Dieser Artikel ist Teil unseres Guides: Sicherheit für hybride IT-Infrastrukturen gewährleisten

SIEM: Tipps zur Konfiguration für bessere Ergebnisse

Die Analysen einer SIEM-Lösung sind nur so gut, wie die vorliegenden Daten. Folgende Tipps helfen dabei, die Effektivität zu optimieren.

SIEM-Lösungen sind dafür gedacht, die Überwachung sicherheitsrelevanter Ereignisse sowie die daraus resultierende Analyse zu verbessern und erleichtern. Unternehmen setzen SIEM-Produkte (Security Information and Event Management) oft aus unterschiedlichen Motivationen ein. Dazu kann beispielsweise ein Compliance-getriebener Sicherheitsbericht gehören, oder auch die Untersuchung von Sicherheitsvorfällen im Nachhinein beziehungsweise die Entdeckung von aktuellen Bedrohungen oder Sicherheitsvorfällen.

All diese SIEM-Lösungen haben eines gemeinsam: Die Ergebnisse basieren auf der Auswertung von Daten. Anwendungen und Geräte, die ihrerseits Logfiles produzieren, können diese in der Regel nicht eigenständig im Hinblick auf Compliance-Verstöße und Angriffe untersuchen. SIEM-Lösungen beherrschen die Datenanalyse und können alle Logfiles, die von verschiedensten Quellen stammen, im Hinblick auf Vorkommnisse als Gesamtes betrachten. Durch das Zusammensetzen dieser unterschiedlichen Erkenntnisse können via SIEM Bedrohungen erkannt werden, die ansonsten unerkannt geblieben wären.

Alle SIEM-Angebote bieten Basisfunktionen in Sachen Datenanalyse. Aber durch das Justieren einiger weniger Einstellungen lassen sich die Effektivität und Wirksamkeit deutlich steigern. Nachfolgend einige Tipps zur Konfiguration.

Anpassen der Quelldaten

Das Optimieren der sicherheitsrelevanten Einstellungen im Unternehmensnetzwerk kann eine hilfreiche Maßnahme sein. Dazu zählen alle Lieferanten von sicherheitsrelevanten Ereignissen: Firewalls, Intrusion-Detection-Systeme, Endgeräte-Sicherheitslösungen, Antiviren-Server-Produkte oder auch das Mobile Device Management. Alle diese Lösungen werden oft mit den Standardeinstellungen hinsichtlich der Security-Logfiles betrieben.

Vergrößert man das Spektrum der zu protokollierenden Ereignisse, kann dies zu deutlich besseren Ergebnissen in der SIEM-Analyse führen. Hier heißt es aber umsichtig vorzugehen, und geänderte Einstellungen erst einmal zu testen, bevor sie in der produktiven Infrastruktur angewandt werden. All zu stramme Einstellungen können sich auf die Performance und natürlich auch auf die Speicherkapazität auswirken. Und zwar sowohl in der jeweiligen Einzellösung als auch auf der SIEM-Plattform.

SIEM-Agents einsetzen

Die SIEM-Agents so einstellen, dass zusätzliche Daten protokolliert werden, kann die Analyse mit besserem Material versorgen. Die Qualität und Details, die Ereignisprotokolle von Anwendungen und Betriebssystemen liefern, können eine große Bandbreite aufweisen. Über SIEM-Agenten lässt sich die Standardprotokollierung häufig ergänzen, und zwar auf zwei Art und Weisen: Zum einen lassen sich mehr Details protokollieren, um ein schärferes Bild in Sachen sicherheitsrelevanter Ereignisse zu bekommen. Zum anderen kann man SIEM-Agenten so konfigurieren, dass automatisch weitere Informationen protokolliert werden, wenn ein sicherheitsrelevantes Ereignis eintritt. Beides sorgt dafür, dass die Analyse durch SIEM zum genaueren Aussagen führen kann.

Log-Dateien optimieren

Das Optimieren der SIEM-Plattform im Hinblick auf die gesammelten Daten erhöht die Präzision. Ein einzelnes SIEM-System muss Daten von hunderten verschiedenen Quellen und entsprechenden Log-Dateien analysieren. Die meisten SIEM-Lösungen kommen ganz gut mit diesen Daten zurecht, und wissen, welches Feld in den Datensätzen welcher Bedeutung gleich kommt. Aber das gilt natürlich nicht für alle Logfiles, beispielswiese wenn selbstentwickelte Anwendungen zum Einsatz kommen.

Hier gilt es, die Zeit zu investieren, die ursprünglichen Protokolldateien so anzupassen oder umzuwandeln, dass die SIEM-Lösung diese versteht. Den entsprechenden Kontext für die jeweiligen Daten herzustellen, kann eine Anpassung der SIEM-Plattform erfordern. Je nach Komplexität kann es auch erforderlich sein, eine eigene Routine zu schreiben, um den ursprünglichen Kontext auch nach der Umwandlung in ein SIEM-lesbares Format zu behalten.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

IT-Security: Logfiles und Protkolldaten speichern und auswerten.

Kostenloses E-Handbook: SIEM richtig auswählen.

Governance, Risiko-Management & Compliance mit ganzheitlichem Ansatz.

Big Data Security Analytics – Sicherheitsrelevante Ereignisse untersuchen.

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close