Security-Alerting und -Reporting im Netzwerk

Grundlagen der SIEM-Systeme

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

SIEM-Lösungen sorgen dafür, dass Administratoren schnell über ungewöhnliche IT-Ereignisse in ihren Netzen informiert werden und so schneller auf Angriffe reagieren können.
SIEM-Lösungen sorgen dafür, dass Administratoren schnell über ungewöhnliche IT-Ereignisse in ihren Netzen informiert werden und so schneller auf Angriffe reagieren können. (© Petrovich12 - stock.adobe.com)

Security Information und Event Management-Systeme (SIEM) sind aus heutigen Unternehmensumgebungen nicht wegzudenken. Sie bieten eine Echtzeitanalyse der im Netz auftretenden Sicherheitsalarme, erstellen Berichte und helfen beim Einhalten behördlicher Vorschriften. Dieser Beitrag geht auf die wesentlichen Funktionen und die wichtigsten Anbieter von SIEM-Lösungen ein.

Security Information und Event Management-Systeme – kurz SIEM – sind sowohl als Software, als auch als Dienstleistung und als Appliance erhältlich. Manche Produkte – beispielsweise von BlackStratus, Fortinet oder SolarWinds – stehen auch als virtuelle Appliances zur Verfügung. Die Lösung von Rapid7 ist im Gegensatz dazu nur als Service verfügbar.

SIEM-Systeme erfüllen zwei unterschiedliche Aufgaben. Zum einen stellen sie Echtzeitüberwachungsfunktionen bereit, korrelieren Ereignisse, bieten über ihre Management-Konsole einen Überblick über den Sicherheitsstatus und verschicken Benachrichtigungen. Zum anderen speichern sie die Eventdaten über einen längeren Zeitraum, führen Analysen durch, helfen beim Einhalten von Compliance-Vorschriften sowie bei der Forensik und erstellen Berichte.

Die unterschiedlichen auf dem Markt vorhandenen Angebote richten sich sowohl an mittelgroße und große Unternehmen, als auch an Betreiber von Cloud-Infrastrukturen und Service Provider. Viele von ihnen, wie SIEMStorm und LOGStorm von BlackStratus sind mandantenfähig, was vor allem für Service Provider eine große Rolle spielt. Manche Produkte, wie QRadar von IBM oder Splunk und die Lösungen von LogRhythm und Trustwave, können sogar hybride Umgebungen überwachen, wie etwa gleichzeitig IaaS-Infrastrukturen und Server on-premise.

Funktionsweise von SIEM-Systemen

Damit SIEM-Lösungen richtig funktionieren, ist es von großer Bedeutung, dass sie dazu in der Lage sind, möglichst viele Log-Daten und vergleichbare Informationen von einer Vielzahl unterschiedlicher Systeme einzubinden. Sie müssen also Zugriff auf Datenbanken, Server, Netzwerkkomponenten, Anwendungen, die Datenkommunikation, Ereignisprotokolle und NetFlow-Daten (wie sie beispielsweise die RSA-Lösung berücksichtigt) erhalten und die darin befindlichen Meldungen dann in ihre eigene Datenbasis integrieren und normalisieren. Dazu kommen oftmals, wie bei Rapid7, Kollektoren zum Einsatz, die auf den einzelnen Servern laufen. Leistungsfähige SIEM-Produkte berücksichtigen auch Assets, Bedrohungen, bekannte Verwundbarkeiten und Informationen die durch Intrusion Protection-Systeme gewonnen werden sowie Daten über Benutzer (wie die Lösungen von IBM und Rapid7).

Der zweite wichtige Punkt besteht darin, die gesammelten Informationen mit Hilfe von Korrelationstechniken automatisch in sinnvolle Informationen umzuwandeln. Dazu sucht die Software nach Gemeinsamkeiten in Daten aus unterschiedlichen Quellen und verknüpft diese, wenn sie welche findet. Die so gewonnenen Informationen helfen in der Praxis beim Threat Management, bei der Überwachung des Netzes beziehungsweise der Benutzer und beim Reporting. Steigt zum Beispiel in der Nacht auf einem Server die CPU-Last und nimmt gleichzeitig das Volumen des Datenverkehrs auf einem bestimmten Switch-Port zu, so kann das ein Hinweis sein, dass jemand versucht, über diesen Port von dem betroffenen Server Daten abzugreifen.

Wurden einmal wichtige Zusammenhänge gefunden, so muss das SIEM-System dazu in der Lage sein, die verantwortlichen Mitarbeiter schnell und umfassend über die potentiellen Probleme zu informieren. Dazu steht in der Regel ein Dashboard zur Verfügung, das mit Hilfe von Grafiken auf wichtige Entwicklungen und Musterveränderungen hinweist. Solche Dashboards sind teilweise, wie etwa bei EventTracker, auch als Managed Service erhältlich. Eine umfassende Alert-Funktion sorgt bei den meisten SIEMS gleichzeitig dafür, dass alle für das jeweilige Thema relevanten Mitarbeiter automatisch über alle Vorfälle informiert werden, etwa per SMS oder E-Mail. Die "Threat Analytics Platform" (TAP) von FireEye umfasst zum Beispiel zurzeit etwa 2300 vordefinierte Regeln für das Alerting, die der Hersteller kontinuierlich pflegt. SIEMs lassen sich folglich nutzen, um schnell aktuell laufende Angriffe zu erkennen und bei der Abwehr zu helfen.

Besonders wichtig ist es in diesem Zusammenhang, dass die SIEM-Lösung dazu in der Lage ist, sofort Alarme auszulösen, wenn Security Logs manipuliert oder deaktiviert werden. Diese Logs stellen schließlich die Basis dar, die das Auffinden anderer Sicherheitsprobleme erst möglich macht.

Berichte

Um Entwicklungen über längere Zeiträume zu visualisieren, beispielsweise die im Lauf eines Jahres immer langsamer werdenden Antwortzeiten einer Datenbank, muss ein SIEM-Produkt wie gesagt nicht nur dazu in der Lage sein, Zusammenhänge zwischen den Daten herauszufinden, sondern sollte die Informationen auch über einen längeren Zeitraum hinweg speichern. Diese Funktionalität ist vor allem bei Untersuchungen nach dem Erkennen eines erfolgreichen Hackerangriffs auf das Netzwerk von großer Bedeutung. Solche Angriffe werden ja nicht immer sofort erkannt und die gesammelten Daten können später dabei von Nutzen sein, nachträglich den Zeitpunkt des Eindringens der Angreifer herauszufinden. Die Sicherheitslösungen sorgen also nicht nur für Alarme bei aktuellen Störungen, sondern bieten auch Unterstützung bei laufenden forensischen Untersuchungen.

Damit niemand Schindluder mit den gesammelten Daten treiben kann, die ja wesentliche Informationen über das gesamte Netz enthalten, müssen die SIEM-Lösungen außerdem ihre Informationen in einer sicheren Form (am besten manipulations- und revisionssicher) abspeichern. Oft kommen als Datenbasis in diesem Zusammenhang Big Data-Lösungen zum Einsatz, wie auch bei dem Produkt von Securonix und der Exabeam Security Intelligence Platform. Der gleiche Anbieter hat auch Analysefunktionen auf Machine Learning-Basis im Portfolio, genau wie IBM.

Compliance

Wie oben bereits angesprochen, lassen sich SIEM-Tools auch nutzen, um Compliance-Anforderungen zu erfüllen. Das ergibt Sinn, da diese Lösungen sowieso auf einen Großteil der Log-Daten in einem Netzwerk zugreifen und deswegen eine gute Stelle sind, um Netzwerkreports zu verschiedenen Themen zu erzeugen. FortiSIEM von Fortinet deckt beispielsweise mit seinen Reporting-Funktionen eine große Zahl an Compliance-Anforderungen ab. Das gleiche gilt für das Produkt von ManageEngine.

Um die vorhandenen Daten effizient nutzen zu können, verfügen SIEM-Lösungen zudem in der Regel noch über sehr leistungsfähige Suchfunktionen, die sich über den gesamten Datenbestand erstrecken. Damit sich die wesentlichen Informationen in Echtzeit auswerten lassen und die Alarmmeldungen auch bei einem großen Datenbestand mit tausenden von Log-Dateien schnell an ihre Adressaten gelangen, spielt die Leistung des SIEM-Systems ebenfalls eine wichtige Rolle. Administratoren müssen also ein Auge darauf haben, dass die Performance in ihrer Umgebung für alle Anwendungsbereiche genügt.

Marktteilnehmer

Laut Gartner gehören die Unternehmen Alien Vault, BlackStratur, FireEye, EventTracker, Fortinet, ManageEngine, MicroFocus (mit NetIQ), Solarwinds, Trustwave und Venustech zu den Nischen-Playern im SIEM-Markt. Die „Challengers“ sind Dell Technologies (RSA) und MicroFocus (mit ArcSight). Als „Leaders“ gelten IBM, LogRhythm, McAfee und Splunk und die „Visionaries“ sind Exabeam, Rapid7 und Securonix.

Fazit

SIEM-Lösungen sorgen dafür, dass Administratoren schnell über ungewöhnliche Ereignisse in ihren Netzen informiert werden. Außerdem unterstützen sie die IT-Abteilungen beim Reporting, bei der Forensik und beim Einhalten von Compliance-Vorschriften. Bei der Auswahl eines SIEM-Produkts ist darauf zu achten, dass dieses dazu in der Lage ist, alle relevanten Datenquellen in der Unternehmensinfrastruktur zu integrieren und zwar sowohl on-premise als auch in der Cloud. Außerdem gilt es sicher zu stellen, dass genug Leistung vorhanden ist, um die Daten in Echtzeit aufbereiten zu können. Bei Berücksichtigung dieser Punkte bietet eine SIEM-Lösung ein deutliches Plus für das Sicherheitsniveau im Unternehmen.

Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45321504 / Monitoring und KI)