22.06.2023 / Kategorie: Detect & Response
SIEM-Lösungen (Security Information and Event Management) können nur dann effizient arbeiten, wenn auch für das Unternehmen geeignete Use Cases ausgearbeitet wurden und diese kontinuierlich an die aktuelle IT-Umgebung sowie Bedrohungslage angepasst werden. Ein laufendes Use Case Management ist also von zentraler Bedeutung für ein leistungsfähiges SIEM und für die nachgelagerten Vorfallbehandlungs-Prozesse.
Ein SIEM ist eine integrierte Lösung zur Sicherheitsüberwachung und -analyse, die Sicherheitsinformationen aus verschiedenen Quellen sammelt und korreliert. Durch die Kombination von Daten aus unterschiedlichen Quellen kann ein SIEM ein umfassendes Bild der Sicherheitslage in einem Unternehmen liefern. SIEMs können Alarme generieren, wenn sie verdächtige Aktivitäten oder Ereignisse erkennen. Dies ermöglicht es den Sicherheitsbeauftragten, schnell auf Bedrohungen zu reagieren und potenzielle Angriffe abzuwehren, bevor diese Schaden anrichten können. Um ein SIEM effektiv nutzen zu können, müssen die Sicherheitsbeauftragten jedoch in der Lage sein, die generierten Alarme zu verstehen und zu interpretieren. Dies kann eine Herausforderung sein, insbesondere, wenn das Netzwerk komplex ist oder viele verschiedene Arten von Bedrohungen erkannt werden. Um diese Herausforderung effizient zu meistern, ist ein Use Case Management unverzichtbar.
Ohne Use Cases kann ein SIEM seine volle Kraft nicht entfalten. Ein Use Case ist eine Beschreibung einer Interaktion zwischen einem Akteur und einem System, die zu einem bestimmten Ergebnis führt. In der SIEM-Welt ist ein Use Case in der Regel ein Szenario, in dem Sicherheitsinformationen erfasst und analysiert werden, um Bedrohungen zu erkennen und zu bewerten. Use Cases sind wichtig, weil sie helfen, das SIEM-System auf die spezifischen Bedürfnisse des Unternehmens abzustimmen. Jedes Unternehmen hat seine eigenen Sicherheitsanforderungen, und ein gut konfiguriertes SIEM-System kann nur dann effektiv sein, wenn es diese Anforderungen berücksichtigt. In einem SIEM-System können verschiedene Use Cases implementiert werden, um unterschiedliche Bedrohungsszenarien/Angriffstechniken zu erkennen. Beispielsweise könnte ein Use Case entwickelt werden, um Anomalien im Netzwerkverkehr oder Zugriffsversuche auf geschützte Daten mittels Machine Learning zu erkennen. Darüber hinaus können Use Cases auch verwendet werden, um proaktiv Sicherheitsmassnahmen zu ergreifen, bevor ein Angriff stattfindet.
Die Frage, welche Use Cases für das eigene SIEM geeignet sind, hängt stark von den Bedürfnissen und dem Aufgabengebiet des jeweiligen Unternehmens ab. Die relevanten Anwendungsfälle können etwa identifiziert werden, indem Zugriffsversuche auf geschützte Ressourcen oder ungewöhnliche Netzwerkaktivitäten analysiert werden. Zudem können etablierte Frameworks herangezogen werden, etwa das deutsche BSI IT-Grundschutz-Kompendium oder das US-amerikanische NIST CSF. Diese bieten ein gewisses Grundgerüst an Sicherheitsanforderungen, anhand derer die eigenen Use Cases abgeleitet werden können. Alternativ können bereits bestehende Use Case Kataloge genutzt werden, wie z. B. der von IBM Resilient oder das MITRE ATT&CK Framework. Beide bieten eine Vielzahl an vordefinierten Angriffstechniken, deren Erkennung nur noch auf die jeweilige Infrastruktur übertragen werden muss. Dies spart Zeit und Mühe bei der Erstellung der Use Cases. Es sollte ein Augenmerk darauf gelegt werden, dass alle für das jeweilige Unternehmen relevanten Security Incidents abgedeckt werden. Zudem sollte bedacht werden, dass gerade in Bereichen mit hohem regulativem Druck (wie zum Beispiel im Bankensektor) oftmals individuelle Anpassungen notwendig sind, um alle regulatorischen Anforderungen zu erfüllen.
Die Auswahl von SIEM Use Cases sollte nicht willkürlich erfolgen, sondern anhand konkreter Kriterien vorgenommen werden. Dabei sind insbesondere die potenzielle Auswirkung, die Wahrscheinlichkeit des Auftretens und die Dringlichkeit der Behandlung relevant.
Sind die Use Cases ausgewählt, müssen sie im SIEM-System implementiert werden. Dies erfolgt in Form von Regeln, anhand derer die empfangenen Log-Daten und Ereignisse analysiert und verarbeitet werden. Neue oder veränderte Regeln müssen getestet werden, bevor sie in den produktiven Betrieb übernommen werden. Mit den Tests wird sichergestellt, dass die Use Cases den Anforderungen und den erwarteten Ergebnissen entsprechen.
Sind die Use Cases erfolgreich getestet und implementiert, wird häufig das Tuning vernachlässigt. Dabei ist das Tuning unverzichtbar, sollen die Use Cases auf Dauer so effektiv wie möglich sein. Verantwortliche sollten regelmässig überprüfen, ob sich die IT-Landschaft oder die Anforderungen geändert haben und die Use Cases dementsprechend angepasst werden müssen. IT-Landschaften und Unternehmen sind lebendige Systeme, die sich ändern. Das macht ein kontinuierliches Nachjustieren notwendig.
Use Case Management ist eine komplexe Kreislaufaufgabe: Analyse – Auswahl – Tests – Implementierung – Optimierung – Analyse. Sie erfordert Präzision, Erfahrung und auch Zeit und Aufwand. Unternehmen, die diese Aufgaben nicht intern abdecken können, sollten sich externe Unterstützung suchen, um dennoch ihr SIEM effizient zu betreiben. ISPIN etwa kümmert sich im Rahmen seines MDR-Angebotes (Managed Detection and Response) vollständig auch um das Use Case Management und nimmt seinen Kunden diesen Aufgabenblock ab. Im Rahmen der MDR-Services bieten wir Ihnen „SIEM as a Service“, wenn Sie noch kein SIEM haben oder binden Ihr bestehendes SIEM an unsere Systeme an und übernehmen damit auch das Use Case Management. Das sorgt für die Entlastung Ihrer internen IT und für eine verbesserte Sicherheit für das Unternehmen.
Kontaktieren Sie uns, wenn Sie ein SIEM benötigen bzw. wenn Sie Ihre Security-Anforderungen von erfahrenen Spezialisten erfüllt haben möchten. Wir unterstützen Sie gerne.
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications