mh.desing - stock.adobe.com
SIEM: Die wichtigsten Anwendungsfälle in Unternehmen
Im Zeitalter von KI scheint SIEM nicht gerade ein Aufmerksamkeitsmagnet zu sein. Aber ein Eckpfeiler der Sicherheit von Unternehmen: Die wichtigsten Anwendungsfelder im Überblick.
Ein SIEM-System (Security Information and Event Management), bündelt und analysiert Daten aus der gesamten IT-Umgebung, um Probleme im Bereich der Cybersicherheit und des Betriebs zu erkennen.
Auf die Kategorie SIEM trifft zu, was auch für viele andere Security-Lösungen gilt: Was einst mal eigenständige und klar abgegrenzte Sicherheitssysteme waren, sind heute ebenso oft eine ganze Reihe von Funktionen wie ein eigenständiges Produkt oder eine eigenständige Dienstleistung. In der heutigen Zeit, die von einer Verschmelzung von Kategorien und der Konvergenz von Tools geprägt ist, kann eine XDR-Plattform (Extended Detection and Response) SIEM-Funktionen umfassen, während ein SIEM-Angebot wiederum Funktionen zur Analyse des Verhaltens von Benutzern und Entitäten (UEBA) enthalten kann und vielfache andere Kombinationen.
Ob als eigenständiges Produkt oder als Teil eines umfassenderen Angebots – Unternehmen setzen weiterhin auf SIEM-Funktionen. Zu den wichtigsten Anwendungsfällen für SIEM zählen Bereiche wie Cybersicherheit und IT-Betrieb, darunter Protokollverwaltung, Angriffserkennung, Ereigniserkennung, Ereignisforensik und das Management der Cybersicherheitslage.
1. Protokollverwaltung
Dies ist die wichtigste Aufgabe eines SIEM. SIEM-Plattformen dienen nicht nur als Sammelstelle für Protokolle aus zentralen Sicherheitssystemen wie Firewalls und Systemen zur Erkennung und Abwehr von Eindringlingen (IDS/IPS). SIEM-Lösungen aggregieren und normalisieren auch Datenströme aus weiter entfernten Datenquellen, wie beispielsweise EDR- und XDR-Systemen. Ein zentraler Speicherort für Sicherheitsereignisprotokolle ist für Überwachungs-, Analyse- und Compliance-Zwecke von großer Bedeutung und Nutzen.
SIEM-Systeme erfassen sowohl betriebliche Protokolldaten, wie beispielsweise Leistungsdaten zu den Schnittstellen eines Routers, als auch Cybersicherheitsprotokolle, sodass sie sowohl für das NOC (Network Operations Center) und das IT-Betriebsteam als auch für das SOC (Security Operations Center) von Nutzen sind.
2. Angriffserkennung
Zwar können SIEMs Angriffe bereits weitgehend eigenständig erkennen, doch profitieren sie von der Integration mit UEBA-Systemen. UEBA-Systeme sind speziell darauf ausgelegt, die von einem SIEM bereitgestellten Echtzeit-Aktivitätsdaten einer erweiterten Verhaltensanalyse zu unterziehen.
Dabei ist zu beachten, dass eine SIEM-Lösung in der Regel nicht die Reaktion auf einen Angriff koordiniert. Diese Aufgabe übernimmt traditionell ein SOAR-System (Security Orchestration, Automation and Response), das sich zudem in das SIEM integrieren lässt.
Und natürlich spielt auch im Bereich SIEM das Thema KI eine Rolle. SIEM-Systeme nutzen bereits seit mehr als einem Jahrzehnt maschinelles Lernen. Nun werden sie, wie alles andere im Bereich der Cybersicherheit auch, in großem Umfang mit KI ausgestattet. Ein SIEM-System, das mit LLM-Fähigkeiten ausgestattet ist, kann Abfragen in natürlicher Sprache von Benutzern entgegennehmen und ihnen eine Beratungsfunktion mit Erklärungen in natürlicher Sprache bieten.
Agentenbasierte KI hält auch Einzug in SIEM-Systeme, und SIEMs mit KI-Agenten ermöglichen eine flexible und kontextbezogene Automatisierung von Reaktionen auf einem völlig neuen Niveau.
3. Ereigniserkennung
Nicht alle Ereignisse sind Angriffe. Auch Geräteausfälle und Leistungsprobleme können zu Ereignissen führen, die in den Protokollen erfasst werden, und ein SIEM kann das IT-Betriebsteam und das Netzwerkbetriebsteam (NOC) benachrichtigen, wenn solche Probleme auftreten. Wenn beispielsweise ein Router den normalen Datenverkehr aus einer Zweigstelle nicht mehr meldet, kann das SIEM das NOC auf das Problem aufmerksam machen.
4. Forensik und Ursachenanalyse
SIEM-Systeme dienen als Speicher für riesige Mengen an Daten, die für Angriffe relevant sind, ob diese nun erfolgreich gewesen sind oder abgewehrt worden. SIEM-Lösungen bieten Such- und Filterfunktionen, mit denen Ermittler relevante Informationen und Muster herausfiltern können. Ebenso können IT-Betriebsteams, die nach den Ursachen von Problemen in WANs, Campus-Netzwerken oder Rechenzentren suchen, von diesen Funktionen profitieren.
5. Verhinderung von Sicherheitsverletzungen und Security Posture Management
SIEM bietet nicht nur Einblick in Leistungs- und Alarmdaten, sondern auch in Gerätekonfigurationen. Das ist hilfreich für die Überwachung von Richtlinienabweichungen und die Unterstützung des Security-Posture-Managements. SIEM-Systeme können erkennen und melden, wenn die aktuellen Konfigurationen von den dokumentierten abweichen, sei es aufgrund eines Insider-Angriffs oder einer normalen Konfigurationsabweichung, die durch Ad-hoc-Änderungen im Rahmen einer Problemlösung entstanden ist.
Dieser Artikel ist im Original in englischer Sprache auf Search Security erschienen.
