Was ist SIEM?

SIEM-Software sammelt und aggregiert Protokoll- und Ereignisdaten, um Verstöße zu erkennen und zu verfolgen.
Von 
CSO | 22. März 2022 05:13 Uhr
SIEM hilft Sicherheitsexperten dabei, nach Echtzeitwarnungen herauszufinden, was im Netzwerk vor sich geht.
SIEM hilft Sicherheitsexperten dabei, nach Echtzeitwarnungen herauszufinden, was im Netzwerk vor sich geht.
Foto: Gorodenkoff - shutterstock.com

Tools für das Security Information and Event Management (SIEM) sammeln und aggregieren Protokoll- und Ereignisdaten, um Verstöße zu erkennen und zu verfolgen. Es handelt sich dabei um leistungsstarke Systeme, die Sicherheitsexperten in Unternehmen sowohl einen Einblick in die aktuellen Vorgänge in ihrer IT-Umgebung als auch eine Aufzeichnung relevanter Ereignisse in der Vergangenheit ermöglichen.

SIEM - Definition

SIEM-Software (ausgesprochen "sim"; das "e" ist stumm) sammelt und aggregiert Protokoll- und Ereignisdaten, die in der gesamten technologischen Infrastruktur des Unternehmens erzeugt werden, von Host-Systemen und Anwendungen bis hin zu Netzwerk- und Sicherheitsgeräten wie Firewalls und Antiviren-Filtern. Ziel eines SIEM-Tools ist es, Signale in all diesen Daten miteinander zu korrelieren, um Sicherheitsteams die erforderlichen Informationen zur Verfügung zu stellen. Dadruch können Sicherheitsverletzungen und andere Probleme leichter erkannt und verfolgt werden.

Der Begriff "SIEM" wurde 2005 von den Analysten von Gartner geprägt und es gibt auch eine Marktübersicht, in der sie die verschiedenen Anbieter mit ihrer Magic Quadrant-Methode bewerten. Zu den Unternehmen, die sich 2021 im "Leaders"-Quadranten platzieren konnten, gehören Splunk, IBM, Exabeam, Securonix und LogRythm.

SIM vs. SIEM

Bevor wir uns mit den Details der Funktionsweise von SIEM-Software beschäftigen, müssen wir zwei verwandte Akronyme verstehen: SIM und SEM. SIM steht für Security Information Management und ist ein Tool, das Analysen und Berichte für historische Sicherheitsereignisse liefert. SIM-Systeme sind aus der Disziplin der Protokollverwaltung hervorgegangen und arbeiten daran, die Sammlung von Protokolldaten aus verschiedenen Sicherheits-Tools und -systemen zu automatisieren und diese Informationen für Sicherheitsmanager aufzubereiten.

SIEM vs. SEM

SEM, die Abkürzung für Security Event Management, ist ähnlich wie SIM, obwohl es sich nicht auf historische Protokolldaten konzentriert, sondern versucht, in Echtzeit oder so nah wie möglich daran zu arbeiten, um bestimmte Ereignisse zu identifizieren, die für Sicherheitsexperten relevant sind. Wenn es zum Beispiel einem Benutzer irgendwo in Ihrem Netzwerk gelingt, seine Privilegien auf ungewöhnliche Weise in den Administratorstatus zu erheben, sollte ein SEM-System Sie darüber informieren.

Ein SIEM-System ist so gesehen einfach ein Tool, das die Funktionen von SIM- und SEM-Software kombiniert. Software, die nur SIM- oder SEM-Funktionen anbietet, ist heutzutage recht selten, und SIEM ist seit mehr als einem Jahrzehnt an der Tagesordnung.

Auf den ersten Blick mag es seltsam erscheinen, dass SEM mit SIM kombiniert wurde, anstatt es zu ersetzen. Der Anreiz, Warnmeldungen zu Sicherheitsereignissen in Echtzeit zu erhalten, liegt auf der Hand - aber wozu dann noch Informationen aus einem verstaubten alten Protokoll herausziehen? Ein Großteil der Arbeit eines Sicherheitsexperten besteht darin, ausgehend von Echtzeitwarnungen herauszufinden, was in Ihrem Netzwerk vor sich geht. Sobald Sie die Warnung über den Benutzer erhalten, der es geschafft hat, sich zum Administrator zu machen, müssen Sie sich die Historie der Anmeldungen und des Verhaltens dieses Benutzers ansehen, um den Vorgängen auf den Grund zu gehen. Hier helfen Ihnen SIM-Tools, diese Informationen schnell in Ihren Protokollen zu finden.

SIEM-Software hat daher zwei Hauptziele:

  • Berichte über sicherheitsrelevante Vorfälle und Ereignisse zu erstellen, wie z. B. erfolgreiche und fehlgeschlagene Anmeldungen, Malware-Aktivitäten und andere mögliche bösartige Aktivitäten; und

  • Warnmeldungen zu senden, wenn die Analyse zeigt, dass eine Aktivität gegen vorher festgelegte Regelsätze verstößt und somit ein potenzielles Sicherheitsproblem darstellt.

Wie funktioniert SIEM?

Protokolle und andere Daten müssen aus all Ihren Sicherheitssystemen in die SIEM-Plattform exportiert werden. Dies kann durch SIEM-Agenten erreicht werden - Programme, die auf Ihren verschiedenen Systemen laufen und die Daten analysieren und in das SIEM exportieren; alternativ verfügen die meisten Sicherheitssysteme über integrierte Funktionen zum Export von Protokolldaten an einen zentralen Server, von dem Ihre SIEM-Plattform sie importieren kann.

Welche Option Sie wählen, hängt von Ihrer Netzwerktopographie und Ihren Bandbreitenkapazitäten sowie von den Arten von Systemen ab, von denen Sie Protokolle abrufen müssen. Die Menge der übertragenen Daten und die erforderliche Verarbeitungsleistung an den Endpunkten kann die Leistung Ihrer Systeme oder Ihres Netzwerks beeinträchtigen, wenn Sie die Dinge nicht sorgfältig implementieren. SIEM-Agenten am Netzwerkrand können jedoch einen Teil dieser Last abnehmen, indem sie einige Daten automatisch analysieren, bevor sie überhaupt über das Netzwerk gesendet werden. Auf jeden Fall sollten Sie sicherstellen, dass Ihre gesamte Infrastruktur für SIEM instrumentiert ist, sowohl vor Ort als auch in der Cloud.

Die von dieser SIEM-Instrumentierung erzeugte Datenmenge ist natürlich riesig und übersteigt die Möglichkeiten Ihres Personals, sie zu analysieren. Der Hauptwert von SIEM-Suites besteht darin, dass sie Datenanalysen durchführen, um sicherzustellen, dass nur nützliche Informationen an Ihr Security Operations Center (SOC) weitergeleitet werden. Diese Plattformen verwenden Korrelations-Engines, um unterschiedliche Protokolleinträge oder andere Signale zu verknüpfen, die für sich genommen nicht besorgniserregend erscheinen, aber zusammengenommen ein Problem darstellen können. Diese Engines in Kombination mit spezifischen Techniken von Künstlicher Intelligenz und maschinellen Lernens, die zum Aufspüren von Angriffen verwendet werden, sind das, was die verschiedenen SIEM-Anbieter nutzen, um sich vom Wettbewerb zu differenzieren.

SIEM-Tools beziehen auch Informationen aus Bedrohungsdaten-Feeds, das heißt aus aktualisierten Daten-Feeds über neue Formen von Malware und die neuesten fortschrittlichen, dauerhaften Bedrohungen. Einige dieser Feeds werden von den SIEM-Anbietern gepflegt, andere wiederum sind Open Source oder werden intern von Sicherheitsteams großer Unternehmen gepflegt, und einige SIEM-Plattformen erlauben Ihnen die Verwendung Ihrer Favoriten. Zu den weiteren Anpassungsoptionen gehört die Möglichkeit, Ihre SIEM-Plattform eng mit bestimmten Sicherheits-Tools zu integrieren.

Wir haben bereits erwähnt, dass SIEM ursprünglich wegen seiner Fähigkeit eingeführt wurde, um die Einhaltung gesetzlicher Vorschriften zu unterstützen. Dies ist nach wie vor eine wichtige Rolle für diese Tools, und viele Plattformen verfügen über integrierte Funktionen, die darauf ausgerichtet sind, die Einhaltung verschiedener Gesetze und Standards sicherzustellen und zu dokumentieren. Und schließlich verfügen einige SIEM-Plattformen auch über SOAR-Funktionen (Security Orchestration, Automation and Response), mit denen Reaktionen auf die erkannten Bedrohungen teilweise oder vollständig automatisiert werden können.

Die wichtigsten SIEM-Tools und -Anbieter

Wie sollten Sie SIEM-Tools bewerten? Tim Ferrill von CSO hat eine großartige Kaufberatung zu den wichtigsten Funktionen und Überlegungen erstellt, die Sie bei der Wahl eines Systems berücksichtigen sollten. Dazu gehören unter anderem die Frage, ob es sich um ein Cloud- oder On-Premise-System handelt, Analysefunktionen, Log-Ingestion, automatisierte Abhilfemaßnahmen und rollenbasierter Zugriff.

Ferrills Liste befasst sich auch mit einigen der führenden SIEM-Anbieter, die einen guten Überblick über die Landschaft dieses Marktsegments bieten:

  • Exabeam

  • IBM

  • LogRythm

  • Microsoft

  • Rapid7

  • RSA

  • Securonix

  • Splunk

  • FireEye

All diese verschiedenen Anbieter haben ihre eigenen Stärken und Schwächen. Das Azure Sentinel-Angebot von Microsoft beispielsweise ist nur in der Microsoft-Cloud verfügbar, lässt sich aber problemlos mit Microsoft 365 und Windows Defender integrieren. Die Plattform von RSA ist auf ein großes Datenvolumen ausgelegt, während Securonix eine offene Architektur hat, die es ermöglicht, eine Vielzahl von Analyse-Plug-ins von Drittanbietern hinzuzufügen.

Splunk wiederum, laut IDC Marktführer in dem Bereich, war einer der ersten Softwareanbieter, der die Analyse von Protokolldateien für sich entdeckt hat. Splunk Enterprise Security nutzt die ausgereiften Datenanalyse- und Visualisierungsfunktionen des Unternehmens, um eine SIEM-Lösung zu liefern, die mit Bedrohungsdaten integriert und in der Cloud oder vor Ort verfügbar ist.

Wenn Sie es bis hier geschafft haben, sollten Sie ein gutes Gefühl dafür haben, was SIEM für Ihr Unternehmen leisten kann. Aber diese Plattformen sind nicht billig, und das bedeutet, dass Sie alles in Ihrer Macht Stehende tun müssen, um sich vorzubereiten, bevor Sie eine Plattform einführen. So benötigt SIEM-Software beispielsweise qualitativ hochwertige Daten, um den maximalen Ertrag zu erzielen. Und SIEM-Technologien sind ressourcenintensiv und erfordern erfahrenes Personal für die Implementierung, Wartung und Feinabstimmung - Personal, in das noch nicht alle Unternehmen voll investiert haben. (mb)

Dieser Artikel basiert auf einem Beitrag der US-Schwesterpublikation CSO Online.

Josh Fruhlinger ist freier Autor in Los Angeles.