Let’s talk!

Let’s talk!
SIEM-System SIEM Use Cases
SIEM-System SIEM Use Cases

Wie erkennt ein SIEM-System Gefahren? – SIEM Use Cases

Böswillige Cyberan­griffe auf Unternehmen werden immer ausgefeilter, sodass die Sicherheits­­maßnahmen eines Unternehmens entsprechend angepasst werden müssen. Eine sehr wirksame Maßnahme zur Erkennung von Bedrohungen ist SIEM-Software (Security Informa­tion and Event Management). Wir stellen euch verschiedene SIEM Use Cases vor, die ihr kennen solltet.

Ein SIEM-System ist darauf ausgelegt, Sicherheits­­­ereignisse und -vorfälle zu erkennen und darauf zu reagieren. Durch die Analyse von Proto­koll­daten aus verschie­denen Quellen und die Anwendung fort­schritt­­licher Analyse­­methoden können die Systeme einen umfas­senden Überblick über die Sicher­heits­­lage im Unter­nehmen ver­schaffen und dabei helfen, poten­zielle Sicherheits­­­bedrohungen zu erkennen und darauf zu reagieren, noch bevor die Lage ernst wird.

Zusätzlich kann SIEM-Software bei der Ein­haltung von Compliance­-An­forderungen helfen, zum Beispiel bei Regularien wie der DSGVO oder PCI DSS. Vielleicht betreffen diese SIEM Use Cases auch dein Unternehmen?

Wie ein SIEM-System Gefahren erkennt

Wie aber kann ein SIEM-System solche Ereignisse identi­fizieren und Alarm schlagen?

Spezifische Sicherheits­­­ereig­nisse oder Vorfälle, die das System erkennen und auf die es reagieren soll, bezeichnet man als „Detection Use Cases“ oder „Analytic Stories“. Das Geheim­nis liegt dabei in der Implemen­­tierung von Erkennungs­­mustern (Detection Pattern), die aus Threat Intelli­gence Informa­tionen oder maschi­nellen Lern-/KI-Funktionen stammen. Die verschiedenen SIEM Use Cases können von Unternehmen zu Unternehmen variieren.

Typische SIEM Use Cases

Verdächtige Nutzer­konto­aktivitäten: Unser erster SIEM Use Case – das System kann verdächtige An­melde­­­­aktivitäten von Nutzer­­­konten erkennen, indem es die Log­­daten von Authenti­­­fi­zie­rungs­­­­sys­temen wie Active Directory analysiert. Wenn eine Person versucht, sich mit mehreren falschen Pass­­­wörtern oder von einem un­­gewöhn­lichen Standort aus an­­zumelden, kann das SIEM eine Warnung an das Sicherheits­­­­team auslösen.

  • Bei dem Anwendungs­­fall der "unmöglichen Reise" erkennt das SIEM zum Beispiel Nutzer­­ak­tivitäten von zwei separaten Orten, die in der dazwischen­­­liegenden Zeit nicht bereist werden können.
Versuche der Daten­-Exfiltration: Eine weitere Kategorie von Anomalien sind Daten­-Exfiltra­tions­­versuche, welche SIEMs durch die Analyse von Protokoll­­­daten von Netzwerk­­­geräten wie Routern und Firewalls erkennen.
  • Wenn zum Beispiel ein Gerät große Daten­mengen an eine externe IP-Adresse überträgt, kann das SIEM eine Warnung auslösen und eine automatische Reaktion einleiten, um den Daten­verkehr zu blockieren.
Insider­-Bedrohungen: So­genannte Insider-Be­drohungen werden von SIEM-Systemen durch die Analyse von Protokoll­­daten aus ver­­schie­denen Quellen wie Aktivitäts­­protokollen und Datei­­zugriffs­­protokollen erkannt.
  • Wenn eine Person versucht, außerhalb der normalen Arbeits­zeiten auf sensible Daten zu­zugreifen oder versucht, auf Daten zu nutzen, für die keine Zugriffs­berechti­gung besteht, kann das SIEM einen Alarm an das Sicherheits­­­team auslösen.
Malware-Infektionen: Auch bei der Malware-Abwehr können SIEM-Systeme eine Rolle neben den klassischen End­punkt­­schutz­­systemen spielen. Das SIEM kann Malware-Infek­tionen auf Geräten erkennen, indem es Protokoll­­daten aus verschiedenen Quellen wie Fire­walls, Antiviren-Software und Intrusion-Detection-Systemen analysiert.
  • Wenn ein Device beispiels­weise versucht, eine Ver­bindung zu einem Command-and-Control-Server herzustellen, kann das SIEM warnen und eine auto­matisch das Gerät vom Netz­werk isolieren.
Verstöße gegen die Compliance: Ein letztes Beispiel – Ein SIEM-System kann Compliance-Verstöße erkennen, indem es Protokoll­­daten aus ver­schie­denen Quellen wie Daten­bank­­protokollen und Zugangs­­kontroll­­­systemen analysiert.
  • Wenn beispiels­­weise ein Nutzer ohne die ent­spre­chende Be­rech­tigung auf sensible Daten zugreift, kann das SIEM einen Alarm auslösen und eine auto­ma­tische Reaktion einleiten, um sicher­­zustellen, dass dem Nutzer der Zugriff entzogen wird.
Neben der Suche nach bekannten Mustern und SIEM Use Cases kann eine SIEM-Lösung Sicherheits­­­teams bei der proaktiven Suche nach poten­ziellen Be­droh­ungen helfen, indem große Daten­­mengen analysiert werden.
So können die Systeme beispiels­weise den Netzwerk­­verkehr analy­sieren, um Ano­malien zu er­kennen, die auf eine potenzielle Sicherheits­­be­droh­ung hindeuten könnten.

Individuelle SIEM-Lösungen

COCUS bietet Dienst­­leis­tun­gen für die Imp­­lemen­t­ierung und den Betrieb von effi­­zienten und effek­­tiven SIEM-Lösungen. Du weißt nicht ganz, wo du überhaupt starten sollst, um die ver­schiedenen SIEM Use Cases umzusetzen? Wir bieten dir einen Rapid-SIEM-Ansatz auf der Basis von Splunk an, der Unter­nehmen hilft, ihre SIEM Imp­­le­men­­­tierung zu einem festen, er­­schwing­lichen Preis zu be­ginnen und schnell einen Mehr­wert zu erzielen.
Wir haben die Lösung, wenn es um die Sicher­heit deines Unter­nehmens geht. Sprich uns an, und wir setzen deine individuellen SIEM Use Cases um!
SIEM Use Case besprechen

Bleib informiert und folge uns

Bleib informiert und folge uns

Standort Deutschland
Linkedin Xing Facebook
Standort Portugal
Linkedin Facebook

Du hast das Potenzial für 5G-Lösungen bereits erkannt? Wir sind dein 5G-Enabler und realisieren gemeinsam mit dir deine Use Cases!

Jetzt kontaktieren
Erfahre mehr zu 5G

Du hast das Potenzial für 5G-Lösungen bereits erkannt? Wir sind dein 5G-Enabler und realisieren gemeinsam mit dir deine Use Cases!

Jetzt kontaktieren
Erfahre mehr zu 5G

Was dich auch interessieren könnte

Weitere Neuigkeiten anzeigen
COCUS Logo

connecting industries.
empowering innovation.

Neuigkeiten
Unternehmen
Angebot anfragen
cocus-mail cocus-mail-active info@cocus.com
cocus-phone cocus-phone-active0211 87 542-860