SIEM Tipps für einen gelungenen SIEM-Einsatz

Hacker finden – Wissenswertes

Besten Tipps zum erfolgreichen Einsatz von SIEM-Lösungen

Mit dem Einsatz von Security Information und Event Management, kurz SIEM, lassen sich Gefahren für die IT-Sicherheit rechtzeitig aufspüren und im besten Fall auch beseitigen. Allerdings gibt es Unterschiede bei den SIEM-Tools. In diversen Tests zeigten einige der Softwareprodukte der Hersteller Schwächen beim Anzeigen von Informationen zu Threats in Echtzeit sowie bei der Identifikation von Malware. Häufig fehlt Unternehmen eine Anleitung für den Fall, dass tatsächlich Bedrohungen gefunden werden. In diesem Artikel zeigen wir Tipps auf, mit denen sich ein erfolgreicher Einsatz von Security Information und Event Management realisieren lässt.

1. SIEM-Tools sollten mehrere Bereiche abdecken

Damit traditionelle SIEM-Lösungen wichtige Informationen erfassen können, ist es wichtig, dass sie mit offenen Schnittstellen auch auf Informationen der Sicherheitstools von Drittanbietern zugreifen können. Dazu gehören zum Beispiel Daten von Tools wie Schwachstellen-Scannern, Asset Inventories, Intrusion Detection Systemen und Hostbasierenden Intrusion Detection Systemen. Dies nimmt viel Zeit in Anspruch. Deshalb sollten Nutzer auch auf integrierte Security Monitoring Funktionen wie Schwachstellenanalyse, Verhaltensüberwachung und Asset Discovery setzen.

2. Ohne Bedrohungsanalyse kein wirksamer Schutz

Dass Anwender zeitnah über neue Bedrohungen und Gefahren im Netz informiert werden, ist eine elementare und zeitkritische Anforderung. Unabhängig der Meldung von Ereignissen ist eine Handlungsempfehlung hilfreich, um für jeder Art von Ereignis eine Lösung bereitzustellen. Deshalb sollte eine wirksame Bedrohungsanalyse stets eine Anleitung dazu liefern, mit welchen Mitteln gefundene Bedrohungen am besten beseitigt werden können. Nur so ist es möglich, einen wirksamen digitalen Schutzwall zu errichten.

3. Wichtigkeit von Daten erkennen

SIEM-Anwender sollten sich darüber im Klaren sein, welche Art von Informationen für sie am wichtigsten sind und welche Informationen sie mit Hilfe der SIEM-Lösung gewinnen wollen. Was für Ereignisse sollen untersucht werden? Welche Funktionen muss ein SIEM-Tool bereitstellen? Wie und welche Daten soll das SIEM sammeln? Wie Reaktionen erfolgen bei bestimmten Sicherheitsvorfällen? Je nachdem, wie die Antworten aussehen, kann man die SIEM-Lösung eher auf spezielle Bereiche einschränken oder auf ein breiteres Feld ausweiten. Dadurch können Kapazitäten geschont sein, da Zeit für Analyse durch Mitarbeiter entfällt.

4. Überlegen, was im schlimmsten Fall passieren könnte

Man sollte immer überlegen, welches Szenario im schlimmsten Fall auftreten könnte. Was würde passieren? Welche Bereiche wären betroffen? Und die wichtigste Frage: Was wäre anschließend zu tun? Denn im Falle eines Worst-Case-Szenarios ist es hilfreich einen definiertes Vorgehen zu haben, welches schrittweise ausgeführt werden kann.

5. Die gesamte IT-Umgebung einheitlich überwachen

In einem Unternehmen sollte komplette Infrastrukturen einheitliche Sicherheits-Tools nutzen. Genauso sollten IT Sicherheitsbeauftragte die gespeicherten Daten alle durch SIEM überwachen. Es besteht die Gefahr, dass durch fehlende Daten vereinzelt bestimmte Bereiche nicht ausreichend überwacht sind und Hackerangriffe durch Black Hat Hacker auf die Infrastruktur nicht erkannt werden.

6. SIEM nicht unnötig verkomplizieren

Nicht immer müssen SIEM-Lösungen mit hoher Komplexität besser sein. Wichtigste Einstellungen kann man auch automatisiert mittels Assistenzfunktion durchführen. Dies funktioniert über das Unified Security Management. Durch integrierte Security-Monitoring-Funktionen lassen sich die wichtigen Datenquellen identifizieren und verknüpfen.

Fazit: SIEM zur Überwachung des Sicherheitmanagments

Eine wirksame und erfolgversprechende SIEM-Lösung zeigt den Anwendern nicht nur potenzielle Bedrohungen auf, sondern bietet auch Anleitungen dafür, wie sie mit diesen Bedrohungen umgehen sollen. Von wirklich entscheidender Bedeutung ist allerdings, dass die Benachrichtigungen zum richtigen Zeitpunkt eintreffen, und zwar so, dass man gegebenenfalls noch reagieren kann, bevor etwas passiert ist. Welches SIEM passend ist, hängt von den individuellen Wünschen ab und vom Einsatz von Fachpersonal.

Schritt 1 von 4

Wo befinden Sie sich?

Sie haben Fragen? Direkten Kontakt aufnehmen:

Geschäftszeiten: Mo. bis Fr., 9 bis 19 Uhr

Was ist ein Hacker?

Können Hacker wirklich nur Schaden anrichten? Das Wort „Hacker“ weckt in den meisten von uns eher negative Assoziationen. Das ist

Mehr lesen »

Schreibe einen Kommentar