Hilfe bei der Lösungsfindung
Aspekte einer erfolgreichen SIEM-Implementierung
Fortsetzung des Artikels von Teil 1
Das Konzept
Es ist sinnvoll, ein SIEM-Konzept zu erstellen, das die Basis für die Einführung und den späteren Betrieb bildet. Fünf Aspekte sind bei der Implementierung zentral.
Integrierbarkeit: SIEM-Lösungen bringen in der Regel Schnittstellen für gängige Systeme mit, die aber nicht zwangsläufig zu den im Unternehmen verwendeten Systemen passen. Fehlen Schnittstellen, verlängert sich die Implementierungsdauer maßgeblich, da Konnektoren manuell zu entwickeln sind. Dies führt zu zusätzlichen Investitionskosten. Damit ein SIEM-System einen relevanten Mehrwert im Kampf gegen Cyberbedrohungen bietet, muss die Lösung möglichst gut auf die bestehende IT-Infrastruktur zugeschnitten sein. Vor Einführung ist deshalb zu definieren, welche Logdaten eine SIEM-Lösung verarbeiten muss.
Kosten: Die Bezahlmodelle für SIEM-Lösungen unterscheiden sich teils deutlich. Die Abrechnung erfolgt nach Datenvolumen, der eingehenden Anzahl von Events oder der angeschlossenen Systeme. Viele Systemhersteller bieten auch Rabatte für umfangreiche Implementierungen. Für kleine und mittlere Unternehmen (KMU) kann sich hier allerdings eine Kostenfalle auftun. Verarbeitet ein KMU täglich 10 GByte Datenvolumen in seinem SIEM-System, muss es dafür voll bezahlen. Konzerne hingegen profitieren von der Skalierbarkeit. Wenn hier beispielsweise 250 GByte Datenvolumen angesetzt sind, reduziert sich der Endpreis wegen der Rabatte proportional. KMUs sollten deswegen auch in Bezug auf Umsatz- und Gewinnzahlen die Kostenstruktur der SIEM-Lösung genau ansehen.
Funktionsumfang: Auch was den Funktionsumfang betrifft, sind viele SIEM-Systeme für den Einsatz in Großkonzernen ausgelegt. Dies ist für KMU häufig überdimensioniert und unnötig komplex. Außerdem zeigt sich, dass viele Unternehmen in den ersten Jahren nach der Implementierung lediglich die Basis-Funktionen nutzen. Optimiert man eine im Umfang reduzierte Lösung auf die Anforderungen des Unternehmens, ist dies ein wirtschaftlicher und sicherer Ansatz. Allerdings entscheiden sich Unternehmen häufig für eine SIEM-Lösung, die viel zu umfangreich ist. Die Verantwortlichen entscheiden in Ermangelung von Erfahrung häufig nach der Bekanntheit eines Produktes und vertrauen darauf, dass es ihnen die gesamte Arbeit abnimmt. Das jedoch kann kein Produkt – auch nicht jenes mit dem umfangreichsten Leistungsspektrum. Vor der Entscheidung muss man also unbedingt definieren, welche Funktionen wirklich gebraucht sind. Die Erarbeitung eines initialen SIEM-Konzepts ist sinnvoll.
Use Cases und Detektionsregeln: Use Cases als logisches Element zur Erkennung von Angriffen beziehungsweise deren Detektionsregeln als technische Umsetzung der Logik sind das Herzstück eines SIEM-Systems. Bei fast allen Anbietern sind mitgelieferte Use Cases als praktische „Out-of-the-Box“-Lösungen eines der zentralen Verkaufsargumente. Diese vorgefertigten Regeln bringen jedoch meist nur geringen Mehrwert. Zum einen sind sie generisch, passen somit kaum zur IT-Landschaft beziehungsweise der Bedrohungslage. Meist fehlen sowohl die Angaben, welche Events das IT-System benötigt, als auch Handlungsanweisungen für die Cyber-Defense-Analysten im Falle eines Alarms. Die Vielzahl von Regeln führt zudem oft zu einer Alarmflut, wenn sie umfänglich aktiviert sind. Die Regeln sollte man vorab sinnvoll auswählen. Sowohl für diesen Auswahlprozess als auch für die spätere Bearbeitung der Alarme aus den Use Cases ist zudem wichtig, dass diese einen direkten Bezug zu bekannten IT-Security-Frameworks wie Mitre ATT&CK haben. Damit und mit entsprechendem Expertenwissen lässt sich das wesentliche Ziel der Use-Case-Auswahl erreichen. Dieses meint, mit einer möglichst geringen Anzahl an hochwertigen Use Cases die maximale Abdeckung bekannter Angriffsvektoren zu erhalten.
SIEM-Consultants empfehlen daher den Einsatz von Use Cases, deren Dokumentation und Handlungsempfehlungen umfassend sind und deren Detektionsregeln auf die IT-Landschaft gezielt angepasst sind. Bei der Auswahl sollte man auf eine breite Streuung der Detektionsmechanismen achten, um Angriffsverhalten früh zu erkennen. Hierbei gilt der Grundsatz: Besser wenige hochwertige Use Cases als viele fehler- und arbeitsanfällige Regeln zu implementieren. Dies ist der Schlüssel zu einem wirkungsvollen und wirtschaftlichen SIEM-Betrieb.
Geschultes Personal: Damit ein SIEM wirkungsvoll im Einsatz ist, müssen die Nutzer Angriffsszenarien und -alarme verstehen und wissen, wie genau zu reagieren ist. SIEM-Lösungen übernehmen zwar die repetitive Arbeit, die Analysten müssen jedoch die daraus entstehenden Alarme in den Kontext setzen. Oft benötigen Unternehmen hier die Unterstützung von Experten. Erfahrene Cyber-Defense-Analysten können Angriffsmuster und komplexe Zusammenhänge zuverlässig erkennen.
Fazit
Ein Security-Information- und Event-Management beschleunigt die Erkennung von Angriffen deutlich und entlastet die Cyberabwehr von repetitiven Routineaufgaben. Maßgeschneiderte Detektionsmechanismen in SIEM-Lösungen können die Cyberresilienz eines Unternehmens maßgeblich steigern – aber nur dann, wenn sich das Produkt auf den individuellen Bedarf anpassen lässt. Wer sich auf Out-of-the-Box Lösungen verlässt, zahlt am Ende oft doppelt und hat damit insgesamt höhere Kosten. Um wirtschaftliche Fehlentscheidungen zu vermeiden und gleichzeitig die Funktionalität des SIEM-Systems zu optimieren, ist es sinnvoll, sich bereits in der Frühphase der Entscheidungsfindung Unterstützung von Fachleuten zu holen.
Norbert Nitsche und David Bischoff sind beide Senior Cyber Defense Consultant bei Secuinfra.
- Aspekte einer erfolgreichen SIEM-Implementierung
- Das Konzept
Lesen Sie mehr zum Thema
