In zehn Schritten zum SIEM

Risiken ermitteln

Log-Events nicht regelmäßig zu analysieren und zu bewerten, ist fahrlässig. Denn solche Untersuchungen liefern Informationen darüber, wer wann welche Aktionen auf einem System vornimmt. Ohne maschinelle Bearbeitung von Log-Events ist es nicht möglich, gesetzliche Vorgaben zu erfüllen, so dass strafrechtliche Konsequenzen für das Unternehmen ausgeschlossen sind.

Wichtig ist zudem der Beitrag von SIEM zur internen Gefahrenabwehr. Denn die Systeme erfassen nicht nur Log-Events am Netzwerkrand, sondern auch interne Ereignisse. Dadurch lässt sich eine wirkungsvolle Data Loss Prevention implementieren, ebenso eine Kontrolle privilegierter IT-Nutzer. SIEM ist zudem erforderlich, um im Zusammenhang mit der Langzeitspeicherung von Daten forensische Analysen zu ermöglichen.

Betroffene Abteilungen kennen

Welche Abteilungen bei der Implementierung und Nutzung eines SIEM-Systems mit einbezogen werden, hängt vom jeweiligen Unternehmen ab. Dabei sollten folgende Faktoren berücksichtigt werden:

• Welche Abteilung ist für den Betrieb zuständig, welche für die fachliche Auswertung?

• Welche Abteilungen sind vom Ergebnis der Auswertungen betroffen und über welche Schnittstelle werden die Resultate kommuniziert?

• Welche Fachleute sind für die Definition der Sicherheitsrelevanz der einzelnen Komponenten verantwortlich?

• Welche Abteilungen müssen in Eskalationsstufen einbezogen werden, und wie sind die entsprechenden Service Level Agreements ausgeführt?

Wichtig ist: Ein SIEM-System per Order "von oben" einzuführen, wird in der Regel nicht zu den gewünschten Resultaten führen.