Tipps SIEM für einen gelungenen SIEM-Einsatz

Besten Tipps zum erfolgreichen Einsatz von SIEM-Lösungen

Mit dem Einsatz von Security Information und Event Management, kurz SIEM, lassen sich Gefahren für die IT-Sicherheit rechtzeitig aufspüren und im besten Fall auch beseitigen. Allerdings gibt es Unterschiede bei den SIEM-Tools. In diversen Tests zeigten einige der Softwareprodukte der Hersteller Schwächen beim Anzeigen von Informationen zu Threats in Echtzeit sowie bei der Identifikation von Malware. Häufig fehlt Unternehmen eine Anleitung für den Fall, dass tatsächlich Bedrohungen gefunden werden. In diesem Artikel zeigen wir Tipps auf, mit denen sich ein erfolgreicher Einsatz von SIEM realisieren lässt.

1. SIEM-Tools sollten mehrere Bereiche abdecken

Damit traditionelle SIEM-Lösungen wichtige Informationen erfassen können, ist es wichtig, dass sie mit offenen Schnittstellen auch auf Informationen der Sicherheitstools von Drittanbietern zugreifen können. Dazu gehören zum Beispiel Daten von Tools wie Schwachstellen-Scannern, Asset Inventories, Intrusion Detection Systemen und Hostbasierenden Intrusion Detection Systemen. Dies nimmt viel Zeit in Anspruch. Deshalb sollten Nutzer auch auf integrierte Security Monitoring Funktionen wie Schwachstellenanalyse, Verhaltensüberwachung und Asset Discovery setzen.

2. Ohne Bedrohungsanalyse kein wirksamer Schutz

Dass Anwender zeitnah über neue Bedrohungen und Gefahren im Netz informiert werden, ist eine elementare und zeitkritische Anforderung. Unabhängig der Meldung von Ereignissen ist eine Handlungsempfehlung hilfreich, um für jeder Art von Ereignis eine Lösung bereitzustellen. Deshalb sollte eine wirksame Bedrohungsanalyse stets eine Anleitung dazu liefern, mit welchen Mitteln gefundene Bedrohungen am besten beseitigt werden können. Nur so ist es möglich, einen wirksamen digitalen Schutzwall zu errichten.

3. Wichtigkeit von Daten erkennen

SIEM-Anwender sollten sich darüber im Klaren sein, welche Art von Informationen für sie am wichtigsten sind und welche Informationen sie mit Hilfe der SIEM-Lösung gewinnen wollen. Welche Ereignisse sollen untersucht werden? Welche Funktionen muss ein SIEM-Tool bereitstellen? Welche Daten sollen gesammelt werden? Wie Reaktionen erfolgen bei bestimmten Sicherheitsvorfällen? Je nachdem, wie die Antworten aussehen, kann die SIEM-Lösung eher auf spezielle Bereiche eingeschränkt werden oder auf ein breiteres Feld ausgeweitet werden. Dadurch können Kapazitäten geschont werden, da Zeit für Analyse durch Mitarbeiter entfällt.

4. Überlegen, was im schlimmsten Fall passieren könnte

Man sollte immer überlegen, welches Szenario im schlimmsten Fall auftreten könnte. Was würde passieren? Welche Bereiche wären betroffen? Und die wichtigste Frage: Was wäre anschließend zu tun? Denn im Falle eines Worst-Case-Szenarios ist es hilfreich einen definiertes Vorgehen zu haben, welches schrittweise ausgeführt werden kann.

5. Die gesamte IT-Umgebung einheitlich überwachen

In einem Unternehmen sollte komplette Infrastrukturen einheitliche Sicherheits-Tools nutzen. Genauso sollten die gespeicherten Daten alle durch SIEM überwacht werden. Es besteht die Gefahr, dass durch fehlende Daten vereinzelt Bereich nicht ausreichend überwacht werden können und Angriffe auf die Infrastruktur nicht erkannt werden.

6. SIEM nicht unnötig verkomplizieren

Nicht immer müssen SIEM-Lösungen mit hoher Komplexität besser sein. Wichtigste Einstellungen können auch automatisiert mittels Assistenzfunktion durchgeführt werden. Dies funktioniert über das Unified Security Management. Durch integrierte Security-Monitoring-Funktionen lassen sich die wichtigen Datenquellen identifizieren und verknüpfen.

Fazit:

Eine wirksame und erfolgversprechende SIEM-Lösung zeigt den Anwendern nicht nur potenzielle Bedrohungen auf, sondern bietet auch Anleitungen dafür, wie sie mit diesen Bedrohungen umgehen sollen. Von wirklich entscheidender Bedeutung ist allerdings, dass die Benachrichtigungen zum richtigen Zeitpunkt eintreffen, und zwar so, dass man gegebenenfalls noch reagieren kann, bevor etwas passiert ist. Welches SIEM passend ist, hängt von den individuellen Wünschen ab und vom Einsatz von Fachpersonal.

Wir hoffen wir konnten Ihnen mit Tipps für einen gelungenen SIEM-Einsatz aus der Praxis helfen.
Der Artikel Datenschutz im Internet könnte Sie auch interessieren: Datenschutz im Internet – Mit diesen Tipps bleiben Sie sicher