SIEM war gestern, jetzt kommt TDIR?! Ein neues Vier-Buchstaben-Kürzel ist in der SOC-Welt (Security Operations Center) im Umlauf: Threat Detection Investigation Response (TDIR). In diesem Blogpost erklären wir, was es damit auf sich hat und in welchem Verhältnis es zu SIEM, SOAR und anderen SOC-Systemen steht.
Herkömmliche vs. Moderne SIEM-Systeme
Ein herkömmliches SIEM-System (Security Information and Event Management) besteht typischerweise aus den folgenden Komponenten:
- Datenkollektoren und Datenspeicher
Datenkollektoren sind Agenten oder Software, die auf Netzwerkgeräten, Servern und anderen Systemen des Unternehmens installiert werden, um Logdaten zu sammeln. Anschließend an die Datensammlung werden die Logdaten normalisiert, das heißt sie werden zur Erleichterung der Datenanalyse und -korrelation in ihrem Format vereinheitlicht. Die Speicherung der normalisierten Logdaten findet dann meist über relationale Datenbanken wie MySQL oder Oracle statt.
- Korrelation und Analyse
Im nächsten Schritt werden die Sicherheitsereignisse und Anomalien durch die Analyse und Korrelation der Daten identifiziert. Jedoch handelt es sich hierbei i. d. R. um eine einfache regelbasierte Korrelation, was zu einer hohen Anzahl von falsch positiven und falsch negativen Ergebnissen führen kann.
- Meldungen und Reports
Im Falle eines positiven Ergebnisses folgt die Meldung und Reporterstellung. Oft verfügen ältere SIEM-Systeme nur über begrenzte Warn- und Berichtsfunktionen, was die Sicherheitsteams darin behindern kann, die Vorfälle schnell zu erkennen und darauf zu reagieren.
- Benutzeroberfläche und Integration in andere Sicherheitstools
Die Benutzeroberfläche ist die Schnittstelle, über die Sicherheitsteams mit dem SIEM-System interagieren. Ältere SIEM-Systeme haben oft einfache und begrenzte Benutzeroberflächen und Integrationsmöglichkeiten in andere Sicherheitstools. Das kann die gemeinsame Datenverwendung und Automatisierung der Reaktion auf Sicherheitsvorfälle wesentlich erschweren.
Durch die insgesamt immer häufiger auftretenden Probleme mit herkömmlichen SIEMs rücken moderne SIEM-Systeme für die Angriffserkennung in Unternehmen in den Vordergrund.
Moderne SIEM-Systeme: Mehr Intelligenz, mehr Flexibilität, mehr Daten
Moderne SIEMs können Bedrohungen im Vergleich zu herkömmlichen SIEM-Systemen in Echtzeit erkennen, da sie bei der Analyse von Event- und Logdaten mit maschinellem Lernen und künstlicher Intelligenz arbeiten können. Sie lassen sich zudem um Funktionen der Threat Intelligence und Security Orchestration, Automation und Response (SOAR) erweitern oder in verschiedene andere Sicherheitstools wie Firewalls, Intrusion Detection Systemen und Threat-Intelligence-Plattformen integrieren, sodass eine umfassende Sicherheitslösung leichter realisiert werden kann. Nicht zuletzt gibt es für moderne SIEMs oft eine Cloud-basierte Variante, die Probleme mit der Datenspeicherkapazität und der Systemverfügbarkeit löst.
Sicherheits- und Effizienzsteigerung mit Threat Intelligence und SOAR
Der inflationäre Anstieg der Bedrohungsarten und -techniken ergibt, dass Unternehmen ihre Sicherheitsvorkehrungen stets aktuell halten und auch fortlaufend aktualisieren müssen. Um effektiv und effizient zu handeln, lohnt es sich, Threat Intelligence und SOAR in SIEM-Lösungen zu integrieren:
Threat Intelligence bietet Informationen über Threat Actor Gruppen, Angriffstechniken sowie die Tools, die bei den Cyberangriffen verwendet werden. Ein modernes SIEM-System kann die Threat-Intelligence-Feeds dazu nutzen, seine Korrelations- und Analysefunktionen mit Erkennungsregeln zu verbessern. Dadurch erkennt und bekämpft das SIEM-System Bedrohungen früher und effektiver. Andererseits kann die Threat-Intelligence-Lösung auch die vom SIEM bereitgestellten Logdaten und Sicherheitswarnungen nutzen, um neue Bedrohungen zu erkennen und die Threat-Intelligence-Feeds zu verbessern.
SOAR-Systeme sind Lösungen, die die Automatisierung der Aufgaben und Prozessen von SOCs unterstützen. Sie lassen sich mit verschiedenen Sicherheitstools und -systemen integrieren, um sich wiederholende, zeitaufwändige und manuelle Sicherheitsaufgaben zu automatisieren. Die SOAR-Plattform kann die Korrelations- und Analysefunktionen des SIEMs nutzen, um automatisiert eine Incident Triage durchzuführen, Bedrohungen zu finden und auf Vorfälle zu reagieren.
Auf dem Weg zu Unified Security Operations - TDIR
Welche Neuerungen liefert nun das „New Kid on the Block” – Threat Detection Investigation Response (TDIR) – für SOCs? Im Prinzip ist TDIR der konsequente nächste Evolutionsschritt von modernem SIEM auf dem Weg zu einem einheitlichen SOC-Kernsystem durch die Integration von SIEM, SOAR und Threat Intelligence in einer Lösung. Die Vision ist es, ein Unified Security Operations System bereitzustellen, welches bestehende Sicherheitstools und -lösungen in einer konsistenten Ansicht konsolidiert: Eine Source of Thruth und ein zentraler Kontrollpunkt. Dies verbessert nicht nur die Informationen, die den SOC-Analysten angezeigt werden, sondern macht ihre Arbeit effizienter.
Unsere Security Services
Die Security Produktsuite unseres Partners Splunk enthält bereits die wichtigen Bausteine für ein TDIR: Eine marktführendes SIEM, welche Threat Intelligence beinhaltet sowie eine leistungsstarke SOAR-Lösung. Dieses Set-up wird in Kürze durch eine einheitliche Benutzeroberfläche ergänzt: Splunk Mission Control. Diese kann eine bestehende Implementierung von Splunk Enterprise Security und SOAR erweitern, so dass hierdurch eine Unified Security Operations Lösung entsteht.