SIEM-Systeme ohne Text

SIEM-Systeme im Detail: Die wichtigsten Bausteine der Security

SIEM war gestern, jetzt kommt TDIR?! Ein neues Vier-Buchstaben-Kürzel ist in der SOC-Welt (Security Operations Center) im Umlauf: Threat Detection Investi­gation Response (TDIR). In diesem Blogpost erklären wir, was es damit auf sich hat und in welchem Verhältnis es zu SIEM, SOAR und anderen SOC-Systemen steht.

Herkömmliche vs. Moderne SIEM-Systeme

Ein herkömmliches SIEM-System (Security Information and Event Management) besteht typischer­weise aus den folgenden Kompo­nenten:
Datenkollektoren sind Agenten oder Software, die auf Netz­werk­geräten, Servern und anderen Systemen des Unter­nehmens installiert werden, um Logdaten zu sammeln. Anschließend an die Daten­sammlung werden die Logdaten normalisiert, das heißt sie werden zur Erleich­terung der Datenanalyse und -korrelation in ihrem Format verein­heit­licht. Die Speicherung der normali­sierten Logdaten findet dann meist über relationale Daten­banken wie MySQL oder Oracle statt.
Im nächsten Schritt werden die Sicher­heits­ereignisse und Anomalien durch die Analyse und Korre­lation der Daten identi­fiziert. Jedoch handelt es sich hierbei i. d. R. um eine einfache regel­basierte Korrelation, was zu einer hohen Anzahl von falsch positiven und falsch negativen Ergeb­nissen führen kann.
Im Falle eines positiven Ergeb­nisses folgt die Meldung und Report­erstel­lung. Oft verfügen ältere SIEM-Systeme nur über begrenzte Warn- und Berichts­funk­tionen, was die Sicher­heits­teams darin behindern kann, die Vorfälle schnell zu erkennen und darauf zu reagieren.
Die Benutzer­ober­fläche ist die Schnitt­stelle, über die Sicher­heits­teams mit dem SIEM-System inter­agieren. Ältere SIEM-Systeme haben oft einfache und begrenzte Benutzer­ober­flächen und Inte­grations­möglich­keiten in andere Sicher­heits­tools. Das kann die gemeinsame Datenver­wendung und Auto­mati­sierung der Reaktion auf Sicher­heits­vorfälle wesentlich erschweren.
Durch die insgesamt immer häufiger auftre­tenden Probleme mit herkömm­lichen SIEMs rücken moderne SIEM-Systeme für die Angriffserkennung in Unternehmen in den Vorder­grund.

Moderne SIEM-Systeme: Mehr Intelligenz, mehr Flexibilität, mehr Daten

Moderne SIEMs können Bedrohungen im Vergleich zu herkömm­lichen SIEM-Systemen in Echt­zeit erkennen, da sie bei der Analyse von Event- und Logdaten mit maschi­nellem Lernen und künstlicher Intelli­genz arbeiten können. Sie lassen sich zudem um Funk­tionen der Threat Intelli­gence und Security Orches­tration, Automation und Response (SOAR) erweitern oder in verschiedene andere Sicher­heits­tools wie Fire­walls, Intrusion Detection Systemen und Threat-Intelligence-Platt­formen integrieren, sodass eine umfassende Sicher­heits­lösung leichter realisiert werden kann. Nicht zuletzt gibt es für moderne SIEMs oft eine Cloud-basierte Variante, die Probleme mit der Daten­speicher­kapa­zität und der System­verfüg­barkeit löst.

Sicherheits- und Effizienz­steige­rung mit Threat Intelli­gence und SOAR

Der inflationäre Anstieg der Bedrohungsarten und -techniken ergibt, dass Unternehmen ihre Sicher­heitsvor­kehrungen stets aktuell halten und auch fortlaufend aktuali­sieren müssen. Um effektiv und effizient zu handeln, lohnt es sich, Threat Intelli­gence und SOAR in SIEM-Lösungen zu integrieren:
Threat Intelligence bietet Informa­tionen über Threat Actor Gruppen, Angriffs­techniken sowie die Tools, die bei den Cyber­angriffen verwendet werden. Ein modernes SIEM-System kann die Threat-Intelli­gence-Feeds dazu nutzen, seine Korre­lations- und Analyse­funktionen mit Erkennungs­regeln zu verbessern. Dadurch erkennt und bekämpft das SIEM-System Bedrohungen früher und effektiver. Anderer­seits kann die Threat-Intelligence-Lösung auch die vom SIEM bereit­gestellten Logdaten und Sicher­heits­warnungen nutzen, um neue Bedrohungen zu erkennen und die Threat-Intelli­gence-Feeds zu verbessern.
SOAR-Systeme sind Lösungen, die die Automati­sierung der Aufgaben und Prozessen von SOCs unter­stützen. Sie lassen sich mit verschie­denen Sicher­heits­tools und -systemen inte­grieren, um sich wieder­holende, zeitauf­wändige und manuelle Sicher­heitsauf­gaben zu automati­sieren. Die SOAR-Plattform kann die Korre­lations- und Analyse­funktionen des SIEMs nutzen, um automatisiert eine Incident Triage durchzu­führen, Bedrohungen zu finden und auf Vorfälle zu reagieren.

Auf dem Weg zu Unified Security Operations - TDIR

Welche Neuerungen liefert nun das „New Kid on the Block” – Threat Detection Investi­gation Response (TDIR) – für SOCs? Im Prinzip ist TDIR der konse­quente nächste Evolutions­schritt von modernem SIEM auf dem Weg zu einem einheit­lichen SOC-Kernsystem durch die Integration von SIEM, SOAR und Threat Intelli­gence in einer Lösung. Die Vision ist es, ein Unified Security Operations System bereit­zustellen, welches bestehende Sicher­heits­tools und -lösungen in einer konsis­tenten Ansicht konsolidiert: Eine Source of Thruth und ein zentraler Kontroll­punkt. Dies verbessert nicht nur die Informa­tionen, die den SOC-Analysten angezeigt werden, sondern macht ihre Arbeit effizienter.

Unsere Security Services

Die Security Produkt­suite unseres Partners Splunk enthält bereits die wichtigen Bausteine für ein TDIR: Eine markt­führendes SIEM, welche Threat Intelli­gence beinhaltet sowie eine leistungs­starke SOAR-Lösung. Dieses Set-up wird in Kürze durch eine einheit­liche Benutzer­ober­fläche ergänzt: Splunk Mission Control. Diese kann eine bestehende Implemen­tierung von Splunk Enterprise Security und SOAR erweitern, so dass hier­durch eine Unified Security Operations Lösung entsteht.
Kontaktier uns, wenn du mehr über die Vorteile von modernen SIEM-Systemen, TDIR oder den Splunk-Lösungen erfahren möchtest!

Bleib informiert und folge uns

Bleib informiert und folge uns

Standort Deutschland
Standort Portugal