Security Information- und Event-Management automatisieren

SIEM-Systeme richtig konfigurieren und einsetzen

Seite: 4/5

4. Datendurchsatz von Sensoren, Datenbanken und Netzwerken

Firewalls aber auch Systemaudits verursachen große Mengen von Ereignisdaten. Obwohl der Umgang mit großen Datenmengen die Kernaufgabe eines SIEM ist, bleibt die große Herausforderung mit dem Ereignisverkehr optimal umzugehen. Die technische Umbesetzung muss wirtschaftlich vertretbar bleiben und trotzdem müssen alle sicherheitskritischen Events möglichst sicher und zeitnah erkannt werden.

Hier heißt es, Engpässe zu lösen. Die Datenbank des SIEM und das Zugangsnetzwerk zu den Sensoren müssen so dimensioniert sein, dass an keiner Stelle eine Überlastung auftritt. Sowohl das SIEM selbst, als auch der Produktionsbetrieb des Kunden könnte dabei negativ beeinträchtigt werden.

Oft müssen IT-Sicherheitsspezialisten hier Kompromisse eingehen und sofort an der Quelle den sicherheitsrelevanten Teil der Ereignisdaten herausfiltern. Gehen sie diese Kompromisse ein, nehmen sie in Kauf, Lücken in die Ereignisdatenkette zu reißen, relevante Events zu übersehen und den Datenbestand für eine forensische Analyse untauglich zu machen.

5. Firewall-Ereignisdaten weisen nicht zwingend auf Sicherheitsverstöße hin

In Fachkreisen ist bekannt, dass die Logdaten von Firewalls allein keinen Hinweis auf sicherheitskritische Ereignisse liefern. Grundsätzlich liefert eine Firewall immer nur die Information, dass Verkehr zugelassen oder geblockt wird. Beide Hinweise sagen jedoch nichts über ein sicherheitskritisches Ereignis aus:

a) Wenn Verkehr zugelassen wird, ist das offensichtlich so gewollt.

b) Wenn Verkehr geblockt wird, dann ist das auch so gewollt und ein möglicher Angriff wurde erfolgreich abgewehrt.

Ereignisdaten von der Firewall sind immer dann hilfreich, wenn der Analyst weitere Informationen hat, wie zum Beispiel das Risikoprofil der Firewall-Infrastruktur oder beispielsweise Informationen über die Netzbereiche, die als „unerlaubt“ oder „riskant“ gekennzeichnet sind.

6. Nachweis für die Wirksamkeit des SIEM

Ein entsprechender Nachweis ist für den Personenkreis wichtig, der den SIEM-Betrieb finanziert. Der muss wissen, ob die Investitionen und die Betriebskosten richtig und maßvoll sind.

Gibt es Methoden, die die Wirksamkeit eines SIEM kontinuierlich nachweisen? Um solch einen Nachweis zu führen, müssen automatisch Reports generiert werden, die aufzeigen, wie viele Ereignisse zu Alarmen korreliert wurden. Dann muss eine Auswertung zeigen, welche Alarme davon berechtigt waren. Stellt sich noch die Frage, wie viel Zeit verloren gegangen ist, bis diese Incidents erfolgreich geschlossen werden konnten?

Der Nachweis ist solange nicht vollständig, solange nicht festgestellt werden kann, wie viele sicherheitsrelevante Ereignisse übersehen wurden.

(ID:32559920)