Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

SIEM-Tools: 9 Tipps für einen erfolgreichen Einsatz

Dieser Beitrag enthält Tipps, um die Vorteile von SIEM-Tools (Security Information and Event Management) zu maximieren, einer Kategorie von Lösungen, die im Einsatz oft schwierig sind.
Robert Grimmick
7 minute gelesen
Letzte aktualisierung 6. Oktober 2023

Inhalt

    SIEM-Tools (Security Information and Event Management) sind ein wesentlicher Bestandteil des Informationssicherheitsprogramms eines modernen Unternehmens. Es ist jedoch eine sorgfältige Planung und Implementierung erforderlich, um den größtmöglichen Nutzen aus einer SIEM-Lösung zu ziehen. In diesem Blog-Beitrag sehen wir uns an, was ein SIEM-Tool für Kunden leisten kann, wie Sie das Beste aus Ihrer SIEM-Bereitstellung herausholen und wie Varonis Ihre SIEM-Tools ergänzen kann.

    SIEM: Eine kurze Geschichte

    Moderne SIEM-Lösungen kombinieren zwei Funktionen, die früher getrennt waren: Security Information Management (SIM) und Security Event Management (SEM). SIM-Produkte konzentrierten sich auf die langfristige Sammlung und Speicherung von Protokollen, um Trends zu erkennen, während SEM sich mehr mit der Echtzeitüberwachung von und Alarmierung über Ereignisse befasste. Im Laufe der Zeit verschmolzen diese Produktkategorien, um sowohl Echtzeit- als auch Verlaufsfunktionen zu bieten. Moderne SIEM-Tools umfassen darüber hinaus eine Vielzahl weiterer Funktionen, von der KI-gesteuerten Analyse von Bedrohungen bis hin zu automatisierten Reaktionen und Sanierungsmaßnahmen.

    Was SIEM-Tools leisten können

    SIEM-Tools erfassen, korrelieren und analysieren Protokolldateien von Geräten, Anwendungen und Endgeräten. Abhängig von den erfassten Informationen kann SIEM viele Funktionen bieten, darunter:

    1. Erkennung von Sicherheitsereignissen

    Die Erkennung von Sicherheitsereignissen ist der klassische Anwendungsfall für SIEM-Tools. Durch die Korrelation von Protokolldaten aus Quellen im gesamten Unternehmen kann eine SIEM-Plattform viele Arten von Sicherheitsvorfällen erkennen, die ansonsten unbemerkt bleiben würden. Ein ungewöhnlicher Anstieg der Netzwerkaktivität zu einem bisher unbekannten Ziel könnte beispielsweise auf eine Infektion oder ein Datenleck hindeuten, die den anderen Schutzmaßnahmen entgangen sind. Mithilfe von SIEM können Analysten von einer einzigen Benutzeroberfläche aus Bedrohungen leicht einordnen, untersuchen und darauf reagieren, was Zeit spart und die betriebliche Effizienz erhöht.

    1. Erfüllen von Compliance-Anforderungen

    SIEM-Tools sind von unschätzbarem Wert für Organisationen mit speziellen Compliance-Anforderungen. Vorschriften wie HIPAAGLBADSGVO und weitere schreiben die routinemäßige Überwachung von Protokollen von Anwendungen, Endpunkten und Infrastrukturgeräten vor. Zum Beispiel schreibt die HIPAA-Sicherheitsregel vor, dass betroffene Organisationen gemäß der Richtlinie „Hardware-, Software- und/oder Verfahrensmechanismen implementieren, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronische geschützte Gesundheitsinformationen enthalten oder verwenden.“ Dies ist ein perfekter Anwendungsfall für SIEM.

    Viele dieser Vorschriften schreiben auch lange Aufbewahrungsfristen für Daten und die Möglichkeit vor, die Effektivität der implementierten Sicherheitskontrollen nachzuweisen. SIEM-Tools sind wiederum in beiden Bereichen hervorragend. Die meisten SIEM-Produkte können so konfiguriert werden, dass sie Daten für einen Zeitraum von einem Jahr oder länger speichern, wobei einige Anbieter für längere Aufbewahrungszeiträume einen Aufpreis verlangen können. Die Effektivität einer bestimmten Sicherheitskontrolle kann für Auditoren oder Aufsichtsbehörden nachgewiesen werden, und etwaige Lücken in der Compliance können leicht erkannt und behoben werden.

    1. Unterstützung bei der Vorfallsreaktion

    Unmittelbar nach einer Datenschutzverletzung sind Informationen extrem wichtig. Ein qualifizierter Mitarbeiter in der Vorfallsreaktion kann zwar das Ausmaß einer Sicherheitsverletzung durch forensische Daten auf betroffenen Endgeräten und Netzwerkgeräten ermitteln. Die Zeit, die dafür benötigt wird, wird jedoch die Sanierungsmaßnahmen verzögern. SIEM-Tools können während des gesamten Vorfallsreaktionsprozesses von enormem Wert sein. Die Möglichkeit, auf Informationen aus Tausenden von verschiedenen Protokolldateien im gesamten Unternehmen zuzugreifen, diese zu korrelieren und zu analysieren, ermöglicht es den Verantwortlichen, das Ausmaß eines Vorfalls schnell zu bewerten, Maßnahmen zur Eindämmung verbleibender Bedrohungen zu ergreifen und entsprechende Mitteilungen an Aufsichtsbehörden oder betroffene Parteien zu übermitteln.

    1. BEDROHUNGSVERFOLGUNG

    SIEM-Tools sind eine große Hilfe bei der proaktiven Jagd nach Bedrohungen, die in den Systemen eines Unternehmens lauern. Die umfangreiche Detailliertheit und Vielfalt an Informationen, die von einer SIEM-Lösung angeboten werden, ermöglicht Analysten die Suche nach verdächtigen Aktivitäten, die an bestehenden Abwehrmaßnahmen vorbeigegangen sind. Ein Analyst kann ungewöhnliche Trends untersuchen, Protokolle auf der Suche nach einer bekannten bösartigen IP-Adresse oder einem Datei-Hash durchforsten oder Daten auf Anzeichen für die von fortgeschrittenen Cyber-Angreifern verwendeten TTPs (Taktiken, Techniken und Prozeduren) untersuchen.

    Viele Anbieter unterstützen Threat Intelligence Feeds, die Kompromittierungsindikatoren (IOCs) für die neuesten und fortschrittlichsten Cyber-Bedrohungen enthalten. Diese stellen zwar zusätzliche Kosten dar, können aber für eine Organisation, die sich mit Advanced Persistent Threats beschäftigt, von Vorteil sein.

    1. Berichterstattung und Visualisierung

    Viele SIEM-Tools sind nicht nur sehr gut darin, Daten zu sammeln und zu korrelieren, sondern bieten auch zahlreiche Optionen für die Darstellung dieser Daten. Dashboards, Diagramme, Grafiken und andere Arten von Visualisierungen können Sicherheitsteams dabei unterstützen, die großen Datenmengen zu interpretieren, die von solchen Lösungen erzeugt werden. Dies kann dabei helfen, die wichtigsten Vorfälle zu priorisieren und kann sogar beim Aufspüren verdächtiger Ereignisse hilfreich sein.

    Die Visualisierungsfunktionen der führenden SIEM-Tools können auch für andere Zwecke als für die Sicherheit nützlich sein. IT-Führungskräfte können diese Tools nutzen, um zukünftiges Wachstum zu planen, aktuelle Muster zu bewerten und Bereiche zu erkennen, in denen Verbesserungsbedarf besteht.

    9 Tipps für eine erfolgreiche SIEM-Implementierung

    SIEM-Lösungen sind oft komplex und es gibt sie in vielen verschiedenen Varianten. Die Bereitstellung kann schwierig sein, insbesondere in großen Organisationen, die möglicherweise Hunderte oder Tausende von Datenquellen haben. Auch die Anforderungen an Ihre IT- und Sicherheitsteams können erheblich sein.

    1. Planen Sie die Bereitstellung sorgfältig

    Eine sorgfältige Planung Ihres SIEM-Einsatzes kann darüber entscheiden, ob Sie die Vorteile der Technologie wirklich nutzen können oder ob Sie Ihrem Unternehmen nur unnötige Kosten bescheren. Dafür müssen Sie sich zwischen verschiedenen Anbietern, Bereitstellungsmodellen (On-Premises, SaaS, hybride Bereitstellungen), Personalstrategien und mehr entscheiden.

    Viele Unternehmen können von einem stufenweisen Ansatz profitieren, indem sie mit einem kleinen Pilotprojekt beginnen, um den Business Case für eine SIEM-Lösung einzuschätzen, bevor sie zu einem umfassenderen Einsatz übergehen. Solche Lösungen erfordern häufig manuelle Feinabstimmung. Falschmeldungen sind sehr gängig, und eine schlecht konzipierte SIEM-Implementierung kann Tausende von Alarmen generieren, mit denen Sicherheitsteams nicht Schritt halten können. Geschäftsinhaber und das Management sollten in alle Phasen einbezogen werden, von der Vorbereitung bis zur Bereitstellung.

    1. Wählen Sie aus, was überwacht werden soll

    Das Erfassen von Daten aus einer Vielzahl von Quellen gehört zur DNA eines SIEM-Tools. Im Idealfall füttern Sie die Lösung mit einer möglichst großen Vielfalt an Daten, doch das ist nicht immer praktisch. Technische und budgetbezogene Einschränkungen können die Gesamtmenge der Daten begrenzen, die Ihre SIEM-Lösung aufnehmen kann. Dadurch müssen Sie möglicherweise schwierige Entscheidungen darüber treffen, welche Protokolldaten ausgelassen werden sollen. Für Unternehmen, bei denen Compliance eine Rolle spielt, schreiben möglicherweise Vorschriften oder bestehende Branchen-Frameworks vor, welche Daten zu erfassen sind.

    Als allgemeine Best Practice sollten Sie Protokolle von Firewalls, Datei- und Verzeichnisservern, Intrusionserkennungs- und Schutzssystemen sowie möglicherweise von Endpoint-Sicherheitsprodukten aufnehmen. Durch das Aufnehmen von Protokollen von den DNS-Servern Ihres Unternehmens können Sie Ihre Untersuchungen durch Kontextinformationen ergänzen und so fortschrittliche Angriffe erkennen. Vergessen Sie auch nicht Cloud-Dienste oder -Anwendungen, die möglicherweise in großem Umfang genutzt werden.

    Die Varonis DatAlert Suite setzt diese Best Practices um, indem sie Ihnen einen Überblick darüber verschafft, was mit Ihren Daten geschieht, und Sie in die Lage versetzt, Bedrohungen schnell zu erkennen und einzudämmen, bevor ein erheblicher Schaden entsteht.

    DatAlert erfasst und kombiniert Ereignisse aus verschiedenen Datenströmen wie lokalen Datenspeichern, Cloud-Quellen, Active Directory, Azure AD, E-Mail, DNS-Servern, VPNs und Web-Proxys – und ergänzt Alarme so um einzigartige Kontextinformationen wie Dateiempfindlichkeit und Kontotyp. So lassen sich anhand dieser besser Maßnahmen ergreifen als anhand herkömmlicher SIEM-Alarme.

    1. Achten Sie auf Ihren bestehenden Sicherheits-Stack

    Alle führenden SIEM-Tools bieten verschiedene Integrationen, aber das Ausmaß dieser Integrationen und die Schwierigkeiten bei der Konfiguration können stark variieren. Bei der Auswahl eines SIEM-Tools ist es entscheidend, ein Produkt zu wählen, das in hohem Maße kompatibel mit der einzigartigen Kombination von Produkten ist, die in Ihrem Unternehmen bereits im Einsatz sind. Wird dies nicht beachtet, kann es zu betrieblicher Komplexität und hohem Verwaltungsaufwand führen. Die Wahl eines SIEM-Produkts, das nicht mit Ihrem Firewall-Anbieter zusammenarbeitet, kann zum Beispiel die Vorteile stark einschränken, die ein gutes SIEM-Tool bieten sollte.

    In vielen Fällen ist die SIEM-Integration eine in hohem Maße manuelle Angelegenheit und erfordert mehrere Schritte. Dies ist wichtig, wenn Sie nach einer Lösung suchen, da die Kosten für die ordnungsgemäße Einrichtung leicht alle vom Anbieter versprochenen Kosteneinsparungen aufheben können.

    1. Verstehen Sie das Preismodell

    SIEM-Anbieter haben zahlreiche unterschiedliche Preismodelle für ihre Produkte eingeführt. Einige berechnen pro Benutzer, andere pro Ereignis und wieder andere auf Basis eines Stufen- oder Flatrate-Modells. Es ist entscheidend, dass sowohl technische als auch geschäftliche Entscheidungsträger verstehen, wie diese Preismodelle funktionieren und welches Modell für ihr Unternehmen am sinnvollsten ist. Insbesondere können ereignisbasierte Preismodelle zu Überraschungen für Unternehmen führen, die sich ihre bestehende Umgebung nicht genauer ansehen.

    1. Entscheiden Sie, welche Funktionen Sie wirklich benötigen

    Viele SIEM-Lösungen werden auf modularer Basis angeboten, so dass man diejenigen Funktionen auswählen kann, die für das Unternehmen am wichtigsten sind. Grundfunktionen wie Protokollverwaltung und Alarme werden in der Regel auf der niedrigsten Ebene angeboten, aber erweiterte Funktionen sind möglicherweise nur in einer Premium-Version verfügbar. Bedrohungsdaten, automatisierte Sanierungsfunktionen und langfristige Datenspeicherung sind alles Funktionen, die häufig extra kosten. Es ist wichtig, eine Kosten-Nutzen-Analyse durchzuführen, nicht nur für die SIEM-Lösung als Ganzes, sondern auch für alle zusätzlichen Module, die Ihr Unternehmen in Betracht zieht.

    1. Seien Sie sich im Klaren darüber, dass SIEM menschliches Personal nicht ersetzen kann

    SIEM-Tools nutzen in zunehmendem Maße Automatisierung und künstliche Intelligenz, um neue Funktionen zu ermöglichen und die Effizienz zu verbessern. Dies bedeutet jedoch nicht unbedingt, dass weniger menschliche Fachkräfte benötigt werden. In der Tat können SIEM-Lösungen eine Menge menschlicher Interaktion erfordern, um Alarme zu lösen, ggf. zusätzliche Untersuchungen durchzuführen und die Lösung im Allgemeinen zu warten. Für einige Tools sind auch ein gewisser Schulungsstand und spezielle Fähigkeiten erforderlich. Wenn Sie mit SIEM Ihre Kosten reduzieren möchten, sollten Sie sich im Klaren darüber sein, dass dies wahrscheinlich nicht in Form einer reduzierten Anzahl von Mitarbeitern geschehen wird.

    Obwohl die menschliche Komponente im Alarmierungsprozess (noch) nicht überflüssig ist, hilft die DatAlert Suite von Varonis, die erforderliche Menge an menschlicher Interaktion und manueller Arbeit zu reduzieren, um die enorme Anzahl von Datensicherheitsereignissen zu sortieren. DatAlert bietet einen umfassenderen Kontext zu Alarmen, indem es Benutzer mit Geräten und Standorten assoziiert, ihr Verhalten erlernt und zusätzliche Informationen auf mehreren Ebenen hinzufügt … Ist dieser Benutzer, zu dem ein Alarm vorliegt, auf einer Beobachtungsliste? Hat er kürzlich andere Alarme ausgelöst? Greift er üblicherweise auf sensible Daten zu? Dieser zusätzliche Kontext ermöglicht es Ihnen, schnell festzustellen, ob ein Alarm eine echte Bedrohung oder eine geringfügige Anomalie darstellt, ohne dass Sie sich stundenlang durch Protokolle wühlen müssen.

    1. Erkennen Sie die Grenzen an

    SIEM-Tools bieten viel Transparenz im gesamten Unternehmen, weisen aber oft auch blinde Flecken auf. Mobile Geräte, Remote-Mitarbeiter und Cloud-Anwendungen sind alles Beispiele für Bereiche, in denen SIEM oft nicht gut funktioniert. Es ist wichtig, dass Unternehmen solche Einschränkungen erkennen und entsprechende Maßnahmen ergreifen.

    Selbst in Bereichen, in denen SIEM-Tools gut funktionieren, wie z. B. bei der Netzwerküberwachung, fehlen oftmals wichtige Kontextdaten. Remote-Zugriffstools wie VNC und TeamViewer sind ein gutes Beispiel. Es ist einfach, den von diesen Tools erzeugten Netzwerkverkehr zu erkennen, aber ohne ausreichende Kontextinformationen kann eine SIEM-Lösung nicht zwischen einem legitimen Benutzer und einem Angreifer unterscheiden, der dasselbe Tool zum Exfiltrieren von Daten verwendet. Ein SIEM-Tool kann auch Schwierigkeiten beim Aufspüren von Angriffen haben, die legitime Dienste missbrauchen. Dazu gehört z. B. Malware, die Command-and-Control-Datenverkehr zurück auf einen Server sendet, der in einem Content Delivery Network (CDN) oder einem Public-Cloud-Dienst gehostet wird.

    1. Testen und optimieren Sie die Lösung

    Da täglich neue Arten von Bedrohungen auftauchen, ist es wichtig, Ihre Verteidigungsmaßnahmen kontinuierlich zu überprüfen und Schwachstellen zu beseitigen. SIEM-Tools sind da keine Ausnahme. Die Beauftragung eines internen Red Teams oder eines externen Penetrationstest-Dienstes kann Ihnen helfen, die reale Effektivität Ihrer SIEM-Lösung zu beurteilen. Neue Regeln können dann hinzugefügt werden, um alle Bedrohungen anzugehen, die keinen Alarm erzeugt haben. Tools wie Atomic Red Team und Caldera von MITRE können zwischen umfassenden Penetrationstests verwendet werden, um die Leistung kontinuierlich zu analysieren.

    Alarmmüdigkeit ist ein häufiges Problem in vielen Sicherheitsbetriebszentren. Wenn Sie die Schwellenwerte für Alarme nicht korrekt festlegen, gewöhnen sich Ihre Analysten möglicherweise so sehr an falsch-positive Alarme, dass sie im Falle einer echten Bedrohung nicht reagieren. Es ist wichtig, jede SIEM-Lösung zu optimieren, um eine gute Balance zwischen zu viel Lärm und zu wenig Transparenz zu finden.

    1. Verwenden Sie die SIEM-Lösung nicht alleinstehend

    Wie bei allen Sicherheitsprodukten sollte man sich niemals ausschließlich auf SIEM-Tools verlassen oder diese als Ersatz für andere Arten von Schutzmaßnahmen einsetzen. Während SIEM-Plattformen zunehmend automatisierte Aktionen als Reaktion auf bestimmte Arten von Ereignissen durchführen können, ersetzen sie nicht die erste Linie der Verteidigung wie Antiviren-Software und Firewalls. SIEM-Tools funktionieren auch am besten, wenn ein Unternehmen bereits über ein gut durchdachtes Informationssicherheitsprogramm verfügt.

    So kann Varonis helfen

    SIEM-Tools können eine sehr wertvolle Ergänzung für die Gesamtsicherheit eines Unternehmens darstellen, sind aber kein Allheilmittel. Lösungen wie die Varonis-Datenschutzplattform können Ihre SIEM-Tools ergänzen und zusätzliche Kontextinformationen bieten, um die Alarmmüdigkeit zu reduzieren und die verwertbaren Erkenntnisse zu maximieren. Varonis DatAlert bietet einen datenzentrierten Ansatz zur Bedrohungserkennung, der den netzwerkorientierten SIEM-Ansatz ergänzt und mithilfe leistungsstarker Funktionen im Bereich User Entity Behavior Analytics (UEBA) zusätzlichen Kontext liefert. DatAlert lässt sich mit allen führenden SIEM-Tools integrieren, darunter ArcSight, Splunk, LogRhythm und IBM QRadar.

    Für Unternehmen mit Compliance-Verpflichtungen ergänzt Varonis DatAdvantage die Berichtsfunktionen von SIEM-Tools mit erweiterten Sanierungsfunktionen und reduziert das Gesamtgeschäftsrisiko durch die Identifizierung von Benutzern mit übermäßigen Berechtigungen.

    Wenn Sie erfahren möchten, wie die Varonis-Datensicherheitsplattform mit Ihrer bestehenden SIEM-Lösung zusammenarbeiten kann, vereinbaren Sie noch heute einen Termin für eine Schnelldemo!

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Robert Grimmick
    Robert Grimmick

    Robert ist ein IT- und Cybersicherheitsberater in Südkalifornien. Er informiert sich gerne über die neuesten Bedrohungen der Computersicherheit.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?