Böswillige Cyberangriffe auf Unternehmen werden immer ausgefeilter, sodass die Sicherheitsmaßnahmen eines Unternehmens entsprechend angepasst werden müssen. Eine sehr wirksame Maßnahme zur Erkennung von Bedrohungen ist SIEM-Software (Security Information and Event Management). Wir stellen euch verschiedene SIEM Use Cases vor, die ihr kennen solltet.
Zusätzlich kann SIEM-Software bei der Einhaltung von Compliance-Anforderungen helfen, zum Beispiel bei Regularien wie der DSGVO oder PCI DSS. Vielleicht betreffen diese SIEM Use Cases auch dein Unternehmen?
Wie ein SIEM-System Gefahren erkennt
Wie aber kann ein SIEM-System solche Ereignisse identifizieren und Alarm schlagen?
Spezifische Sicherheitsereignisse oder Vorfälle, die das System erkennen und auf die es reagieren soll, bezeichnet man als „Detection Use Cases“ oder „Analytic Stories“. Das Geheimnis liegt dabei in der Implementierung von Erkennungsmustern (Detection Pattern), die aus Threat Intelligence Informationen oder maschinellen Lern-/KI-Funktionen stammen. Die verschiedenen SIEM Use Cases können von Unternehmen zu Unternehmen variieren.
Typische SIEM Use Cases
Verdächtige Nutzerkontoaktivitäten: Unser erster SIEM Use Case – das System kann verdächtige Anmeldeaktivitäten von Nutzerkonten erkennen, indem es die Logdaten von Authentifizierungssystemen wie Active Directory analysiert. Wenn eine Person versucht, sich mit mehreren falschen Passwörtern oder von einem ungewöhnlichen Standort aus anzumelden, kann das SIEM eine Warnung an das Sicherheitsteam auslösen.
- Bei dem Anwendungsfall der "unmöglichen Reise" erkennt das SIEM zum Beispiel Nutzeraktivitäten von zwei separaten Orten, die in der dazwischenliegenden Zeit nicht bereist werden können.
- Wenn zum Beispiel ein Gerät große Datenmengen an eine externe IP-Adresse überträgt, kann das SIEM eine Warnung auslösen und eine automatische Reaktion einleiten, um den Datenverkehr zu blockieren.
- Wenn eine Person versucht, außerhalb der normalen Arbeitszeiten auf sensible Daten zuzugreifen oder versucht, auf Daten zu nutzen, für die keine Zugriffsberechtigung besteht, kann das SIEM einen Alarm an das Sicherheitsteam auslösen.
- Wenn ein Device beispielsweise versucht, eine Verbindung zu einem Command-and-Control-Server herzustellen, kann das SIEM warnen und eine automatisch das Gerät vom Netzwerk isolieren.
- Wenn beispielsweise ein Nutzer ohne die entsprechende Berechtigung auf sensible Daten zugreift, kann das SIEM einen Alarm auslösen und eine automatische Reaktion einleiten, um sicherzustellen, dass dem Nutzer der Zugriff entzogen wird.