Besten Tipps zum erfolgreichen Einsatz von SIEM-Lösungen
Mit dem Einsatz von Security Information und Event Management, kurz SIEM, lassen sich Gefahren für die IT-Sicherheit rechtzeitig aufspüren und im besten Fall auch beseitigen. Allerdings gibt es Unterschiede bei den SIEM-Tools. In diversen Tests zeigten einige der Softwareprodukte der Hersteller Schwächen beim Anzeigen von Informationen zu Threats in Echtzeit sowie bei der Identifikation von Malware. Häufig fehlt Unternehmen eine Anleitung für den Fall, dass tatsächlich Bedrohungen gefunden werden. In diesem Artikel zeigen wir Tipps auf, mit denen sich ein erfolgreicher Einsatz von Security Information und Event Management realisieren lässt.
1. SIEM-Tools sollten mehrere Bereiche abdecken
Damit traditionelle SIEM-Lösungen wichtige Informationen erfassen können, ist es wichtig, dass sie mit offenen Schnittstellen auch auf Informationen der Sicherheitstools von Drittanbietern zugreifen können. Dazu gehören zum Beispiel Daten von Tools wie Schwachstellen-Scannern, Asset Inventories, Intrusion Detection Systemen und Hostbasierenden Intrusion Detection Systemen. Dies nimmt viel Zeit in Anspruch. Deshalb sollten Nutzer auch auf integrierte Security Monitoring Funktionen wie Schwachstellenanalyse, Verhaltensüberwachung und Asset Discovery setzen.
2. Ohne Bedrohungsanalyse kein wirksamer Schutz
Dass Anwender zeitnah über neue Bedrohungen und Gefahren im Netz informiert werden, ist eine elementare und zeitkritische Anforderung. Unabhängig der Meldung von Ereignissen ist eine Handlungsempfehlung hilfreich, um für jeder Art von Ereignis eine Lösung bereitzustellen. Deshalb sollte eine wirksame Bedrohungsanalyse stets eine Anleitung dazu liefern, mit welchen Mitteln gefundene Bedrohungen am besten beseitigt werden können. Nur so ist es möglich, einen wirksamen digitalen Schutzwall zu errichten.
3. Wichtigkeit von Daten erkennen
SIEM-Anwender sollten sich darüber im Klaren sein, welche Art von Informationen für sie am wichtigsten sind und welche Informationen sie mit Hilfe der SIEM-Lösung gewinnen wollen. Was für Ereignisse sollen untersucht werden? Welche Funktionen muss ein SIEM-Tool bereitstellen? Wie und welche Daten soll das SIEM sammeln? Wie Reaktionen erfolgen bei bestimmten Sicherheitsvorfällen? Je nachdem, wie die Antworten aussehen, kann man die SIEM-Lösung eher auf spezielle Bereiche einschränken oder auf ein breiteres Feld ausweiten. Dadurch können Kapazitäten geschont sein, da Zeit für Analyse durch Mitarbeiter entfällt.
4. Überlegen, was im schlimmsten Fall passieren könnte
Man sollte immer überlegen, welches Szenario im schlimmsten Fall auftreten könnte. Was würde passieren? Welche Bereiche wären betroffen? Und die wichtigste Frage: Was wäre anschließend zu tun? Denn im Falle eines Worst-Case-Szenarios ist es hilfreich einen definiertes Vorgehen zu haben, welches schrittweise ausgeführt werden kann.
5. Die gesamte IT-Umgebung einheitlich überwachen
In einem Unternehmen sollte komplette Infrastrukturen einheitliche Sicherheits-Tools nutzen. Genauso sollten IT Sicherheitsbeauftragte die gespeicherten Daten alle durch SIEM überwachen. Es besteht die Gefahr, dass durch fehlende Daten vereinzelt bestimmte Bereiche nicht ausreichend überwacht sind und Hackerangriffe durch Black Hat Hacker auf die Infrastruktur nicht erkannt werden.
6. SIEM nicht unnötig verkomplizieren
Nicht immer müssen SIEM-Lösungen mit hoher Komplexität besser sein. Wichtigste Einstellungen kann man auch automatisiert mittels Assistenzfunktion durchführen. Dies funktioniert über das Unified Security Management. Durch integrierte Security-Monitoring-Funktionen lassen sich die wichtigen Datenquellen identifizieren und verknüpfen.
Fazit: SIEM zur Überwachung des Sicherheitmanagments
Eine wirksame und erfolgversprechende SIEM-Lösung zeigt den Anwendern nicht nur potenzielle Bedrohungen auf, sondern bietet auch Anleitungen dafür, wie sie mit diesen Bedrohungen umgehen sollen. Von wirklich entscheidender Bedeutung ist allerdings, dass die Benachrichtigungen zum richtigen Zeitpunkt eintreffen, und zwar so, dass man gegebenenfalls noch reagieren kann, bevor etwas passiert ist. Welches SIEM passend ist, hängt von den individuellen Wünschen ab und vom Einsatz von Fachpersonal.
Datenschutz Folgenabschätzung – Einfach erklärt.
Datenschutz Folgenabschätzung – Wann muss eine Datenschutz Folgenabschätzung durchgeführt werden? Seit dem 25. Mai 2018 ist die zweijährige Übergangsfrist
Hacker – Was ist ein Hacker und wie kann einer helfen?
Der Schutz von sensiblen und hochpersönlichen Daten ist schon lange kein Punkt mehr, welcher nur große Unternehmen oder gar Weltkonzerne
Gehackte Accounts – Hilfreiche Tipps
Wurden Sie bereits gehackt oder vermuten Sie einn Opfer von gehackte Accounts zu sein? Es ist keine ungewöhnliche Sache mehr