Die Oktane war sehr erfolgreich! Die Oktane war sehr erfolgreich! Sehen Sie sich unsere On-Demand-Sessions an. →
+49 (892) 620-3329 Suche

Was ist SIEM? Verwaltung von Sicherheitsinformationen und - Event 101

Aktualisiert: 02. September 2024 Lesezeit: ~

Topics

Security

Inhalt

 

Dieser Artikel wurde maschinell übersetzt.

 

Die Abkürzung SIEM steht für Security Information and Event Management. In der Regel gibt es SIEM Lösungen in Software-Formularen.

Wenn Sie sich fragen, was SIEM leisten kann, sind Sie beim Namen genau richtig. Diese Produkte können Ihr aktuelles Sicherheitssystem bewerten und Bedrohungen erkennen. Wenn sie ein Problem finden, kann dasselbe System das Problem stoppen, bevor sich die IT verschlimmert. 

SIEM-Tools sind leistungsstark und in einigen Branchen obligatorisch. Es ist fast unmöglich, ohne SIEM über jeden Winkel eines großen Systems zu blicken. Und wenn ein Problem auftritt, wird der Event Bericht|Die Berichterstellung, die Sie von Ihrem SIEM erhalten, kann Ihnen das Leben erleichtern. 

Wenn Sie jedoch ein kleines Unternehmen mit nur wenigen Mitarbeitern führen, könnten die Zeit und Mühe, die Sie in die Suche nach dem richtigen SIEM und die Installation der IT investieren, besser an anderer Stelle investiert werden. 

Wo liegen Sie in diesem Spektrum? Und worauf sollten Sie bei einem Software-Partner achten? Lassen Sie uns ein wenig tiefer graben.

Was ist SIEM? 

Gartner definiert SIEM als eine Technologie, die Sicherheitsereignisse sowohl erkennen als auch blockieren kann und gleichzeitig Informationen für Echtzeit- oder historische Analysen protokolliert. 

Hier ist ein Beispiel. Jemand kopiert Tausende von Dateien von Ihrem Server. Ein SIEM könnte:

  • Identifizieren. Das Programm weiß, wie das routinemäßige Kopieren von Dateien aussieht, daher löst dieses ungewöhnliche Verhalten einen Alarm aus. 
  • Log. Das SIEM verfolgt das Problem, wann es aufgetreten ist und was die IT als Nächstes unternimmt, um das Problem zu beheben. 
  • Wachsam. Das System sendet eine Benachrichtigung an die entsprechenden Parteien, dass etwas passiert. 
  • Direkt. Das System kann diesen einzelnen Benutzer daran hindern, Dateien zu kopieren, bis die Untersuchung abgeschlossen ist. 

SIEM-Tools wurden aus einer Kombination von SEM-Tools (Security Event Management) und SIM-Lösungen (Security Information Management) entwickelt. Anstatt zwei Softwareteile zu kaufen, um Bedrohungen zu erkennen und zu bekämpfen, drängten die Unternehmen auf ein Programm, das beide Aufgaben bewältigen konnte. Bericht|Die Berichtsfunktionen ergaben sich aus der Gesetzgebung (z. B. der Payment Card Industry Data Security Standard), die ein genaues Protokoll erforderte. 

Moderne SIEM-Tools stützen sich auf die Leistungsfähigkeit des maschinellen Lernens. Wenn das System nicht verstehen kann, wie normales Verhalten aussieht, müssen Programmierer die Daten liefern, und das ist zeitaufwändig. Durch das Hinzufügen von maschinellem Lernen kann das Programm auf Knopfdruck lernen, und mit jedem Tag, der vergeht, wird die IT leistungsfähiger und hilfreicher. 

Mit dieser Leistung geht ein hoher Preis einher. Die Anschaffung, Programmierung und Wartung eines SIEM kann teuer sein. Aus diesem Grund sind große Organisationen und börsennotierte Unternehmen in der Regel die größten Nutzer von SIEM-Lösungen.

Wie funktioniert SIEM? 

Wie kann SIEM gleichzeitig Detektiv und Vollstrecker sein? Integration ist entscheidend. 

Ihr SIEM stellt eine Verbindung zu allen Arten von Geräten in Ihrem Netzwerk her, einschließlich:

  • Antivirensoftware 
  • Anwendung 
  • Datenbanken 
  • Firewall 
  • Benutzerterminals 

Jeder dieser Punkte sendet Daten an das SIEM. Alle diese Bytes werden in eine Verwaltungskonsole verschoben. Manchmal verlassen sich die Programme auf Menschen, um alle Informationen zu durchsuchen und die IT zu verstehen. 

Fast 80 Prozent der IT-Experten empfinden ihre Arbeit bereits als stressig. Wenn Sie ihnen ein weiteres Dashboard mit Hunderten von Datenpunkten geben, fühlen sie sich möglicherweise nicht wohl. Ein SIEM unterscheidet sich jedoch ein wenig von einem herkömmlichen Sicherheitstool. 

SIEMs können auch die Gefahr eines bestimmten Auslösers oder Alarms bewerten. Sie können festlegen, dass nur die Probleme angezeigt werden, die das Programm für kritisch hält, und Sie können das andere Protokoll später analysieren. 

Ein Full-Service SIEM Lösungen kann diese spezifischen Aufgaben bewältigen:

  • Alarm. Ein SIEM informiert Sicherheitsexperten genau in dem Moment, in dem die IT ein Problem erkennt. 
  • Sammeln. Das Programm zieht Informationen aus mehreren Quellen und platziert jeden Datenpunkt an einem Ort. 
  • Vergleichen. Ein SIEM kann sich ansehen, was gerade passiert, und die IT mit der Programmierung, früheren Problemen oder normalen Aktivitäten vergleichen. 
  • Gegenwärtig. Die IT präsentiert Datenpunkte in einem nutzbaren Dashboard. 
  • Aufzeichnen. SIEMs erfassen Daten zu Compliance-Zwecken. Und sie speichern die Daten für den Fall, dass ein Team später noch einmal auf die Aufzeichnung zurückgreifen muss.

Jedes Tool ist anders und einige bieten Funktionen, die wir hier nicht erwähnt haben. Aber diese kurze Liste gibt Ihnen eine Vorstellung davon, was ein SIEM ist und was die IT leisten kann.

Vorteile und Einschränkungen von SIEM

Die Investition in eine neue Sicherheitslösung braucht Zeit. In den meisten Unternehmen sind an jeder Kaufentscheidung mehrere Personen beteiligt. Und wenn Sie sich ein SIEM ansehen, haben Sie Dutzende von Anbietern zur Auswahl. Lohnt sich der Aufwand für die IT?

Zu den Vorteilen von SIEM gehören:

  • Compliance Bericht|Berichtend. Vor etwa fünf Jahren begannen sich viele Tech-Experten Gedanken über die Anzahl der Standards und Vorschriften zu machen, die sie in Bezug auf die Sicherheit befolgen mussten. Seitdem sind die Regeln explodiert. Ein SIEM könnte die Einhaltung all dieser Standards und die Dokumentation der Einhaltung erleichtern. 
  • Musterbildung. Es ist schwer, den Scout eines Hackers zu erkennen. SIEM Bericht|Berichte und Dashboard können Ihnen helfen, kleinere Probleme zu visualisieren, wenn sie leichter zu lösen sind. 
  • Erhöhte Sicherheit. Alle Daten, die Ihnen ein SIEM liefern kann, können Ihnen dabei helfen, Angreifer aufzuhalten und die kritischen Ressourcen Ihres Unternehmens zu schützen.
  • Reputationsmanagement. Wenn etwas schief geht, haben Sie das Dashboard und die Daten zur Analyse. Wenn Sie in eine Besprechung gerufen werden, um zu erklären, was passiert ist, haben Sie die Antwort. 
  • Sorgen um die Krise. Ein SIEM kann in einigen Fällen einen Angriff stoppen, noch bevor Sie wissen, dass etwas schief gelaufen ist. 

Zu den Nachteilen von SIEM können gehören:

  • Kosten. Leistungsstarke Software hat ihren Preis. Für manche Unternehmen ist die Implementierung dieser Lösung schlicht zu teuer. 
  • Zeit. Menschen müssen SIEM-Lösungen überwachen, und da sie rund um die Uhr arbeiten, müssen auch Mitarbeiter verfügbar sein. 
  • Panik. SIEM-Lösungen können auf falsch positive Probleme hinweisen. 
  • Kurze Haltbarkeit. Ein traditionelles SIEM-Programm hat eine Haltbarkeit von nur 18 bis 24 Monaten. Wenn Sie in SIEM investieren möchten, sollten Sie nach modernen Programmen Ausschau halten, die langfristig für Ihr Unternehmen funktionieren können.

Stellen Sie sicher, dass Ihr Einkaufsteam diese Vor- und Nachteile versteht, bevor Sie mit dem Einkaufsprozess beginnen. Vielleicht entscheiden Sie, dass SIEM einfach nicht das Richtige für Sie ist, oder Sie sind noch begieriger darauf, loszulegen. 

Häufige Angriffe, die ein SIEM erkennen könnte 

Wir haben erwähnt, dass SIEM Daten durchsuchen und ungewöhnliches oder störendes Verhalten erkennen kann. Was genau könnte ein solches Tool finden?

SIEM-Lösungen waren hilfreich bei der Erkennung von:

  • Brute-Force-Angriffe. Ein Hacker, der ein Passwort innerhalb von Minuten tausende Male errät, hat nicht nur ein Passwort vergessen. Diese Person versucht, sich Zutritt zu verschaffen. Ein SIEM könnte diese tausend Versuche als fehlerhaft identifizieren. 
  • Gestohlene Identität. Ein Benutzer, der sich aus einem ungewöhnlichen Land oder einer seltsamen Zeitzone anmeldet, könnte ein Hacker sein. Ein SIEM könnte dieses Problem als Grund zur Besorgnis erkennen. 
  • Malware. Wenn ein SIEM mit Ihrer Antivirensoftware verbunden ist, kann es den Moment erkennen, in dem ein Hacker ein Schadprogramm einsetzt. Wenn die Software die IT nicht sofort entfernt, könnte das SIEM eingreifen. 

Im Wesentlichen verstehen Programme wie dieses, wie normal aussieht. Dann warnen sie Sie, wenn etwas Ungewöhnliches passiert. Die Ergebnisse können verblüffend sein.

Ist SIEM das Richtige für Sie?

Wenn Sie SIEM kaufen, haben Sie eine große Auswahl an Anbietern. IBM, Intel, Trustwave und andere verkaufen alle Produkte auf diesem Markt. Wie können Sie die richtige Wahl treffen?

Fragen Sie jeden Anbieter nach:

  • Integration. Funktioniert die Software mit allen Programmen, Servern und Systemen, die Sie derzeit im Einsatz haben?
  • Programmieren. Verwendet das Tool maschinelles Lernen? Oder müssen Sie der IT-Abteilung helfen, zu verstehen, wie Bedrohungen aussehen? 
  • Bericht|Berichterstellung und Protokoll. Wie sehen typische Dashboards und Berichte aus? Kann das System Berichte für Ihre spezifische Compliance-Landschaft ausspucken?

Wenn Sie noch nicht bereit sind, einzukaufen, ist es möglicherweise ratsam, auf die nächste Iteration von SIEM zu warten. Experten gehen davon aus, dass neuere Programme mit mehr Automatisierung, besseren Funktionen für maschinelles Lernen, einer tieferen Zusammenarbeit, mehr Integration und besseren Cloud-Funktionen ausgestattet sein werden. Wenn eines dieser Attribute für Ihr Unternehmen von entscheidender Bedeutung ist, kann es ratsam sein, zu warten.

Holen Sie sich wichtige Hilfe mit Okta 

Erhalten Sie Einblicke in die Bedrohungen, denen Sie ausgesetzt sind, und die Lösungen, die Sie benötigen. Die Lösungen von Okta sind intuitiv und leistungsstark und bemerkenswert einfach zu implementieren. Erfahren Sie, wie wir Ihnen helfen können , Bedrohungen zu erkennenKontaktieren Sie uns , um mehr darüber zu erfahren, wie Sie loslegen können. 

Referenzen

Sicherheitsinformations- und Event (SIEM). Gartner. 

Machine Learning Log Plattformen zur – Der neue Wingman für SIEM? (Februar 2020). SC-Medien.

Wird IT Arbeit stressiger oder sind es die Millennials? (Mai 2015). Computerwelt. 

Unternehmen sind von Vorschriften überschwemmt und haben Schwierigkeiten mit der Compliance. (August 2019). Forbes

Ein Leitfaden für Evaluatoren zu NextGen SIEM. (2019). SANS-Institut.

Setzen Sie Ihre Identity Journey fort

Testen Sie Okta jetzt kostenlos – oder vereinbaren Sie einen Termin mit unserem Team, um über Ihre konkreten Anforderungen zu sprechen.

Erste Schritte
Kontakt