Security Analytics
In zehn Schritten zum SIEM
Unternehmen und öffentliche Einrichtungen setzen eine Vielzahl von IT-Systemen ein. Diese Lösungen müssen permanent überwacht werden, etwa ob Fehler oder sicherheitsrelevante Ereignisse (Events) aufgetreten sind. Für das Erfassen und Auswerten solcher Daten sind SIEM-Lösungen zuständig. In der Regel werden diese Systeme auf die Anforderungen eines Anwenders hin zugeschnitten. Es gibt jedoch einige Grundregeln, die für die Planung jedes SIEM-Systems gelten.
Gesetzeslage kennen
Zunächst muss den IT-Verantwortlichen und Business-Entscheidern im Unternehmen deutlich gemacht werden, warum ein SIEM-System notwendig ist. In Deutschland machen Gesetze und Compliance-Vorschriften ein solches System unverzichtbar. Dazu zählen:
§91 Abs. 2 AktG (Früherkennung von Risiken);
§43 Abs. 1 GmbHG (Sorgfaltspflichten);
§11 des Energiewirtschaftsgesetzes, Stichwort angemessener Schutz gegen Bedrohungen im TK-Bereich;
Abs. 66 ff. des IDW-Pru?fungsstandards 330 (Institut der Wirtschaftsprüfer);
Kapitel 9 in den Mindestanforderungen an das Risikomanagement (MaRisk);
ISO 27002 - Code of Practice for Information Security Management.
Leistungsspektrum einordnen
SIEM-Systeme waren ursprünglich nur für das Sammeln sicherheitsrelevanter Meldungen zuständig. Heute erfassen sie weitere Informationen, etwa Meldungen von Antivirenprogrammen und IPS-Systemen, Statusdaten von Switches und Servern sowie Routing-Protokolle.
Ein SIEM-System lässt sich dadurch beispielsweise zur Root-Cause-Analyse (Fehler-Ursachen-Analyse) einsetzen. Wenn Mitarbeiter keinen Zugang mehr zu Terminal-Servern haben, prüft die Hotline, ob der Account der Mitarbeiter gesperrt ist. Wenn nicht, wird meist der Active-Directory-Administrator kontaktiert. Dieser analysiert die Log-Dateien des Active-Directory-Systems und wendet sich dann an den Netzwerkmanager. Letztlich stellt sich heraus, dass die Linecard eines Switches, der den Terminal Server mit dem Active Directory verbindet, fehlerhaft ist. Dauer des Prozesses: ein bis zwei Stunden.
Wären die Daten mit einem SIEM-System erfasst worden, hätte die Netzwerkabteilung die Fehlermeldungen des Switches gesehen und die Karte ausgetauscht. Ein weiterer Blick auf die Daten hätte ergeben, dass die Karte die Verbindung zwischen Terminal-Server und dem Active Directory bereitstellt. Der Netzwerkfachmann hätte dann den Helpdesk informiert. Dauer: 30 Minuten.