Inhaltsverzeichnis
Vielleicht hat der ein oder andere schon vom Begriff „SIEM“ gehört oder sich auch bereits eingehend hiermit befasst. Wir möchten das Thema gerne in ein paar Blogartikeln näher beleuchten und auch informieren, inwiefern sich S&L dem Thema stellt.
Dabei werden wir später auch Informationen direkt aus der Praxis liefern. Starten möchten wir jedoch mit ein paar Grundlagen. SIEM steht für „Security Information and Event Management“. Doch was verbirgt sich dahinter? Geprägt wurde der Begriff SIEM schon 2005 durch Mark Nicolett und Amrit Williams von Gartner, einem der wohl bekanntesten Marktforschungsunternehmen der IT-Branche. Generell geht es darum einen ganzheitlichen Blick auf die IT-Sicherheit zu werfen.
Zwei Bausteine prägen dabei den Begriff SIEM:
SIM: „Security Information Management“
Unter SIM versteht man vor allem das Sammeln von Informationen. Man kann hierbei auch von einem Log Management sprechen. Heißt, es werden Daten von verschiedenen Quellen wie Netzwerk- und Sicherheitskomponenten, sowie aber auch von Produkten gesammelt. Wichtig ist hierbei, dass die Informationen nicht dezentral, z.B. bei den Produkten selbst, sondern an einer zentralen Stelle gesammelt werden.
SEM: „Security Event Management“
Bei SEM geht es um die Erkennung von Abweichungen in IT-Systemen, sowie im Netzwerkverkehr. Mittels Mustererkennung sollen Manipulationen und externe Angriffe aufgedeckt werden.
SIEM = SIM + SEM + Regelwerk
Bei SIEM ist der Managementfaktor stärker ausgeprägt. Heißt wie bei SIM werden die Informationen gesammelt und wie bei SEM werden Ereignisse gemeldet, aber dies zu einem festen Regelwerk. Es wird hierbei festgelegt welche Systeme / Komponenten besonders geschützt und überwacht werden sollen und welche Ereignisse sicherheitsrelevant ist. Zusätzlich wird definiert, wie bei Eintritt eines Ereignisses zu reagieren ist.
Softwareprodukte für SIEM
Um Logdaten zu sammeln, auszuwerten und zu analysieren benötigt man entsprechende Software. Hier gibt es am Markt verschiedene Produkte. Ein paar möchten wir hier nennen:
- Splunk
- Apache Metron
- OSSEC Projekt
- Alient Ault OSSIM
- Azure Sentinel
Und besonders hervorzuheben der ELK Stack und die Distribution Amazon OpenDistro.
Warum SIEM für Sie wichtig sein könnte?
Ohne an dieser Stelle ins Detail zu gehen, stellt unter anderem die DSGVO die Forderung, dass Unternehmen personenbezogene Daten besonders schützen müssen. Gerade dann, wenn tatsächlich ein Angriff auf Systeme stattgefunden hat, ist man hier in der Nachweispflicht. Ein SIEM-System hilft von vornherein bei der Datensicherheit, aber auch bei der Aufklärung im Notfall.
Mehr zu den Themen und warum wir unseren Fokus auf ELK gelegt haben, gibt es in unserem zweiten Teil dieser Blogserie.