Mit SIEM-Berichten und -Warnungen die Sicherheit verbessern

Gängige Optionen bei Berichten

Um beim Umfang der SIEM-Berichterstattung schnell zu Ergebnissen zu kommen, sind Gesamtberichte ein möglicher Ansatz. Schon aufgrund der schieren Gesamtanzahl aller möglichen Optionen, empfiehlt es sich, bei einer ersten Berichtsstruktur auf einige wenige zu konzentrieren. In der Regel möchte man mit diesen Berichten folgende Fragen beantworten können: Wer hat wann, von wo aus und mit welchem Authentifizierungsgerät gearbeitet?

Um diese Informationen zu erhalten, enthalten gängige SIEM-Berichte folgende Punkte:

• Berichte über Benutzeraktivitäten;
• Berichte zur Konfigurationsänderung;
• Berichte hinsichtlich Zugriffen;
• Berichte zur Verfolgung von Ereignissen;
• Berichte zum allgemeinen Betrieb auf Abruf; und
• monatliche Zusammenfassungen.

Diesen Angaben können bei der Organisation helfen, wie häufig diese Berichte erstellt werden sollen. Gleichzeitig lässt sich festlegen, welcher Admin für die Berichte und deren Kontrolle verantwortlich ist, und welche Maßnahmen er ergreifen soll, wenn Anomalien innerhalb dieser Daten auftreten.

Wichtige Ereignisse definieren

SIEM-Lösungen sind in der Lage, über jedes mögliche Ereignis zu informieren und zu benachrichtigen. Das möchte man jedoch nicht wirklich, es empfiehlt sich zunächst einmal die Basiswarnungen festzulegen. Ist das SIEM-System dann erfolgreich in Betrieb, kann man spezifischere Warnmeldungen definieren, wenn man entsprechend mit der Software vertraut ist.

Prinzipiell existieren unter anderem folgende Kategorien an SIEM-Benachrichtigungen: Benutzerauthentifizierung, Netzwerkangriffe, Aktivitäten auf Host-Ebene, Angriffe unbekannten Ursprungs, Aktivitäten von Webservern und die Aktivitäten der Logdateiquellen. Da können folgende spezifische Ereignisse gegebenenfalls zur Klärung beitragen:

• Fehlgeschlagene Login-Versuche durch Quelle;
• Fehlgeschlagene Login-Versuche auf Ziel;
• Wiederholte Anmeldungen innerhalb einer Minute von einer IP-Adresse aus; und
• mehrere Alarme des IDS (Intrusion Detection System) ausgelöst durch eine IP-Adresse.

Diese Warnmeldungen liefern einen grundlegenden Überblick über die Aktivitäten in der überwachten Umgebung und liefern Informationen über etwaige Zugriffe.

Bezieht man zusätzlich die Informationen der verwendeten Antivirenlösung ein, werden die Ergebnisse granularer. Antivirus-bezogene Warnmeldungen informieren beispielsweise über Angriffe und Aktualisierungen bei der Software, sowie Schadsoftware. Hier einige Beispiele:

• Wiederholte Angriffe auf ein System;
• Virus erkannt;
• Spyware oder Virus entfernt; und
• Virus erkannt, aber nicht erfolgreich bereinigt oder entfernt.

Neben den Antiviren-bezogenen Warnungen sollten die SIEM-Berichte und -Warnmeldungen auch bestimmte Angriffsquellen und unbekannte Angriffe berücksichtigen. Dazu gehört etwa Datenverkehr, der von IP-Adressen stammt, die sich auf einer Blacklist befinden, sowie IP-Adressen, die immer wieder einen bestimmten Host ansprechen, wiederholte Angriffe und übermäßige Verbindungen in eine bestimmte Richtung.

SIEM-Berichte automatisieren

Wenn ein SIEM-System sehr granular konfiguriert ist, können SIEM-Berichte, -Abläufe und -Warnmeldungen noch optimiert werden. Orchestrierung und Automatisierung können entscheidend dabei helfen, bestimmte Probleme oder Trends in Sachen Sicherheit oder auch Performanceprobleme zeitig zu erkennen. Mit entsprechenden Einstellungen lassen sich zudem Reaktionen auf bestimmte Ereignisse bestimmen und Warnmeldungen effizient sortieren.

Bevor man sich mit der SIEM-Software im Detail beschäftigt, sollte man sich über einige grundsätzliche Punkte im Klaren sein: Wie landen die gewünschten und benötigten Daten in der SIEM-Lösung? Gibt es dabei eventuell Installations- oder Agenten-Probleme? Wie sollen die SIEM-Tools, wenn sie einmal eingerichtet sind, genutzt werden?

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!