Was ist Security Information and Event Management (SIEM)?

Security Information and Event Management (SIEM) ist ein Begriff für Lösungen, mit denen Unternehmen Sicherheitsprobleme und Schwachstellen beheben können, bevor sie die Abläufe stören. 

Mithilfe der Automatisierung können Unternehmen SIEM-Systeme nutzen, um viele manuellen Prozesse beim Erkennen von Bedrohungen und Reagieren auf Vorfälle zu optimieren. SIEM-Software kompiliert und aggregiert Event-Daten, die von Sicherheitsgeräten, Netzwerkinfrastrukturen, IT-Systemen und Anwendungen erzeugt werden, sodass diese Daten zum schnellen Erstellen automatischer und manueller Sicherheitsreaktionen verwendet werden können.

Je nach Anbieter und Einsatzgebiet unterscheiden sich SIEM-Systeme erheblich voneinander, arbeiten aber in der Regel mit anderen Sicherheitssystemen zusammen, wie beispielsweise Intrusion Detection and Prevention Systems (IDPS). Ein SIEM-System besteht hauptsächlich aus den folgenden 4 Komponenten:

• Protokollmanagement: Prozess des Erfassens, Speicherns und Analysierens von computergenerierten Protokolldateien zur Überwachung und Überprüfung von Systemaktivitäten.
• Korrelation und Analyse von Events: Echtzeit-Analyse und Querverweisen von Protokoll- und Event-Daten, um Muster, Anomalien und potenzielle Sicherheitsbedrohungen zu erkennen.
• Monitoring von Zwischenfällen und Sicherheitswarnungen: Konsolidierung aktiver Prozesse zum Erkennen nicht autorisierter Aktivitäten und Benachrichtigen von Admins in einem zentralen Dashboard.
• Compliance-Management und Berichterstattung: Systematischer Prozess der Datenerfassung und -analyse, um sicherzustellen, dass eine Organisation bestimmte gesetzliche Standards einhält, sowie Berichterstellung zur Compliance-Dokumentation. Da die meisten Daten eines Unternehmens das SIEM-System durchlaufen, ist es auch ideal für das Erstellen aktueller Compliance-Berichte.

Von der Aggregation zur Warnung 

Ein SIEM-System beginnt mit dem Monitoring der Event-Protokolle von Hardware- oder Software-Geräten, die immer dann ein Event erzeugen, wenn die Geräte eine Veränderung feststellen. Das SIEM-System greift dazu entweder auf die Protokolldateien des Geräts aus dem Speicher zu oder verwendet ein Event-Streaming-Protokoll zum Monitoring von Netzwerkdaten. 

Sobald diese Event-Daten erfasst sind, unternimmt das SIEM-System Folgendes:

• Sortieren und Aggregieren der Daten in einem Protokoll-Flow-Prozess. Obwohl dieser Prozess von SIEM-System zu SIEM-System unterschiedlich ist, beginnt er in der Regel mit dem Herausfiltern von Störsignalen, wie etwa Berichte von Geräten, die unterhab der erwarteten Parameter arbeiten. 
• Indizieren der verschiedenen Event-Protokolle, um die Daten nach Kategorien zu sortieren und die Suche und Event-Verbindungen zu ermöglichen.
• Analysieren der erfassten Event-Daten, um nach Mustern zu suchen und Beziehungen herzustellen, die Schwachstellen und verdächtige Events identifizieren.
• Korrelieren der analysierten Daten mit Sicherheitsbedrohungen auf der Basis von Regeln, die oft manuell von Admins erstellt werden. Die einzelnen Schritte dieses Prozesses – Sortieren, Indizieren und Analysieren – führen zu einer Korrelation, welche die zentrale Sicherheitsfunktion von SIEM darstellt. 

Wenn das SIEM-System beispielsweise feststellt, dass ein Anmeldeversuch 1.000 Mal aufgrund eines Passwortfehlers fehlgeschlagen ist, kann es diese Aktivität mit einer bestimmten Art von Sicherheitsbedrohung korrelieren und eine Warnung erstellen, auf die dann eine menschliche Fachkraft oder ein automatisches System reagieren kann.

SIEM-Hosting

Aufgrund der Sensibilität der erfassten Daten werden SIEM-Systeme traditionell On-Premise gehostet. Die Wartung dieser On-Premise-Systeme ist jedoch teuer, da sie spezielle Software und die Überwachung durch Sicherheitspersonal erfordern. 

Diese Komplexität hat bereits zahlreiche Organisationen veranlasst, nach anderen Möglichkeiten zu suchen. Wie die meisten Systeme in der modernen Hybrid Cloud kann SIEM über eine On-Premise-Software, als selbst-gemanagter Prozess in der Cloud oder als gemanagter Service (SIEM-as-a-Service) über einen Cloud-Anbieter oder einen gemanagten Sicherheits-Service-Anbieter bereitgestellt werden. Viele SIEM-Lösungen können auch in ein hybrides Modell aufgeteilt werden, bei dem einige Daten – möglicherweise sensiblere Informationen – On-Premise und andere Daten in der Cloud gespeichert werden.

So könnte ein Unternehmen beispielsweise einen On-Premise-Service zum Erfassen und Aggregieren von Sicherheitsdaten nutzen, während ein in der Cloud gehosteter SIEM-as-a-Service die Korrelationsprozesse durchführt. 

Für das Hosten einer SIEM-Lösung gibt es keine einheitliche, perfekte Methode. Bei der Strategiefindung sollten Organisationen die folgenden Fragen berücksichtigen:

• Verfügt Ihr Unternehmen über eine bestehende SIEM-Infrastruktur, und ist diese mit gehosteten Services kompatibel?
• Gibt es in Ihrem Unternehmen Sicherheitsbedenken oder Vorschriften, die Sie daran hindern, Daten aus dem Unternehmen in eine Cloud-Umgebung zu verschieben? 
• Verfügen Sie über Sicherheitsteams, in denen SIEM-Fachkräfte arbeiten oder zu SIEM-Fachkräften ausgebildet werden können? Oder ist es sinnvoller, SIEM-Funktionen as-a-Service zu kaufen?
• Verfügen Sie über eine Automatisierungslösung, die nativ sowohl in einer Hybrid Cloud-Umgebung funktioniert als auch in On-Premise-Rechenzentren, Clouds und Edge-Standorten?

Bedrohungserkennung

Durch die kontinuierliche Analyse von Protokoll- und Event-Daten zum Erstellen von Warnmeldungen ermöglicht SIEM die Identifizierung ungewöhnlicher oder potenziell bösartiger Aktivitäten. Dieser Ansatz unterstützt Sicherheitsteams beim Erkennen von Bedrohungen – beispielsweise unbefugter Zugriff, Datenpannen oder Malware-Angriffe – und bei raschen Reaktionen, um sie zu entschärfen.

Datenzentralisierung

SIEM zentralisiert Daten aus verschiedenen Systemen und Anwendungen und bietet einen einheitlichen Überblick über die IT-Umgebung eines Unternehmens. Diese Zentralisierung vereinfacht Systemprüfungen, Netzwerkoptimierung und Fehlerbehebung. Darüber hinaus bietet SIEM Einblicke in die Performance und den Zustand von Technologie-Assets. Dadurch wird eine fundierte Entscheidungsfindung und langfristige Planung unterstützt, was häufig über ein zentrales Dashboard möglich ist.

Compliance-Management

Viele gesetzliche Vorschriften verlangen eine strenge Protokollierung und Berichterstattung über sensible Daten. SIEM-Systeme automatisieren die Datenerfassung und erstellen umfassende Compliance-Berichte, die Unternehmen bei der Einhaltung gesetzlicher und behördlicher Vorschriften unterstützen.

Qualität der Reaktion

SIEM verbessert die Geschwindigkeit (und die Qualität) der Reaktionen auf Vorfälle. Bei einem Sicherheitsvorfall ist es entscheidend, den Kontext zu verstehen, um eine effektive Lösung zu finden. SIEM-Systeme liefern detaillierte Informationen beispielsweise darüber, was vor, während und nach einem Event passiert ist, mit denen Incident-Response-Teams gezielte Maßnahmen ergreifen und Probleme effizient beheben können.

Sicherheitsteams können manchmal von der großen Datenmenge, die SIEM-Lösungen verwalten und aggregieren, überwältigt werden, insbesondere wenn sie feststellen, dass sie Zeit mit der Untersuchung von Vorfällen verschwenden, bei denen es sich letztlich um Fehlalarme handelt. Das SIEM-System kann nur dann seinen vollen Nutzen entfalten, wenn die vom System generierten Warnmeldungen effektiv validiert und schnell behoben werden.

Die Sicherheitsautomatisierung kann den Betrieb und die Verwaltung von SIEM-Lösungen vereinfachen. Durch das Automatisieren von Aufgaben wird der manuelle Aufwand reduziert, sodass das System effizienter und mit weniger Fehlern arbeiten kann. Außerdem kann Sicherheitsautomatisierung dazu beitragen, die Reaktionszeiten auf erkannte Bedrohungen zu verkürzen und die Konsistenz der Sicherheitsprozesse zu verbessern. Durch den Wegfall menschlicher Einflüsse sorgt die Automatisierung dafür, dass Sicherheitsprotokolle strenger befolgt werden, wodurch die allgemeine Zuverlässigkeit des SIEM-Systems erhöht wird.

Die Automatisierung optimiert die Zusammenarbeit zwischen Security Operations (SecOps) und Sicherheitsanalyse-Teams. Durch das Erfassen aktiver Protokolle und Informationen an einem Ort können Analyseteams direkt auf Daten zugreifen oder Probleme beheben, wodurch die Reaktion auf Sicherheitsvorfälle beschleunigt wird.

Red Hat® Ansible® Automation Platform ist ein agentenloses Tool, das die Automatisierung im gesamten Unternehmen zugänglich macht. Ansible Automation Platform nutzt Playbooks, lokale Directory Services, konsolidierte Protokolle und externe Anwendungen, um IT-Teams beim Automatisieren ihrer Sicherheitslösungen zu unterstützen. Mit Ansible Automation Platform stehen den Teams mehr Tools zur Verfügung, um Bedrohungen auf koordinierte, einheitliche Weise zu untersuchen und darauf zu reagieren.

Infolgedessen können Unternehmen mehr mit ihren SIEM-Systemen erreichen, einschließlich:

• Problembehebung: Mit Ansible Automation Platform kann ein Unternehmen Untersuchungs- und Problembehebungsaufgaben aus dem SIEM automatisieren.
• Interoperabilität: Ansible Automation Platform ist das Bindeglied, mit dem viele Teile von SIEM-Systemen zusammengefügt werden können. Durch die Automatisierung von Sicherheitsfunktionen können Unternehmen schneller und einheitlicher auf Cyberangriffe reagieren, indem sie mehrere, unterschiedliche Sicherheitslösungen koordinieren.  
• Konsolidierung und Zentralisierung von Protokollen: Die Integration mit externen Protokoll-Aggregations-Services von Drittanbietern hilft Sicherheitsteams, Trends zu erkennen, Infrastruktur-Events zu analysieren, Anomalien zu überwachen und unterschiedliche Events zu korrelieren.
• Vereinfachung:Ansible Automation Platform verwendet eine einfache, für Menschen lesbare Sprache, sodass keine speziellen Programmierkenntnisse erforderlich sind, um sicherzustellen, dass die Aufgaben in der richtigen Reihenfolge ausgeführt werden. Dieser Ansatz ermöglicht es Sicherheitsfachkräften, ohne spezielle Ausbildung mit SIEM-Systemen zu interagieren.
• Gesteigerte Effizienz: Mit einer agentenlosen Architektur können Unternehmen Lösungen schneller bereitstellen und verzichten auf Agenten, die aktualisiert werden müssen oder als Schwachstelle ausgenutzt werden könnten. Dieser Ansatz verringert das Sicherheitsrisiko für das SIEM-System.
• ModernisierungMit Ansible Automation Platform können Unternehmen SIEM in DevSecOps-Workflows integrieren.

Event-Driven Ansible

Da SIEM-Systeme Analysen in großem Umfang erstellen, ist eine Lösung erforderlich, die diese Daten auch in großem Umfang verarbeiten kann. Event-Driven Ansible ist eine eventgesteuerte Automatisierungslösung für Unternehmen, die Funktionen enthält, die unmittelbar für SIEM-Systeme relevant sind:

• Der Controller von Event-Driven Ansible ermöglicht die Orchestrierung mehrerer Ansible Rulebooks und bietet eine zentrale Schnittstelle zum Managen und Prüfen sämtlicher Reaktionen in sämtlichen Event-Quellen, wie etwa SIEM-Systemen.
• Die Integration mit Automation Controller in Ansible Automation Platform ermöglicht es einer Organisation, bestehende Workflows zu nutzen, die sie bereits erstellt hat, und so die bestehende, vertrauenswürdige Automatisierung in eventgesteuerte Automatisierungsszenarien zu erweitern.
• Das Event Throttling ermöglicht es einer Organisation, „Event Storms“ entweder mit einem reaktiven oder einem passiven Ansatz zu behandeln. Dieser Ansatz ermöglicht eine bessere Kontrolle darüber, wann und wie Aktionen als Reaktion auf viele Events ausgeführt werden, beispielsweise wenn ein SIEM-System während eines Sicherheitsvorfalls viele Events erzeugt.