Security Information and Event Management für den IT-Stack

Fünf Vorurteile gegenüber SIEM

Seite: 4/4

Firma zum Thema

Nur bedingt „Cloud-freundlich“

Ob geplant oder nicht: Manche bis viele Inhalte haben Unternehmen bereits in die Cloud ausgelagert. Je nach aktuellem Stand der Cloud-Entwicklung ist dabei meist ein Mix aus privater Wolke im eigenen Rechenzentrum sowie einer Public Cloud von einem externen Anbieter vorhanden.

Eine öffentliche Datenwolke kann für eine SIEM-Lösung allerdings zum Problem werden, sofern das Security-System die „fremde“ Struktur des Cloud-Providers nicht einsehen und dadurch nicht in das gesamte Überwachungsnetzwerk einbinden kann. Es fehlt also der Einblick in eine wichtige Komponente der Infrastruktur.

Auch wenn die Public Cloud zu diesem Zeitpunkt keine geschäftskritischen oder sensiblen Daten enthält: Das könnte sich im Laufe der Zeit ändern, weshalb bei der Sichtbarkeit keine Abstriche gemacht werden sollte. Letztlich sollte das SIEM-System allen installierten Komponenten und „Datenstraßen“ folgen können, unabhängig davon, ob der Weg in die Cloud, in das Data Center oder zu mobilen Geräten führt.

Damit die Selektion und Evaluation einer SIEM-Lösung nicht dazu führt, dass letztlich ein unpassendes System installiert wird, sollten sich Unternehmen im Vorfeld genau informieren. Dabei können diese Fragen an den Händler des Vertrauens weiterhelfen:

  • Wie lange ist der Zeitraum zwischen Installation und den ersten Einblicken per SIEM in die Infrastruktur?
  • Wie viele Mitarbeiter werden für die Integration benötigt?
  • Was ist machbar, falls nicht alle externen Security-Technologien verfügbar sind, die die SIEM-Lösung mit Daten beliefern (z.B. IDS, Schwachstellenscanner, Netflows etc.)?
  • Wie verhalten sich voraussichtlich die Kosten der Lizenzierung zu Consulting- und Implementierungsgebühren?
  • Geben die Warnmeldungen des jeweiligen Systems Schritt-für-Schritt-Anleitungen an, wie auf Ermittlungsergebnisse reagiert werden soll?
  • Ist die SIEM-Lösung Cloud-tauglich?

(Bild: AlienVault)
Wer sich letztlich für eine All-in-one-Lösung entscheidet, die SIEM integriert – wie z.B. die Unified Security Management-Plattform von AlienVault –, kann enorm Kosten sparen, wie diese Aufstellung verdeutlicht.

Fazit

Um ein wachsames Auge in Form einer SIEM-Lösung im Netzwerk zu platzieren, ist die eingehende Prüfung der in Frage kommenden Systeme entscheidend. Dabei sollten Unternehmen insbesondere darauf achten, dass ihre individuellen Anforderungen berücksichtigt werden können.

Jedes Netzwerk ist anders, ebenso wie die Maßnahmen, die das IT-Personal im Falle von Störungen, Ausfällen oder virtuellen Bedrohungen durchführen soll. Mittels einer gründlichen Analyse im Voraus (sowie im besten Fall eines Testlaufs der gewünschten Lösung) stellen Unternehmen die Weichen richtig, um ein adäquates SIEM-System zu erhalten.

Dabei lohnt sich auch der Blick auf Plattformen, die mehrere Funktionen in sich vereinen und SIEM dabei integrieren, wie z.B. Schwachstellenprüfung, Threat Management und Verhaltensüberwachung. Damit steht dem Anwender eine All-in-one-Plattform für den kompletten Überblick des IT Security Stack zur Verfügung.

Über den Autor

Oliver Bareiss ist Regional Director DACH and Central Europe bei AlienVault.

(ID:39035540)