliche Anforderungs- und Marktanalyse schützt vor Fehlkäufen, erspart Zeit und sorgt dafür, dass das SIEM-Tool in die Systemlandschaft passt.

Schritt 3: SIEM und Infrastruktur miteinander verzahnen

Ist die Lizenz beschafft, gilt es, das System in die bestehende Infrastruktur zu integrieren. Die meisten SIEM-Tools verfügen über eine breite Auswahl möglicher Schnittstellen. Und die meisten IT-Assets erzeugen bereits von Haus aus einiges an Log-Daten. Bei der Unternehmensberatung Syncwork wird empfohlen, alle verfügbaren Log-Daten aus allen relevanten Assets, notfalls auch unstrukturiert, einzulesen. Ist das SIEM-Tool dann schließlich auch mit der Lösung zur Incident-Bearbeitung verbunden, ist es einsatzbereit.

Bis das SIEM zu einem festen Bestandteil der Sicherheitsinfrastruktur geworden ist, müssen einige Hürden genommen werden. So muss jedes Unternehmen für sich selbst definieren, wie es mit der –  in der Regel recht hohen – Anzahl an „False Positives“ umgeht. Auch werden längst nicht alle notwendigen Logs vorhanden sein, um im Monitoring verarbeitet zu werden. Die Praxis lehrt: Es braucht eine Strategie, genügend Ressourcen und Kenntnis der eigenen Infrastruktur, damit ein IT-Projekt erfolgreich ist.

Bildquelle: Thinkstock/iStock