- Home
- Funktionen von SIEM
Funktionen von SIEM
Auf dieser Seite
- Log-Verwaltung
- Verwaltung von Vorfällen
- Prüfung des privilegierten Zugriffs
- Threat Intelligence
- Cloud-Sicherheit
- Analyse von Benutzerentitäten und -verhalten (UEBA)
- Schutz von Daten
Sicherheitsinformations- und Ereignisverwaltungslösungen (SIEM) bieten einen ganzheitlichen Überblick über alle Aktivitäten, die in einer IT-Infrastruktur stattfinden, indem sie Netzwerkaktivitäten überwachen und Bedrohungsdaten sowie Analysen des Benutzer- und Entitätsverhaltens (UEBA) einsetzen, um Angriffe zu erkennen und zu entschärfen.
Log-Verwaltung
Die Protokollverwaltung umfasst die Sammlung, Normalisierung und Analyse von Protokolldaten und wird verwendet, um einen besseren Einblick in die Netzwerkaktivitäten zu erhalten, Angriffe und Sicherheitsvorfälle zu erkennen und die Anforderungen von IT-Rechtsvorschriften zu erfüllen. Für eine effektive Protokollanalyse setzen SIEM-Lösungen verschiedene Prozesse wie Protokollkorrelation und Forensik ein, mit denen Datenverletzungen und Angriffe in Echtzeit erkannt werden können. Zur Protokollverwaltung gehört auch die sichere Archivierung von Protokolldaten, um die Protokolle für einen bestimmten Zeitraum aufzubewahren.
Verwaltung von Vorfällen
Ein Sicherheitsvorfall ist ein Ereignis, das von den normalen Aktivitäten in einem Netzwerk abweicht. Ein Vorfall kann die sensiblen Daten eines Unternehmens gefährden und kann zu einer Datenverletzung oder einem Angriff führen, muss es aber nicht. Das Vorfallmanagement umfasst die Erkennung und Begrenzung von Sicherheitsvorfällen.
Bei der Erkennung von Vorfällen wird eine Sicherheitsbedrohung in einem Netzwerk identifiziert. Sie können Vorfälle mit verschiedenen Techniken wie Protokollkorrelation, UEBA und Bedrohungsanalyse erkennen.
Die Behebung von Vorfällen bezieht sich auf die Lösung eines Vorfalls oder Angriffs im Netzwerk und die Wiederherstellung des Netzwerks in einen funktionalen Zustand. SIEM-Lösungen bieten verschiedene Workflows, die automatisch ausgeführt werden können, wenn ein Alarm ausgelöst wird. Diese Workflows tragen wesentlich dazu bei, die seitliche Ausbreitung von Angriffen im Netzwerk zu verhindern
Überprüfung des privilegierten Zugriffs
Privilegierte Benutzerkonten sind solche mit Administratorrechten. Diese Berechtigungen können dem Benutzer erlauben, Software zu installieren, zu entfernen oder zu aktualisieren, Systemkonfigurationen zu ändern, Benutzerberechtigungen zu erstellen, zu modifizieren oder zu ändern und vieles mehr.
Privilegierte Konten sind von größter Bedeutung für die Sicherheit des Netzwerks, da ein einziges kompromittiertes privilegiertes Benutzerkonto einem Angreifer mehr Zugriff auf Netzwerkressourcen verschaffen könnte. Es ist wichtig, die Aktionen privilegierter Benutzer zu verfolgen und zu überprüfen und Echtzeitwarnungen für abnormale Aktivitäten zu generieren. Die Überwachung privilegierter Benutzerkonten kann helfen, Insider-Angriffe zu verfolgen und zu verhindern, da diese Konten die Erlaubnis haben, die Aktivitäten anderer Benutzer in einem Netzwerk zu beobachten. Wenn Benutzer versuchen, ihre Privilegien zu erweitern, kann dies eine potenzielle Bedrohung darstellen. SIEM-Lösungen können ein solches Verhalten erkennen und die Aktivitäten privilegierter Benutzer überprüfen, um die Netzwerksicherheit zu erhöhen.
Threat Intelligence
Bedrohungsdaten sind wichtig, um einen Angriff zu verhindern, anstatt auf einen Vorfall zu reagieren, nachdem er stattgefunden hat. Threat Intelligence kombiniert das Wissen, das aus Beweisen, Kontextinformationen, Indikatoren und Reaktionen auf verschiedene Bedrohungen gewonnen wird, und liefert konkrete Beispiele für Kompromittierungsindikatoren (IOCs). Es kann auch Informationen über die Taktiken, Techniken und Verfahren (TTPs) liefern, die bei den neuen Bedrohungen zum Einsatz kommen, und es kann aktuelle Netzwerkaktivitäten überwachen, um anomale Muster zu erkennen. Threat Intelligence umfasst Tools für künstliche Intelligenz (KI) und maschinelles Lernen (ML), um zwischen regelmäßigen und unregelmäßigen Mustern in einem Netzwerk zu unterscheiden und festzustellen, ob eine Aktivität eine Bedrohung für das Netzwerk darstellt.
Cloud-Sicherheit
Bei der Cloud-Sicherheit geht es um den Schutz von Daten und Infrastrukturen, die auf Cloud-Plattformen gehostet werden. Cloud-Plattformen sind in puncto Sicherheit genauso anfällig wie lokale Plattformen. SIEM-Lösungen unterstützen IT-Sicherheitsadministratoren bei der Sicherung von Cloud-Plattformen, indem sie Netzwerkanomalien, abnormales Benutzerverhalten, unbefugten Zugriff auf kritische Ressourcen und vieles mehr erkennen.
Analyse von Benutzerentitäten und -verhalten (UEBA)
UEBA in SIEM-Lösungen basiert in der Regel auf ML oder KI und analysiert das normale Arbeitsmuster eines Benutzers oder die typische Art und Weise, wie ein bestimmter Benutzer täglich auf das Netzwerk zugreift. Es kann Abweichungen vom normalen Verhalten erkennen, einen Alarm auslösen und den Sicherheitsadministrator sofort benachrichtigen.
Je mehr Informationen die SIEM-Lösung aus verschiedenen Quellen wie Routern, Firewalls, Domänencontrollern, Anwendungen, Datenbanken und beliebigen Rechengeräten in einem Netzwerk verarbeitet, desto präziser kann die Erkennung von Anomalien mit der Zeit werden. UEBA setzt ML-Techniken und KI-Algorithmen ein, um die Informationen zu verarbeiten, die Muster von Bedrohungen zu lernen und zu erkennen, ob ein bestimmtes Muster in einem Netzwerk einer zuvor aufgetretenen Bedrohungsanomalie ähnlich ist. Mit dieser Erkennung hilft UEBA bei der Generierung von Echtzeitwarnungen und nutzt die Automatisierung bei der Bedrohungsabwehr, um sie zuverlässiger zu machen.
Datenschutz
Eines der Hauptziele von Sicherheitsexperten ist es, den Verlust oder das Abfließen von sensiblen Daten zu verhindern. SIEM-Lösungen helfen bei der Erkennung, Eindämmung und Verhinderung von Datenverletzungen, indem sie das Benutzerverhalten kontinuierlich überwachen. SIEM-Lösungen verfolgen die Zugriffe auf kritische Daten und identifizieren unbefugte Zugriffe oder Zugriffsversuche. Sie überwachen auch die Ausweitung von Berechtigungen in Benutzerkonten und alle von diesen Konten vorgenommenen Änderungen an Daten. Wenn diese Erkennungsfunktionen mit der Workflow-Verwaltung kombiniert werden, können Sicherheitsadministratoren die SIEM-Lösung so konfigurieren, dass bösartige Aktivitäten im Netzwerk verhindert werden.