Komponenten der SIEM-Architektur

Unternehmen müssen sich ständig gegen die ständig wachsende Zahl von Cyberangriffen verteidigen, denen sie täglich ausgesetzt sind. Das Sicherheitsinformations- und Ereignismanagement (SIEM) ist ein Sicherheitssystem, das von verschiedenen Unternehmen weit verbreitet eingesetzt wird, um ihre Netzwerke vor diesen Cyberangriffen zu schützen.

Eine SIEM-Lösung besteht aus verschiedenen Komponenten, die Sicherheitsteams bei der Erkennung von Datenschutzverletzungen und böswilligen Aktivitäten unterstützen, indem sie Netzwerkgeräte und -ereignisse ständig überwachen und analysieren. In diesem Artikel werden die verschiedenen Komponenten einer SIEM-Architektur näher erläutert.

Die 9 Komponenten einer SIEM-Architektur

• 1. Datenaggregation

  Diese Komponente einer SIEM-Lösung ist für die Erfassung von Protokolldaten verantwortlich, die von mehreren Quellen innerhalb eines Unternehmensnetzwerks generiert werden, wie z. B. Servern, Datenbanken, Anwendungen, Firewalls, Routern, Cloud-Systemen und mehr. Diese Protokolle, die eine Aufzeichnung aller Ereignisse enthalten, die in einem bestimmten Gerät oder einer bestimmten Anwendung stattgefunden haben, werden gesammelt und an einem zentralen Ort oder in einem Datenspeicher gespeichert.

  Zu den verschiedenen SIEM-Protokollerfassungstechniken gehören:

  • Agentenbasierte Protokollerfassung:

    Bei dieser Technik wird auf jedem Netzwerkgerät, das Protokolle generiert, ein Agent installiert. Diese Agenten sind dafür verantwortlich, die Protokolle von den Geräten zu sammeln und an den zentralen SIEM-Server weiterzuleiten. Neben diesen Aufgaben können sie die Protokolldaten auch auf Geräteebene anhand vordefinierter Parameter filtern, analysieren und vor der Weiterleitung in ein geeignetes Format konvertieren. Diese maßgeschneiderte Technik zur Erfassung und Weiterleitung von Protokollen hilft bei der optimalen Nutzung der Bandbreite.

    Die agentenbasierte Methode zur Erfassung von Protokollen wird vorwiegend in geschlossenen und gesicherten Zonen eingesetzt, in denen die Kommunikation eingeschränkt ist.

  • Agentenlose Protokollerfassung:

    Bei dieser Technik werden keine Agenten in Netzwerkgeräten eingesetzt. Stattdessen müssen Konfigurationsänderungen am Gerät vorgenommen werden, damit es alle generierten Protokolle auf sichere Weise an den zentralen SIEM-Server senden kann. Bei Geräten wie Switches, Routern, Firewalls usw. wird die Installation von Drittanbieter-Tools für die Protokollerfassung oft nicht unterstützt, sodass die Erfassung von Protokolldaten über einen Agenten schwierig wird. In solchen Fällen kann eine agentenlose Protokollerfassungstechnik verwendet werden. Sie reduziert auch die Belastung des Netzwerkgeräts, da die Bereitstellung eines zusätzlichen Agenten nicht erforderlich ist.

  • API-basierte Protokollerfassung:

    Bei dieser Technik können Protokolle mithilfe von Programmierschnittstellen (APIs) direkt von den Netzwerkgeräten erfasst werden. Virtualisierungssoftware stellt APIs bereit, die es der SIEM-Lösung ermöglichen, Protokolle von virtuellen Maschinen aus der Ferne zu erfassen. Wenn Unternehmen von lokaler Software auf Cloud-basierte Lösungen umsteigen, wird es außerdem schwierig, die Protokolle direkt an das SIEM zu übertragen, da die Dienste nicht mit einer physischen Infrastruktur verbunden sind. In diesem Fall nutzen cloudbasierte SIEM-Lösungen APIs als Vermittler, um die Netzwerkprotokolle zu sammeln und abzufragen.

• Über diesen Erklärtext: Dieser Inhalt ist Teil unserer ausführlichen Reihe zum Thema „Was ist SIEM und SIEM-Tools“. Erkunden Sie weiter, um Expertenwissen und Informationen zu bewährten Verfahren zu erhalten!

  2. 2. Sicherheitsdatenanalyse (Berichte und Dashboards)

  SIEM-Lösungen verfügen über eine Sicherheitsanalysekomponente, die hauptsächlich Live-Dashboards umfasst, die Sicherheitsdaten intuitiv in Form von Grafiken und Diagrammen darstellen. Diese Dashboards werden automatisch aktualisiert und helfen dem Sicherheitsteam, böswillige Aktivitäten schnell zu erkennen und Sicherheitsprobleme zu lösen. Mithilfe dieser Dashboards können Sicherheitsanalysten Anomalien, Korrelationen, Muster und Trends erkennen, die in den Daten vorhanden sein könnten, und verschiedene Einblicke in Ereignisse gewinnen, die in Echtzeit stattfinden. SIEM-Lösungen bieten Benutzern auch die Möglichkeit, eigene Dashboards zu erstellen und anzupassen.

  Ein weiterer Aspekt dieser Sicherheitsanalysekomponente sind vordefinierte Berichte. Häufig werden SIEM-Lösungen mit Hunderten von vordefinierten Berichten gebündelt, die dabei helfen, Sicherheitsereignisse sichtbar zu machen, Bedrohungen zu erkennen und Sicherheits- und Compliance-Audits zu vereinfachen. Diese Berichte, die meist auf der Grundlage bekannter Kompromittierungsindikatoren (IoCs) erstellt werden, können auch an interne Sicherheitsanforderungen angepasst werden.

  Die meisten SIEM-Lösungen bieten Benutzern auch die Möglichkeit, diese Berichte zu filtern, zu durchsuchen und zu analysieren, Zeitpläne für die Berichterstellung nach den Bedürfnissen des Benutzers festzulegen, Daten in Form von Tabellen und Grafiken anzuzeigen und die Berichte in verschiedenen Formaten zu exportieren.

• 3. 3. Korrelation und Sicherheitsereignisüberwachung

  Eine Korrelations-Engine ist eine der wichtigsten Komponenten einer SIEM-Lösung. Mithilfe vordefinierter oder benutzerdefinierter Korrelationsregeln werden die gesammelten Protokolldaten auf mögliche Beziehungen zwischen verschiedenen Netzwerkaktivitäten, gemeinsame Attribute oder Muster analysiert. Korrelations-Engines sind in der Lage, verschiedene Sicherheitsvorfälle zusammenzufassen, um einen ganzheitlichen Überblick über Sicherheitsangriffe zu geben. Sie sind in der Lage, Anzeichen verdächtiger Aktivitäten, Kompromittierungen oder potenzieller Sicherheitsverletzungen frühzeitig im Netzwerk zu erkennen, und das SIEM-System generiert auch für diese Aktivitäten Warnmeldungen.

  Ein Beispiel für eine Korrelationsregel:

  „Wenn ein Benutzer nach mehreren fehlgeschlagenen Anmeldeversuchen in kurzer Zeit einen erfolgreichen Anmeldeversuch unternimmt, wird eine Warnung ausgelöst.“

  Die meisten SIEM-Lösungen werden mit vordefinierten Korrelationsregeln geliefert, die auf den IoCs basieren. Da Angreifer jedoch immer ausgefeiltere Techniken einsetzen, um in ein System einzudringen, müssen die Regeln regelmäßig geändert und verbessert werden, da sie sonst veralten. Die Erstellung von Korrelationsregeln erfordert ein tiefgreifendes Verständnis des Verhaltens und der Taktiken eines Angreifers.

• 4. Forensische Analyse

  Diese Komponente einer SIEM-Lösung wird zur Durchführung einer Ursachenanalyse und zur Erstellung eines Vorfallsberichts verwendet, der eine detaillierte Analyse eines Angriffsversuchs oder eines laufenden Angriffs bietet und Unternehmen dabei unterstützt, sofort geeignete Abhilfemaßnahmen zu ergreifen.

  Trotz der besten Abwehrmechanismen ist es für ein Unternehmen nicht immer möglich, alle Cyberangriffe abzuwehren. Ein Unternehmen kann jedoch eine forensische Analyse durchführen, um die Tatorte zu rekonstruieren und die Ursache des Verstoßes zu ermitteln. Da Protokolldaten eine Aufzeichnung aller Ereignisse enthalten, die in einem bestimmten Gerät oder einer bestimmten Anwendung stattgefunden haben, können sie auf Spuren untersucht werden, die von böswilligen Angreifern hinterlassen wurden.

  SIEM-Systeme helfen dem Sicherheitsteam, die Protokolle zu durchsuchen, forensische Berichte zu erstellen und den Zeitpunkt zu ermitteln, zu dem eine bestimmte Sicherheitsverletzung aufgetreten ist, sowie die Systeme und Daten, die kompromittiert wurden, die Hacker, die hinter den böswilligen Aktivitäten stehen, und den Eintrittspunkt.

  Diese Komponente unterstützt Unternehmen auch bei der Erfüllung bestimmter Compliance-Anforderungen, wie z.B. der Speicherung und Archivierung von Protokolldaten über einen längeren Zeitraum und der Möglichkeit, forensische Untersuchungen an diesen durchzuführen.

• 5. Vorfallserkennung und -reaktion

  Vorfallserkennung

  Dieses Modul einer SIEM-Lösung ist an der Erkennung von Sicherheitsvorfällen beteiligt. Ein Sicherheitsvorfall bezieht sich auf einen versuchten oder erfolgreichen Datenverstoß im Netzwerk durch eine nicht autorisierte Partei oder einen Verstoß gegen die Sicherheitsrichtlinien einer Organisation. Denial-of-Service-Angriffe, der Missbrauch von Daten und Ressourcen, die unbefugte Eskalation von Berechtigungen und Phishing-Angriffe sind einige gängige Beispiele für Sicherheitsvorfälle. Diese Vorfälle müssen erkannt und analysiert werden, und es müssen geeignete Maßnahmen ergriffen werden, um das Sicherheitsproblem zu lösen und gleichzeitig die Kontinuität des Geschäftsbetriebs zu gewährleisten. Bei der Erkennung von Vorfällen sind Unternehmen bestrebt, die durchschnittliche Erkennungszeit (Mean Time To Detect, MTTD) so gering wie möglich zu halten, um den durch die Angreifer verursachten Schaden zu reduzieren.

  Die Erkennung von Vorfällen kann mit den folgenden Techniken durchgeführt werden:

  • Korrelation von Ereignissen
  • Threat Intelligence
  • Analyse des Benutzer- und Entitätsverhaltens (UEBA)

  Reaktion auf Vorfälle

  Dieses Modul einer SIEM-Lösung ist für die Abhilfemaßnahmen verantwortlich, die zur Lösung von Sicherheitsvorfällen nach deren Erkennung ergriffen werden. Da Unternehmen täglich mit unzähligen Sicherheitsproblemen konfrontiert sind und Angreifer immer ausgefeiltere Techniken einsetzen, ist die Reaktion auf Vorfälle zu einer Herausforderung geworden. Die Reduzierung der durchschnittlichen Reparaturzeit (Mean Time To Repair, MTTR) hat für jedes Unternehmen höchste Priorität.

  Zu den Techniken zur Reaktion auf Vorfälle gehören:

  • Automatisierung der Reaktion auf Vorfälle mit Workflows
  • Durchführung von forensischen Untersuchungen

• 6. Echtzeit-Ereignisreaktion oder Alarmkonsole

  SIEM-Lösungen führen Protokollsammlungs- und Korrelationsaktivitäten in Echtzeit durch; wenn verdächtige Aktivitäten erkannt werden, wird sofort ein Alarm ausgelöst und das Incident-Response-Team wird sofort handeln, um den Angriff abzuschwächen oder zu verhindern.

  Alarmbenachrichtigungen können auch per E-Mail oder SMS in Echtzeit gesendet werden und können nach den ihnen zugewiesenen Prioritäten kategorisiert werden: hoch, mittel oder niedrig. Sicherheitsvorfällen können Arbeitsabläufe zugewiesen werden, sodass bei Auslösung eines Alarms der entsprechende Arbeitsablauf automatisch ausgeführt wird.

• 7. Threat Intelligence

  Threat Intelligence Daten liefern Kontextinformationen, die erforderlich sind, um verschiedene Arten von Cybersicherheitsbedrohungen zu identifizieren und geeignete Maßnahmen zu ergreifen, um sie zu verhindern, zu beheben oder abzuschwächen. Wenn Unternehmen die Quelle des Angriffs, das Motiv dahinter, die Strategien und Methoden, die zu seiner Durchführung verwendet wurden, sowie die Anzeichen für eine Kompromittierung verstehen, können sie die Bedrohung besser einschätzen, die Risiken bewerten und fundierte Entscheidungen treffen.

  Um Kontextinformationen hinzuzufügen, können Unternehmen entweder Bedrohungs-Feeds von Drittanbietern beziehen oder Open-Source-Bedrohungs-Feeds im STIX/TAXII-Format zusammenstellen und verwenden. Die Art der Bedrohung kann sofort identifiziert und Gegenmaßnahmen können eingeleitet werden, wodurch die durchschnittliche Reparaturzeit (MTTR) reduziert wird.

  Diese Komponente unterstützt Sicherheitsadministratoren auch beim Threat Hunting, einem Prozess, bei dem das gesamte Netzwerk aktiv nach Bedrohungen oder IOCs durchsucht wird, die dem Sicherheitssystem möglicherweise entgehen.

• 8. Verhaltensanalyse von Benutzern und Entitäten (UEBA)

  Diese Komponente hilft bei der Erkennung von Sicherheitsvorfällen. Da Angreifer ständig neue Techniken entwickeln, um in Netzwerke einzudringen, werden herkömmliche Sicherheitssysteme schnell veraltet. Organisationen können sich jedoch mithilfe von maschinellen Lernverfahren vor jeder Art von Cyberbedrohung schützen.

  UEBA-Komponenten verwenden maschinelle Lernverfahren, um ein Verhaltensmodell zu entwickeln, das auf dem normalen Verhalten von Benutzern und Maschinen in einem Unternehmen basiert. Dieses Verhaltensmodell wird für jeden Benutzer und jede Entität durch die Verarbeitung großer Datenmengen entwickelt, die von verschiedenen Netzwerkgeräten stammen. Jedes Ereignis, das von diesem Verhaltensmodell abweicht, wird als Anomalie betrachtet und weiter auf potenzielle Bedrohungen untersucht. Dem Benutzer oder der Entität wird eine Risikobewertung zugewiesen. Je höher die Risikobewertung, desto größer der Verdacht. Auf der Grundlage der Risikobewertung wird eine Risikobewertung durchgeführt und es werden Abhilfemaßnahmen ergriffen.

  Einige fragen sich vielleicht, worin der Unterschied zwischen einer Korrelationsmaschine und UEBA besteht. Während es sich bei ersterer um ein regelbasiertes System zur Erkennung von Vorfällen und Bedrohungen handelt, erkennt UEBA, wie der Name schon sagt, verdächtige Ereignisse auf der Grundlage von Verhaltensanalysen. Damit ein Unternehmen Angriffe effektiv abwehren kann, sollte es sowohl auf den herkömmlichen regelbasierten Mechanismus als auch auf die moderne Verhaltensanalyse setzen.

• 9. IT-Compliance-Management

  In Bezug auf Datenschutz und -sicherheit wird von einem Unternehmen im Allgemeinen erwartet, dass es die von verschiedenen Aufsichtsbehörden auferlegten erforderlichen Standards, Vorschriften und Richtlinien einhält. Diese regulatorischen Vorgaben variieren je nach Branche und Region, in der ein Unternehmen tätig ist. Wenn das Unternehmen die Vorschriften nicht einhält, wird es bestraft.

  Um sicherzustellen, dass eine Organisation alle von der Regierung festgelegten Compliance-Anforderungen zum Schutz sensibler Daten erfüllt, enthalten SIEM-Lösungen eine Compliance-Management-Komponente. Proaktive Maßnahmen wie der Einsatz verschiedener Techniken zur Identifizierung von Anomalien, Mustern und Cyber-Bedrohungen sollten ebenfalls ergriffen werden, um sensible Daten vor einer Gefährdung zu schützen.

  SIEM-Lösungen sind in der Lage, Protokolldaten über einen längeren Zeitraum zu speichern und zu archivieren, damit Prüfer die Prüfpfade überprüfen können. Sie können auch Compliance-Berichte wie HIPAA, SOX, PCI DSS, GDPR, ISO 27001 durch Protokollerfassung und -analyse sowie sofort einsatzbereite Berichte gemäß den spezifischen Anforderungen des Mandats erstellen.

Alle diese SIEM-Komponenten arbeiten zusammen, um das Sicherheitsteam zu unterstützen, indem sie Einblicke in verschiedene Arten von Bedrohungen, ihre Angriffsmuster und böswillige Aktivitäten, die im Netzwerk stattfinden können, sowie die erforderlichen Maßnahmen zur Behebung von Sicherheitsproblemen liefern.