Einführung in SIEM (Sicherheitsinformations- und Ereignismanagement) der nächsten Generation

Was ist SIEM der nächsten Generation?

Das Sicherheitsinformations- und Ereignismanagement (Security Information and Event Management, SIEM) wurde ursprünglich entwickelt, um Netzwerktransparenz zu bieten und Datenverkehr zur Erkennung böswilliger Aktivitäten zu identifizieren. Seit seiner Einführung hat es eine bedeutende Entwicklung durchlaufen. SIEM der nächsten Generation ist die Weiterentwicklung des traditionellen SIEM als Reaktion auf digitale Fortschritte wie Cloud Computing, Big Data und Remote-Arbeitsmodelle, um die Transparenz über die traditionellen Perimeter hinaus zu erweitern. Dieser Artikel wirft einen genaueren Blick auf die aktuelle Landschaft der SIEM-Systeme der nächsten Generation und beleuchtet deren fortschrittliche Fähigkeiten bei der Bewältigung der Herausforderungen, denen sich die meisten Sicherheitsteams heute gegenübersehen.

Worin besteht der Unterschied zwischen traditionellem SIEM und SIEM der nächsten Generation?

Herkömmliche SIEM-Lösungen konzentrierten sich in erster Linie auf das Sammeln und Indizieren der Protokolle, die von verschiedenen Anwendungen und Systemen im Netzwerk eines Unternehmens ausgegeben worden sind. Sie ermöglichten Sicherheitsanalysten, gezielt Protokolldetails zu suchen und abzurufen, was Aufgaben wie die Prüfung von Compliance-Berichten oder die Durchführung detaillierter forensischer Ermittlungen erleichterte. Herkömmliche SIEM-Lösungen zeichnen sich zudem durch die Korrelation von Protokollen aus unterschiedlichen Quellen aus und liefern während der Untersuchungen wertvolle Erkenntnisse auf der Grundlage eindeutiger Identifikatoren wie IP-Adressen.

Allerdings generieren ältere SIEM-Lösungen oft große Mengen an Warnmeldungen, deren Durchsicht eine Herausforderung darstellen kann und die ein hohes Maß an Fachwissen erfordern, um präzise Filter anzuwenden und Suchanfragen zu verfeinern. Aufgrund der erforderlichen Fachkenntnisse und der arbeitsintensiven Prozesse, bei denen Warnmeldungen durchforstet werden müssen, um echte Bedrohungen zu identifizieren, können wichtige Ereignisse leicht übersehen werden. Dies führt oft zu langwierigen Untersuchungen, die sich über Wochen hinziehen können, wodurch das Unternehmen anfällig für erfolgreiche Datenkompromittierungen bleibt.

Da Unternehmen zunehmend auf die digitale Transformation setzen und in Cloud-Umgebungen migrieren, sind die Grenzen herkömmlicher SIEM-Lösungen deutlicher zutage getreten. Die Nachfrage nach fortschrittlichen Funktionen hat die Entwicklung von SIEM-Lösungen der nächsten Generation vorangetrieben, die darauf ausgelegt sind, die Schwächen ihrer Vorgänger durch eine Vielzahl fortschrittlicher Funktionen zu überwinden, darunter:

Umfassende Transparenz

Es ist wichtiger denn je, einen umfassenden Überblick über Ihre gesamte Organisation zu gewinnen. SIEM der nächsten Generation geht über traditionelle, protokollzentrierte Ansätze hinaus, indem es Rohdaten aus Streaming-Quellen (einschließlich Datenflüssen, Protokollen und Identitätsinformationen) aufnimmt und dabei Millionen von Anreicherungen verarbeiten kann. Die Korrelation von Ereignissen über alle Systeme und Netzwerke hinweg verbessert die Transparenz hinsichtlich potenzieller Cyberbedrohungen. Diese umfassende Transparenz ist entscheidend, um die Wirksamkeit der Sicherheitskontrollen des Unternehmens sicherzustellen und damit das Gesamtrisikoprofil zu senken.

Proaktive Bedrohungserkennung

SIEM-Lösungen der nächsten Generation zeichnen sich durch ihre Fähigkeit aus, Bedrohungen in verschiedenen Umgebungen zu erkennen, darunter Cloud-, On-Premises- und Hybridinfrastrukturen. Sie können sowohl bekannte als auch unbekannte Bedrohungen in Echtzeit identifizieren und fortschrittliche Analysetechniken wie KI, Machine Learning und Verhaltensprofile anwenden. Dieser kontextbezogene Ansatz gewährleistet Relevanz, beugt Informationsüberlastung vor und ermöglicht Sicherheitsteams, sich effizient auf Untersuchungen mit hohem Risiko zu konzentrieren. Durch die schnelle Reaktion auf potenzielle Sicherheitsvorfälle können Unternehmen ihre durchschnittliche Zeit bis zur Identifizierung (MTTI) verkürzen und so ihre Cyber-Resilienz gegenüber Bedrohungen erheblich steigern.

Kontinuierliche Compliance

SIEM-Systeme der nächsten Generation bieten umfassende Berichtsfunktionen für regulatorische Compliance-Vorgaben wie HIPAA, NIST, DSGVO und PCI. Sie nutzen Datenanalysefunktionen über historische und langfristige Zeiträume hinweg und helfen Unternehmen dabei, kontinuierliche Compliance aufrechtzuerhalten und strenge regulatorische Anforderungen zu erfüllen.

Automatische Eindämmung und Beseitigung

Die modernen SIEM-Lösungen von heute enthalten einige SOAR-Funktionen (Security Orchestration Automation and Response), um Abhilfemaßnahmen in Echtzeit zu automatisieren. Darüber hinaus bieten SIEM-Lösungen der nächsten Generation Sicherheitsteams Anleitungen zur Eindämmung einer Bedrohung und zur Steuerung des Incident-Response-Prozesses, wodurch die Reaktion eines Unternehmens auf zukünftige Bedrohungen effektiv beschleunigt wird.

Woher kommt SIEM?

Das Konzept von SIEM entstand Ende der 90er Jahre, als Netzwerk- und Sicherheitsteams nach Möglichkeiten suchten, die Ereignisprotokollinformationen ihrer verschiedenen Geräte an einem zentralen Ort zu konsolidieren. Somit lässt sich der Ursprung der zentralisierten Protokollierungsfunktion innerhalb von SIEM auf ihre Wurzeln im Sicherheitsinformationsmanagement (Security Information Management, SIM) zurückführen. Mit dem technologischen Fortschritt erwies sich die bloße Zusammenführung von Daten jedoch als unzureichend. Analysten in Sicherheitskontrollzentren (SOCs) versuchten, ihre Fähigkeiten zu verbessern, indem sie Logik auf die Daten anwendeten und Muster bekannter böswilliger Aktivitäten in Echtzeit identifizierten, anstatt sich ausschließlich auf nachträgliche Analysen zu verlassen. Diese Entwicklung führte zur Entstehung des Sicherheitsereignismanagements (Security Event Management, SEM).

Was ist SEM im heutigen SIEM?

Hauptfunktion: Sicherheitsereignismanagement

Primäres Ziel: Sicherheitsüberwachung und priorisierte Reaktion

SEM spielt eine zentrale Rolle in der heutigen SIEM-Landschaft, wobei die Hauptfunktion darin besteht, eine gründliche Sicherheitsüberwachung durchzuführen und eine priorisierte Reaktion auf potenzielle Bedrohungen zu veranlassen. SEM hat die Datenanalyse durch die Einbindung fortschrittlicher Techniken wie Abgleichlisten, Netzwerkverkehrszuordnung und die Korrelation verschiedener Ereignisse und Warnmeldungen revolutioniert. Anstatt sich ausschließlich auf einzelne Ereignisse zu konzentrieren, identifiziert SEM nun Abfolgen von Aktivitäten. Darüber hinaus führt SEM wesentliche Funktionen für effektive Untersuchungen ein, darunter Fallmanagement und Reaktionsworkflows. Dies beinhaltet die Gruppierung verwandter Warnmeldungen zu einem zusammenhängenden „Fall“, die Zuweisung von Fällen an bestimmte Benutzer oder Teams sowie die sorgfältige Verfolgung des Fortschritts und der Informationen, bis die Untersuchung zu einem schlüssigen Ergebnis führt.

Was ist SIM im heutigen SIEM?

Hauptfunktion: Log-Management

Hauptziel: Aufbau eines zentralen Repositorys; Erfüllung von Compliance-Anforderungen

Innerhalb des heutigen SIEM-Frameworks fungiert SIM als Log-Management und überwacht die systematische Erfassung und zentrale Speicherung von Protokolldateien für die anschließende Analyse. Dadurch wird ein zentrales Repository für alle innerhalb einer Umgebung generierten Ereignisprotokolle eingerichtet. Nach der Datenerfassung können verschiedene Aktionen mit den Daten durchgeführt werden. Der Schwerpunkt von SIM liegt auf der Datenspeicherung und Berichtserstellung. Viele Unternehmen nutzen die SIM-Funktionen ihrer SIEM-Lösungen, um die Einhaltung von Datenschutzgesetzen wie DSGVO, HIPAA, PCI-DSS und SOX nachzuweisen.

Welchen Stellenwert hat SIEM der nächsten Generation in der Cybersicherheit?

Eine SIEM-Lösung der nächsten Generation ist integraler Bestandteil der gesamten Sicherheitsstrategie eines Unternehmens und dient als zentrale Drehscheibe für Sicherheitsteams, um umfassende Einblicke in alle Systeme zu erhalten und ein breites Spektrum von Bedrohungen effektiv zu bekämpfen. Im Gegensatz zu herkömmlichen Lösungen sind SIEM-Lösungen der nächsten Generation als cloudnative Software-as-a-Service-Plattformen (SaaS) konzipiert und bieten eine flexiblere Skalierung sowie mehr Funktionalität in dezentralen, hybriden und Multi-Cloud-Umgebungen.

Eine der Hauptstärken von SIEM-Lösungen der nächsten Generation ist die Fähigkeit, verschiedene Streaming-Telemetriedaten zu erfassen, wodurch Sicherheitsteams eine holistische Echtzeitsicht auf potenzielle Risiken und Schwachstellen erhalten. Diese Anpassungsfähigkeit in Kombination mit integrierter Threat Intelligence ermöglicht Unternehmen, Sicherheitsbedrohungen proaktiv zu identifizieren und zu bekämpfen. Durch die Erfüllung der Anforderungen moderner Infrastrukturen verbessert die neueste Entwicklung bei SIEM-Lösungen deren Fähigkeit, ein breites Spektrum potenzieller Bedrohungen zu erkennen, zu verhindern und zu beheben, erheblich.

10 entscheidende Funktionen von SIEM der nächsten Generation

Es gibt zehn entscheidende Funktionen, die moderne SIEM-Lösungen enthalten sollten, um Unternehmen dabei zu helfen, ihre Sicherheitsabläufe zu verbessern:

• Umfassende Datenerfassung und -verwaltung

Um vollständige Beobachtbarkeit zu gewährleisten, stellt eine SIEM-Lösung der nächsten Generation sicher, dass auf jede Datenquelle zugegriffen werden kann, und bietet so eine Grundlage für tiefgehende Analysen und Korrelationen über grenzenlose Infrastrukturen hinweg. Moderne SIEM-Lösungen erfassen nahtlos Daten aus verschiedenen Quellen – darunter Sicherheitslösungen, Anwendungen, Endgeräte und Netzwerkpaketdaten –, um einen ganzheitlichen Überblick über die Umgebung zu bieten.

SIEM-Lösungen der nächsten Generation müssen sich zudem nahtlos in Public- und Private-Cloud-Plattformen wie AWS, Microsoft Azure und GCP integrieren lassen, um ihre Reichweite für eine effiziente Datenerfassung und erweiterte Bedrohungsanalysen über mehrere Clouds hinweg zu vergrößern. Dies ist entscheidend für die Identifizierung von Bedrohungen in der gesamten erweiterten Umgebung eines Unternehmens und gewährleistet eine optimierte und robuste Abwehr gegen zukünftige Bedrohungen.

• Big-Data-Architektur

Die SIEM-Lösung ist die maßgebliche Informationsquelle für das SOC, daher ist Skalierbarkeit von höchster Bedeutung. Die SIEM-Lösung muss mühelos skalierbar sein, um zahlreiche Datenquellen integrieren und Big-Data-Analysen schnell und problemlos unterstützen zu können. Sie spielt eine zentrale Rolle und muss sehr reaktionsfähig sein, um Sicherheitsanalysten bei der Triage und Untersuchung und gleichzeitigen fortlaufenden Überwachung und Analyse großer Datenmengen zu unterstützen. Sie muss auch Suchabfragen über mehrere Datensätze hinweg gleichzeitig ausführen können. Diese Funktion, die als föderierte Suche bezeichnet wird, ermöglicht das Abrufen von Informationen aus verschiedenen isolierten Datenquellen in Echtzeit mit nur einer Suchanfrage. So verbessert sie die Effizienz und Agilität von Cybersicherheitsmaßnahmen erheblich.

• Bereitstellung und Architektur

Herkömmliche SIEM-Lösungen waren sowohl bei der Einrichtung als auch bei der laufenden Verwaltung mit inhärenten Komplexitäten behaftet. SIEM-Lösungen der nächsten Generation bewältigen diese Herausforderungen. Ausgestattet mit umfangreichen integrierten Konnektoren gewährleisten sie eine nahtlose Datenerfassung aus bestehenden Produkten und vereinfachen so den Bereitstellungsprozess. Dies bedeutet für ein Unternehmen eine schnelle Amortisationszeit – ein entscheidender Vorteil für diejenigen, die sofortige Sicherheitsverbesserungen anstreben.

Insbesondere verfügen moderne SIEM-Lösungen über eine cloudbasierte Architektur. Dieser strategische Wechsel zu cloudbasierten SIEM-Lösungen reduziert nicht nur die Komplexität der Bereitstellung, sondern führt auch zu Einsparungen bei Betriebs- und Verwaltungskosten und stellt somit einen bedeutenden Fortschritt in der Effizienz der Cybersicherheit dar.

• Anreicherung des Benutzer- und Asset-Kontexts

Die Datenanreicherung wandelt Rohdaten in aussagekräftige Erkenntnisse um, indem Sicherheitsereignisdaten um Kontextinformationen ergänzt werden. Durch die Anreicherung von Sicherheitsereignissen mit Kontextdetails aus Benutzerverzeichnissen, Asset-Inventarisierungstools, Geolokalisierungstools und Threat-Intelligence-Datenbanken von Drittanbietern verbessern SIEM-Lösungen ihre Fähigkeit, potenzielle Sicherheitsrisiken zu entschlüsseln und darauf zu reagieren. Eine robuste SIEM-Lösung der nächsten Generation sollte präzise und umfassende Echtzeit-Threat-Intelligence auf globaler Ebene umfassen, die regelmäßig mit täglich auftretenden riesigen Mengen (in der Größenordnung von Billionen) an Ereignissen korreliert werden. Dies optimiert die Analyse, indem relevante Details wie bekannte Angriffstools oder -muster sowie der verantwortliche Angreifer aufgedeckt werden.

• Schutz vor Identitätsbedrohungen

Funktionen zur Erkennung und Abwehr von Identitätsbedrohungen spielen in einer SIEM-Lösung der nächsten Generation eine zentrale Rolle, indem sie Transparenz bei identitätsbasierten Angriffen und Anomalien schaffen. SIEM-Lösungen der nächsten Generation sollten Identitäten über hybride Identitätsspeicher hinweg automatisch in Benutzer-, Dienst- und privilegierte Konten klassifizieren und den Live-Datenverkehr mit Vergleichsverhalten und Regeln vergleichen, um laterale Bewegungen und anomalen Datenverkehr in Echtzeit zu erkennen. Dieser proaktive Ansatz verbessert die allgemeinen Bedrohungserkennungsfähigkeiten einer SIEM-Lösung der nächsten Generation und versetzt Sicherheitsteams in die Lage, verdächtige Aktivitäten zu identifizieren und umgehend zu reagieren, um potenzielle Bedrohungen abzuwehren.

• Automatisierte Verfolgung lateraler Bewegungen

Die automatisierte Erkennung lateraler Bewegungen ist ein wesentlicher Bestandteil einer SIEM-Lösung und ermöglicht es dem System, die laterale Ausbreitung eines Bedrohungsakteurs innerhalb der Unternehmensumgebung zu identifizieren und zu verfolgen. Eine SIEM-Lösung der nächsten Generation bietet eine Reihe einheitlicher Analysen, die miteinander verkettet werden können, was oft als Modellverkettung bezeichnet wird und frühzeitig vor riskantem Verhalten wie lateraler Bewegung warnt. Diese Automatisierung beschleunigt die Erkennung böswilliger Aktivitäten und stärkt die Widerstandsfähigkeit eines Unternehmens, indem sie die Zeit zwischen der Identifizierung einer Bedrohung und deren Behebung minimiert.

• Verbessertes Sicherheitsinformationsmodell

SIEM der nächsten Generation zeichnet sich dadurch aus, dass es alle Elemente eines Angriffs aus verschiedenen Quellen identifiziert und sie automatisch in einem Dashboard mit visueller Zeitleiste zusammenstellt. Diese Angriffszeitleiste liefert Details zu den operativen Ereignissen, die einem Sicherheitsvorfall zugrunde liegen, in chronologischer Reihenfolge. Im Gegensatz zu älteren SIEM-Lösungen, bei denen Analysten die Zeitleiste manuell zusammenstellen mussten, können sich Analysten dank der in einer einzigen Ansicht bereitgestellten Details moderner SIEM-Lösungen auf das Wesentliche konzentrieren.

Moderne SIEM-Lösungen haben sich auch von den notorisch komplexen Abfragesprachen veralteter Systeme verabschiedet. Stattdessen bieten sie eine robuste Unterstützung für einfache und intuitive Abfragesprachen, was den Triage-Prozess beschleunigt und Tier-1-Analysten in die Lage versetzt, auch komplexere Untersuchungen effektiv zu bearbeiten.

• Priorisierung von Vorfällen

Umfassende Datenquellen in Kombination mit fortschrittlichen Analysemodellen sind entscheidend, um den kritischen Kontext zur Bestimmung der Priorität eines Angriffs zu liefern. Dies entlastet die Sicherheitsteams erheblich von dem manuellen Aufwand, der zur Durchführung von Untersuchungen und zur Bestätigung der Gültigkeit einer Angriffskampagne erforderlich ist.

Da die SIEM-Lösungen der nächsten Generation klare Prioritäten hinsichtlich des Vorfallrisikos vorgeben, können Sicherheitsteams effizienter arbeiten und den richtigen nächsten Schritt erkennen, anstatt abzuwarten, bis alle Maßnahmen auf einmal ausgeführt werden. So stellen beispielsweise priorisierte Details zu den infizierten Systemen sicher, dass Sicherheitsanalysten diese Systeme genau lokalisieren können, um sie vom Netzwerk zu isolieren und seitliche Bewegungen oder die Ausbreitung von Malware zu verhindern. Dies gewährleistet, dass Unternehmen rasch Maßnahmen für eine gezielte Reaktion ergreifen können, um die Geschäftskontinuität zu wahren.

• Automatisierte Behebung von Bedrohungen

Angesichts erfolgreicher Cyberangriffe benötigen Unternehmen fortschrittliche Behebungsfunktionen. Dies hat zur Weiterentwicklung von SIEM-Lösungen der nächsten Generation geführt, die automatisierte Incident-Response-Funktionen integrieren. Diese hochentwickelten Systeme erfassen geschickt Details zu einem Vorfall und nutzen dynamische Playbooks, um präzise, automatisierte Maßnahmen zur Behebung von Vorfällen zu koordinieren.

SIEM-Lösungen der nächsten Generation lassen sich zudem nahtlos in die Sicherheitsprozesse eines Teams integrieren, indem sie Workflows mit integrierten Systemen wie dem IT-Service-Management (ITSM) automatisieren, was den gesamten Incident-Response-Prozess optimiert und so die Widerstandsfähigkeit der Cybersicherheit erhöht.

• Live-Dashboards und Berichterstellung

SIEM-Lösungen der nächsten Generation verbessern die Unterstützung von Compliance-Anwendungsfällen erheblich und ermöglichen schnelle und effiziente Audits. Mit anpassbaren Dashboards sowie zentralisierten Compliance-Audits und Berichten bieten moderne SIEM-Lösungen integrierte Berichterstellung für gängige Vorschriften und Standards wie SOX, NIST, DSGVO, HIPAA und PCI. Diese umfassende Compliance-Unterstützung gewährleistet nahtlose interne Audits sowie die Einhaltung externer Audit- und Zertifizierungsanforderungen.

SIEM der nächsten Generation mit CrowdStrike

Bei CrowdStrike bieten wir die weltweit führende KI-native Plattform für SIEM der nächsten Generation, die Unternehmen ermöglicht, Bedrohungen durch Echtzeit-Erkennung, blitzschnelle Suche und

kosteneffiziente Datenaufbewahrung schnell zu bekämpfen. Unsere Produkte für SIEM der nächsten Generation und Log-Management umfassen:

CrowdStrike Falcon^® SIEM der nächsten Generation

Erkennen, untersuchen und verfolgen Sie mit unserer SIEM-Lösung der nächsten Generation Bedrohungen im Petabyte-Bereich viel schneller als erwartet.

CrowdStrike Falcon^® Search Retention

Speichern Sie Daten der CrowdStrike Falcon^®-Plattform bequem und kosteneffizient und profitieren Sie gleichzeitig von blitzschneller Suche, Echtzeit-Warnmeldungen und einer umfangreichen Auswahl an Dashboards.