In zehn Schritten zum SIEM

IEM in bestehende Prozesse einbinden

Ein SIEM-System muss mit vorhandenen Systemen interagieren. Zu klären ist beispielsweise, ob bei einem hochkritischen Vorfall der Chief Security Officer oder gar die Geschäftsleitung informiert werden sollen, ob Forensik-Experten alle zur Aufklärung notwendigen Daten zur Verfügung stehen und ob Sofortmaßnahmen erforderlich sind wie die Sperrung des Zugriffs auf Systeme.

So wird deutlich, dass Security ein unternehmensumfassender, vernetzter Prozess ist. Es kann sogar angebracht sein, bei schwerwiegenden Events dem SIEM-System ein selbstständiges Handeln zu erlauben, etwa das Unterbrechen von Verbindungen. Das setzt eine Interaktion mit anderen Komponenten voraus, etwa einem Schwachstellenscanner oder Client-Management-Systeme.

Komponenten auswählen und priorisieren

Es muss klar sein, welche Priorität eine Komponente im Betrieb besitzt. Der Ausfall der zentralen Firewall ist mit Sicherheit problematischer als der eines tertiären DNS-Servers. Auch sollte der physische Standort der Elemente überprüft werden, um beispielsweise den Zugriff von externem Wartungspersonal auf zentrale Systeme einzuschränken.

Komponenten entsprechend integrieren

Anschließend lassen sich die IT-Komponenten in die SIEM-Architektur integrieren. Wichtig ist dabei eine klar definierte Alarmkette:

• Welche Alarme mit welchen Sicherheitsstufen sind vorhanden?

• Wer ist für die Bearbeitung zuständig und wie lange darf ein Alarm unbearbeitet bleiben?

• Wie sieht die Eskalationskette aus?

• Wie lange soll der Event gespeichert werden, der den Alarm auslöste?

• Wer darf bearbeitete Alarme quittieren?

• Gibt es eine nachgelagerte Alarmbearbeitung, sprich müssen Änderungen an der IT-Infrastruktur vorgenommen werden?

• Welche Abteilungen sind vom Alarm betroffen?

• Welche Maßnahmen sind für die Verbesserung von Prozessen und der Infrastruktur erforderlich?