SIEM leicht gemacht

Datenkorrelation und Dokumentation

Wenn das betriebliche Monitoring die Kategorien 2 und 3 bereits behandelt, ist die Integration in das SIEM recht einfach. In diesem Fall reicht die Anbindung des betrieblichen Monitorings oder die Übernahme der Regeln in das SIEM. Darüber hinaus sollte ein SIEM auch Log-Meldungen über Applikations- und Systemgrenzen hinweg korrelieren. Hierzu liefert das SIEM-System vorgefertigte Regeln. Eine generelle Herangehensweise für die Einrichtung gibt es nicht, da es von der jeweiligen Konstellation der Systeme im Unternehmen abhängt und hier schnelle Ergebnisse nur mit Hilfe der vorgegebenen Templates und der Erfahrungen des unterstützenden Implementierers möglich sind.

Eine grundsätzliche Anforderung ist jedoch, Auffälligkeiten zu erkennen, die von einem System zum nächsten "wandern". Sind die Meldungen kategorisiert und nach ihrer jeweiligen Dringlichkeit klassifiziert, müssen die Maßnahmen und Eskalationswege zentral dokumentiert, die Betroffenen informiert und gegebenenfalls geschult werden. Die Maßnahmen können von "Ignorieren", über "Informieren", "Trennen von Systemzugängen" bis zu "komplette Abschaltung" reichen. Außerdem muss festgelegt werden, welche dieser Maßnahmen vom System automatisch eingeleitet werden können oder müssen. Anderenfalls sind Entscheidungsträger zu definieren, die einen gemeldeten Sicherheitsvorfall bewerten und das System gegebenenfalls wieder zügig in Betrieb nehmen.

Mit wenig Aufwand zum Security-Ziel

Die beschriebene Herangehensweise führt mit einem überschaubaren Aufwand zu einer deutlichen Erhöhung der Sicherheit von SAP-Systemen im Unternehmen und bildet eine gute Grundlage für weitere Optimierungen. In weiteren Schritten können die Meldungen der SAP-Systeme im SIEM-Gesamtkonzept mit anderen Anwendungen, Systemen und Infrastrukturen korreliert werden, wie kurz skizziert.

Die Klassifizierung der Meldungen sowie die Definition und Implementierung der notwenigen Maßnahmen müssen regelmäßig überprüft und aktualisiert werden. Denn neben Anpassungen in Systemen sind auch die Veränderungen bei den Angriffsmustern und bei den Meldungen zu berücksichtigen. Auch hierzu sind entsprechende Prozesse aufzusetzen. (sh)