Security Information and Event Management

Die besten SIEM Tools

16.07.2021
Von 
Tim Ferrill ist IT-Experte und beschäftigt sich in erster Linie mit Windows und Windows Server. Er schreibt für unsere US-Schwesterpublikation CSO Online.
SIEM ermöglicht einen konsolidierten Überblick über Ereignisse und Bedrohungen. So finden Sie zur besten Software für Security Information and Event Management.
SIEM-Lösungen spielen bei der rechtzeitigen Aufdeckung von Bedrohungen eine tragende Rolle.
SIEM-Lösungen spielen bei der rechtzeitigen Aufdeckung von Bedrohungen eine tragende Rolle.
Foto: HAKINMHAN - shutterstock.com

Wenn Sie Ihr Unternehmen vor Sicherheitsbedrohungen schützen wollen, brauchen Sie maximale Transparenz. Das ist der Grundgedanke, der hinter Security Information and Event Management (SIEM) Software steckt, die für die meisten großen und viele mittlere Unternehmen unerlässlich ist.

SIEM Software erfasst in Echtzeit Ereignis- und Protokolldaten von einer Reihe von Netzwerkgeräten, Servern, Systemsoftware und anderer Infrastruktur. Ziel ist es, Muster oder Anomalien zu entdecken und Warnmeldungen auszusenden, wenn potenzielle Bedrohungen identifiziert werden. SIEM Tools können auch eine wichtige Rolle bei der Reaktion auf Sicherheitsvorfälle spielen.

Weil auch SIEM Software in die Cloud verlagert, mit Threat-Intelligence-Systemen integriert, sowie um Analytics- und Machine-Learning-Funktionen angereichert wird, entwickelt sich der SIEM-Bereich rasant weiter. Die Auswahl der richtigen SIEM-Lösung für Ihr Unternehmen ist nicht trivial. Zum einen, weil die Investitionskosten vergleichsweise hoch sind, zum anderen, weil der Konfigurationsprozess etwas ist, das Sie höchstwahrscheinlich nur einmal durchlaufen wollen.

SIEM - darauf kommt es an

Um Ihnen bei dieser Entscheidung unter die Arme zu greifen, haben wir die wichtigsten Aspekte zusammengestellt, über die Sie sich vorab in Bezug auf SIEM Software Gedanken machen sollten:

Cloud oder On-Premise?

Die meisten modernen SIEM-Lösungen werden als SaaS-Modell angeboten, um schneller iterieren und Funktionen hinzufügen zu können. Die nahezu unendliche Kapazität der Cloud macht es den Anbietern auch leichter, Machine-Learning-Funktionen zu integrieren. Diese benötigen große Mengen von Referenzdaten, bevor sie verdächtiges Verhalten identifizieren können. Allgemeiner Konsens ist daher, dass SaaS SIEM zuträglich ist.

Nichtsdestotrotz sind einige Unternehmen auf ein On-Premises-SIEM angewiesen. Typischerweise, weil sie Log Files oder verwandte Daten auf einer lokalen Infrastruktur speichern müssen. Für diese Fälle gibt es einige wenige Optionen.

Analysefähigkeiten

Eine SIEM-Lösung ist nur so gut wie die Informationen, die sie ausgibt. Alle Log- und Ereignisdaten aus Ihrer Infrastruktur zu sammeln, macht keinen Sinn, wenn es Ihnen nicht dabei hilft, Probleme zu identifizieren und fundierte Entscheidungen zu treffen. Heutzutage beinhalten die Analysefunktionen von SIEM-Systemen in den meisten Fällen maschinelles Lernen, um Anomalien in Echtzeit zu identifizieren und ein genaueres Frühwarnsystem bereitzustellen, das es ermöglicht, potenzielle Angriffe oder sogar neue Anwendungs- oder Netzwerkfehler genauer unter die Lupe zu nehmen.

Ihr Bedarf in Sachen SIEM-Analysen hängt von einer Vielzahl von Faktoren ab. Folgende Fragen sollten Sie sich dabei stellen, um Ihre Plattformoptionen einzugrenzen:

  • Welche Art von Systemen überwachen Sie?

  • Wie steht es um Ihre Fähigkeiten, Dashboards und Berichte zu erstellen oder Untersuchungen durchzuführen?

  • Haben Sie bereits in eine Analyseplattform investiert, die Sie nutzen möchten?

Wenn Sie keine vorhandenen Lösungen oder Skills besitzen, um diese Entscheidung treffen zu können, empfehlen sich im Regelfall SIEM-Lösungen mit einer umfangreichen Dashboard-Bibliothek oder entsprechende Managed-Service-Angebote.

Log-Ingestion

Eine weitere praktische Überlegung betrifft die Art und Weise, wie Ihre Daten von Ihrem SIEM genutzt werden. Im Allgemeinen handelt es sich dabei um eine Kombination aus Push- und Pull-Verfahren: Software-Agenten ziehen Log- und Ereignisdaten von einigen Systemen, während Netzwerk-Hardware und Cloud-Anwendungen Ereignisdaten über eine Integration oder eine API direkt an das SIEM senden.

Daran schließt sich die Frage an, ob das SIEM die Schlüsselinformationen aus Ihren Ereignissen von Anfang an richtig identifizieren kann. Idealerweise sollte Ihr Security Information and Event Management ein hohes Maß an Genauigkeit beim Parsen von Ereignisdaten aus den meisten gängigen Systemen aufweisen, ohne dass Anpassungen erforderlich sind. Darüber hinaus sollten Sie darauf achten, dass Ihr SIEM-System Flexibilität bietet, wenn es um die Frage geht, wie Ereignisdaten verarbeitet werden.

Alarm-Konfiguration

Ein wesentlicher Grund für ein modernes SIEM ist die Echtzeitüberwachung der Systeme. Aber auch das bringt nur wenig, wenn ein Mensch das System auf Alarme oder Benachrichtigungen (in Form von E-Mails, Textnachrichten oder Push-Benachrichtigungen an mobile Geräte) überwacht.

Wie jeder E-Mail-Benutzer weiß, besteht das Problem bei Alarmen und Benachrichtigungen darin, deren Volumen überschaubar zu halten. Erhalten die Benutzer zu viele Benachrichtigungen, werden sie diese entweder deaktivieren oder ignorieren. Sind es zu wenige, können hingegen kritische Bedrohungen unter den Tisch fallen. Es ist deshalb wichtig, Benachrichtigungen - einschließlich Regeln, Schwellenwerten und Benachrichtigungsmethoden - möglichst flexibel konfigurieren zu können.

Automatisierte Behebung

In einer perfekten Welt würden Computersysteme einen Angriff oder ein Anwendungsproblem erkennen und automatisch Schritte zur Behebung des Problems einleiten. Das ist in dieser Form zwar noch nicht möglich, aber in bestimmten Szenarien ist es sinnvoll, bestimmte Ereignisse mit einer automatischen Reaktion zu verknüpfen (zum Beispiel Sperren eines Benutzerkontos, Hinzufügen einer IP-Adresse zu einer Blacklist, etc.).

Eine wichtige Automatisierungsfunktion, die Sie im Auge haben sollten, ist die Fähigkeit des Systems, in Ihre Regeln "hineinzuwachsen". Das beginnt mit der Überwachung und Alarmierung (zur Feinabstimmung der Bedingungen und zur Begrenzung von Fehlalarmen) bis hin zur vollautomatischen Abhilfe, sobald das volle Vertrauen in Ihre Regelbedingungen hergestellt ist.

Rollenbasierter Zugriff

Rollenbasierter Zugriff ist für große Unternehmen mit unterschiedlichen Geschäftsbereichen, mehreren Anwendungsteams oder verstreuten Standorten unerlässlich. Administratoren, Entwicklern und Analysten den Zugriff auf die Log-Ereignisse zu gewähren, die sie auch benötigen, ist nicht nur eine Frage von Bequemlichkeit, sondern auch eine Voraussetzung für das Least-Privilege-Prinzip.

Die Ereignisse, die ein SIEM Tool erfasst, weisen oft einen höheren Detailgrad hinsichtlich Anwendungs- und Servicefunktionalität oder sogar darüber auf, wie Geräte in Ihrem Netzwerk konfiguriert sind. Der unerlaubte Zugriff auf diese Ereignisdaten kann böswilligen Akteuren zugutekommen. Begrenzter Zugriff auf SIEM-Ereignisdaten ist aus gutem Grund eine "Best Practice": Sie begrenzt auch die Auswirkungen bei kompromittierten Konten und trägt letztlich zum Schutz Ihres gesamten Netzwerks bei.

Einhaltung gesetzlicher Vorschriften

Viele Branchenvorschriften - beispielsweise HIPAA - erfordern nicht nur die Verwendung eines SIEM oder eines ähnlichen Dienstprogramms, sondern legen auch fest, wie die Lösung konfiguriert werden muss. Sie sollten die jeweils für sie relevanten Anforderungen im Detail prüfen. Zu den Dingen, auf die Sie achten sollten, gehören:

  • Aufbewahrungsfristen,

  • Verschlüsselungsanforderungen (sowohl für Daten bei der Übertragung, als auch für Daten im Ruhezustand),

  • digitale Signaturen (um sicherzustellen, dass Ereignisdaten nicht in irgendeiner Weise verändert werden) und

  • Berichtspflichten.

Denken Sie auch daran, dass die meisten Compliance-Regelungen ein Audit- oder Berichtselement enthalten. Stellen Sie also sicher, dass Ihre SIEM-Lösung die entsprechenden Dokumentationen oder Berichte ausspucken kann, um die Auditoren zufriedenzustellen.

Ereignis-Korrelation

Ein Grund für die Implementierung eines SIEM-Systems liegt in der Möglichkeit, Protokolle von unterschiedlichen (und/oder integrierten) Systemen in einer einzigen Ansicht zu korrelieren. Zum Beispiel könnte eine einzelne Anwendung in Ihrem Netzwerk aus verschiedenen Komponenten bestehen, wie einer Datenbank, einem Anwendungsserver und der Anwendung selbst. Ein SIEM sollte in der Lage sein, Log-Ereignisse von jeder dieser Komponenten einzubeziehen, selbst wenn diese über mehrere Hosts verteilt sind. So können Sie sehen, wie Ereignisse innerhalb einer Komponente zu Ereignissen innerhalb einer anderen Komponente führen.

Das gleiche Prinzip gilt für ein Unternehmensnetzwerk als Ganzes: In vielen Fällen können korrelierte Ereignisprotokolle verwendet werden, um verdächtige Privilege-Escalation-Vorgänge zu identifizieren oder um einen Angriff zu verfolgen, der sich auf verschiedene Segmente Ihres Netzwerks auswirkt. Diese umfassende Sichtweise wird immer relevanter, wenn Unternehmen in die Cloud wechseln oder Container-basierte Infrastrukturen wie Kubernetes implementieren.

SIEM-Ökosysteme

SIEM-Lösungen sind darauf ausgelegt, sich mit anderen Systemen von verschiedenen Anbietern zu verbinden. Natürlich gibt es Standards für den Datenaustausch - von textbasierten Log-Dateien bis hin zu Protokollen wie SNMP oder Syslog. Wenn ein SIEM direkt (oder über Plugins) mit anderen Systemen integriert werden kann, macht das die Sache einfacher. Ein robustes, ausgereiftes Ökosystem ermöglicht es, Ihr SIEM um Funktionen wie Ereignissammlung, Analyse, Alarmierung und Automatisierung zu erweitern.

Zusätzlich zu den Systemverbesserungen, die durch ein SIEM-Ökosystem erreicht werden können, gibt es auch andere geschäftliche Vorteile, die berücksichtigt werden sollten. Zum Beispiel sorgt ein ausgereiftes SIEM oft für eine Nachfrage nach Schulungen, fördert Community-basierten Support und hilft sogar, den Einstellungsprozess zu rationalisieren.

Interaktion über API

Ein erweiterbares Ökosystem ist eine tolle Sache, wird aber nicht alle unterschiedlichen Anforderungen jedes Unternehmens erfüllen. Wenn Ihr Geschäft mit Softwareentwicklung zu tun hat - und insbesondere, wenn Ihr Unternehmen Zeit und Mühe in Devops investiert hat - kann die Möglichkeit, mit Ihrem SIEM programmatisch zu interagieren, einen großen Unterschied machen. Statt Entwicklungszeit für die Logging-Fähigkeit aus Sicherheits- oder Debugging-Gründen aufzuwenden, kann ein SIEM Ereignisdaten aus Ihrem benutzerdefinierten Code aufnehmen, korrelieren und analysieren.

Wie viel Sie für SIEM bezahlen sollten

SIEM-Plattformen, die als Cloud-Service zur Verfügung stehen, werden fast immer im Abonnement angeboten. Trotzdem kann Ihre Rechnung auch Nutzungsgebühren enthalten, zum Beispiel für das Volumen der Ereignisdaten oder die Anzahl der überwachten Endpunkte. Die Quintessenz: Sobald Sie Ihre geeigneten SIEM-Kandidaten eingegrenzt haben, vergleichen Sie die Abonnement- und Nutzungsgebühren en detail. Haben Sie eine Präferenz für ein teureres Angebot? Dann sollten Sie überlegen, wie damit Effizienzgewinne oder Einsparungen möglich werden.

SIEM - die besten Softwareanbieter

Es gibt Dutzende von SIEM-Anbietern - die folgenden neun sind in den aktuellen Analysten-Reports Forrester Wave und Gartner Magic Quadrant vertreten:

  • Exabeam: Fusion SIEM von Exabeam ist eine reine Cloud-Lösung, die SIEM-Analysen mit XDR (Extended Detection and Response) kombiniert. Die Software zeichnet sich in erster Linie dadurch aus, dass sie sich sowohl auf die Prozesse fokussiert, die mit der Diagnose und Behebung von Problemen verbunden sind als auch auf die technologischen Tools.

  • IBM: Big Blue wird sowohl von Forrester als auch von Gartner als "führend" eingestuft und bietet sein Security QRadar SIEM sowohl On-Premises als auch in der Cloud unter dem Motto "intelligente Sicherheitsanalysen" an. Die SIEM-Lösung arbeitet mit IBMs Security QRadar Advisor zusammen, um die Untersuchung von Anomalien und andere Sicherheitsaufgaben zu automatisieren.

  • LogRhythm: Die LogRhythm-Lösung rühmt sich eines umfangreichen Funktionsumfangs, der die Integration mit Hunderten von anderen IT-Systemen, eine Bibliothek von Modulen zur Bewertung der Konformität mit verschiedenen Industriestandards und eine Reihe von Angeboten umfasst, die von grundlegendem SIEM bis hin zu fortgeschrittener SOAR-basierter Automatisierung und Reaktion reichen.

  • Microsoft: Azure Sentinel ist nur in der Microsoft-Cloud verfügbar, bietet aber auch eine Übersicht über On-Premises-Systeme. Ein wichtiges Alleinstellungsmerkmal ist die einfache Integration mit Microsoft 365 und Windows Defender - darüber hinaus kann das Microsoft SIEM Protokolle aus einer Vielzahl von Quellen aufnehmen. Azure Sentinel versteht sich sowohl als SIEM als auch als SOAR-Plattform, die KI-, Automatisierungs- und Collaboration Tools bietet.

  • Rapid7: Die Identifizierung von Angriffen und kompromittierten Ressourcen - und die anschließende Reaktion - ist der Bereich, in dem sich Rapid7 auszeichnet. Sie können aus einem kuratierten Satz von Bedrohungsmustern wählen, einige aus der Community auswählen oder Ihre eigenen erstellen. Mit Rapid7 lassen sich auch Honeypots oder sogar gefälschte Anmeldedaten oder Dateien einsetzen, die ein zusätzliches Frühwarnsystem darstellen. Sobald eine Bedrohung identifiziert wurde, hilft die Lösung dabei, eine Zeitleiste mit zusammenhängenden Ereignissen zu erstellen, die Benutzer oder Assets betreffen. Das ermöglicht Ihnen, den Umfang Ihrer Untersuchung zu erweitern oder das Risiko zu bewerten, das durch kompromittierte Identitäten entstanden ist.

  • RSA: RSA-Produkte spielen bei der Absicherung der meisten großen Unternehmen eine Rolle. Die SIEM-Plattform von RSA wurde mit Blick auf Ereignisvolumen, geografische Verteilung und komplexe Architekturen konzipiert. Der Hersteller ermutigt Sie auch, den geschäftlichen Kontext einzubeziehen, um kritische oder wertvolle Ressourcen zu identifizieren, die beim Auftreten von Bedrohungen priorisiert werden müssen.

  • Securonix: Diese Lösung erweitert Ihre Protokoll- und Ereignisdaten durch Datenanreicherung. Sie können Beziehungen zwischen verschiedenen Ereignistypen hinzufügen, um Ihre Alarmierungs- und Analysefunktionen zu korrelieren und zu kontextualisieren. Als zusätzlicher Bonus läuft Securonix auf Hadoop mit einer offenen Architektur, so dass Sie eine Vielzahl von Analysetools von Drittanbietern einsetzen können.

  • Splunk: Einer der ersten Softwareanbieter, der die Analyse von Log-Dateien für sich entdeckt hat, war Splunk. Splunk Enterprise Security nutzt die ausgereiften Datenanalyse- und Visualisierungsfunktionen des Unternehmens, um eine SIEM-Lösung zu liefern, die mit Threat Intelligence integriert und in der Cloud oder On-Premises verfügbar ist.

  • FireEye: Neben professionellen White-Glove-Services bietet FireEye eine Vielzahl von Sicherheits-Tools, darunter auch SIEM-Funktionen, in seiner Helix Security Platform. Helix bietet einen Großteil der gleichen Funktionalitäten wie die Konkurrenz. Das Alleinstellungsmerkmal: Die FireEye-Spezialisten stehen mit Rat und Tat zur Seite, wenn Sie zusätzliche Expertise benötigen. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.