Suche
Close this search box.
SIEM-System SIEM Use Cases
SIEM-System SIEM Use Cases

Wie erkennt ein SIEM-System Gefahren? – SIEM Use Cases

Böswillige Cyberan­griffe auf Unternehmen werden immer ausgefeilter, sodass die Sicherheits­­maßnahmen eines Unternehmens entsprechend angepasst werden müssen. Eine sehr wirksame Maßnahme zur Erkennung von Bedrohungen ist SIEM-Software (Security Informa­tion and Event Management). Wir stellen euch verschiedene SIEM Use Cases vor, die ihr kennen solltet.

Ein SIEM-System ist darauf ausgelegt, Sicherheits­­­ereignisse und -vorfälle zu erkennen und darauf zu reagieren. Durch die Analyse von Proto­koll­daten aus verschie­denen Quellen und die Anwendung fort­schritt­­licher Analyse­­methoden können die Systeme einen umfas­senden Überblick über die Sicher­heits­­lage im Unter­nehmen ver­schaffen und dabei helfen, poten­zielle Sicherheits­­­bedrohungen zu erkennen und darauf zu reagieren, noch bevor die Lage ernst wird.

Zusätzlich kann SIEM-Software bei der Ein­haltung von Compliance­-An­forderungen helfen, zum Beispiel bei Regularien wie der DSGVO oder PCI DSS. Vielleicht betreffen diese SIEM Use Cases auch dein Unternehmen?

Wie ein SIEM-System Gefahren erkennt

Wie aber kann ein SIEM-System solche Ereignisse identi­fizieren und Alarm schlagen?

Spezifische Sicherheits­­­ereig­nisse oder Vorfälle, die das System erkennen und auf die es reagieren soll, bezeichnet man als „Detection Use Cases“ oder „Analytic Stories“. Das Geheim­nis liegt dabei in der Implemen­­tierung von Erkennungs­­mustern (Detection Pattern), die aus Threat Intelli­gence Informa­tionen oder maschi­nellen Lern-/KI-Funktionen stammen. Die verschiedenen SIEM Use Cases können von Unternehmen zu Unternehmen variieren.

Typische SIEM Use Cases

Verdächtige Nutzer­konto­aktivitäten: Unser erster SIEM Use Case – das System kann verdächtige An­melde­­­­aktivitäten von Nutzer­­­konten erkennen, indem es die Log­­daten von Authenti­­­fi­zie­rungs­­­­sys­temen wie Active Directory analysiert. Wenn eine Person versucht, sich mit mehreren falschen Pass­­­wörtern oder von einem un­­gewöhn­lichen Standort aus an­­zumelden, kann das SIEM eine Warnung an das Sicherheits­­­­team auslösen.

  • Bei dem Anwendungs­­fall der "unmöglichen Reise" erkennt das SIEM zum Beispiel Nutzer­­ak­tivitäten von zwei separaten Orten, die in der dazwischen­­­liegenden Zeit nicht bereist werden können.
Versuche der Daten­-Exfiltration: Eine weitere Kategorie von Anomalien sind Daten­-Exfiltra­tions­­versuche, welche SIEMs durch die Analyse von Protokoll­­­daten von Netzwerk­­­geräten wie Routern und Firewalls erkennen.
  • Wenn zum Beispiel ein Gerät große Daten­mengen an eine externe IP-Adresse überträgt, kann das SIEM eine Warnung auslösen und eine automatische Reaktion einleiten, um den Daten­verkehr zu blockieren.
Insider­-Bedrohungen: So­genannte Insider-Be­drohungen werden von SIEM-Systemen durch die Analyse von Protokoll­­daten aus ver­­schie­denen Quellen wie Aktivitäts­­protokollen und Datei­­zugriffs­­protokollen erkannt.
  • Wenn eine Person versucht, außerhalb der normalen Arbeits­zeiten auf sensible Daten zu­zugreifen oder versucht, auf Daten zu nutzen, für die keine Zugriffs­berechti­gung besteht, kann das SIEM einen Alarm an das Sicherheits­­­team auslösen.
Malware-Infektionen: Auch bei der Malware-Abwehr können SIEM-Systeme eine Rolle neben den klassischen End­punkt­­schutz­­systemen spielen. Das SIEM kann Malware-Infek­tionen auf Geräten erkennen, indem es Protokoll­­daten aus verschiedenen Quellen wie Fire­walls, Antiviren-Software und Intrusion-Detection-Systemen analysiert.
  • Wenn ein Device beispiels­weise versucht, eine Ver­bindung zu einem Command-and-Control-Server herzustellen, kann das SIEM warnen und eine auto­matisch das Gerät vom Netz­werk isolieren.
Verstöße gegen die Compliance: Ein letztes Beispiel – Ein SIEM-System kann Compliance-Verstöße erkennen, indem es Protokoll­­daten aus ver­schie­denen Quellen wie Daten­bank­­protokollen und Zugangs­­kontroll­­­systemen analysiert.
  • Wenn beispiels­­weise ein Nutzer ohne die ent­spre­chende Be­rech­tigung auf sensible Daten zugreift, kann das SIEM einen Alarm auslösen und eine auto­ma­tische Reaktion einleiten, um sicher­­zustellen, dass dem Nutzer der Zugriff entzogen wird.
Neben der Suche nach bekannten Mustern und SIEM Use Cases kann eine SIEM-Lösung Sicherheits­­­teams bei der proaktiven Suche nach poten­ziellen Be­droh­ungen helfen, indem große Daten­­mengen analysiert werden.
So können die Systeme beispiels­weise den Netzwerk­­verkehr analy­sieren, um Ano­malien zu er­kennen, die auf eine potenzielle Sicherheits­­be­droh­ung hindeuten könnten.

Individuelle SIEM-Lösungen

COCUS bietet Dienst­­leis­tun­gen für die Imp­­lemen­t­ierung und den Betrieb von effi­­zienten und effek­­tiven SIEM-Lösungen. Du weißt nicht ganz, wo du überhaupt starten sollst, um die ver­schiedenen SIEM Use Cases umzusetzen? Wir bieten dir einen Rapid-SIEM-Ansatz auf der Basis von Splunk an, der Unter­nehmen hilft, ihre SIEM Imp­­le­men­­­tierung zu einem festen, er­­schwing­lichen Preis zu be­ginnen und schnell einen Mehr­wert zu erzielen.
Wir haben die Lösung, wenn es um die Sicher­heit deines Unter­nehmens geht. Sprich uns an, und wir setzen deine individuellen SIEM Use Cases um!
SIEM Use Case besprechen

Diesen Beitrag teilen

Was dich auch interessieren könnte

Weitere Neuigkeiten anzeigen button-short-arrow button-long-arrow
COCUS Logo

connecting industries.
empowering innovation.

Neuigkeiten
Unternehmen
Angebot anfragen
cocus-mail cocus-mail-active info@cocus.com
cocus-phone cocus-phone-active0211 87 542-860