Der Markt für Cybersicherheitslösungen ist mit unzähligen Anbietern überfüllt und wimmelt nur so von Abkürzungen. Wenn es jedoch darum geht, Bedrohungsvektoren frühzeitig zu erkennen und Sicherheitsteams auf drohende Gefahren aufmerksam zu machen, setzen moderne Unternehmen auf zwei zentrale Komponenten des Cybersicherheits-Tech-Stacks: Verhaltensanalyse von Benutzern und Entitäten (UEBA) sowie Sicherheitsinformations- und Ereignismanagement (SIEM).
In diesem Artikel werden wir UEBA und SIEM untersuchen und vergleichen und dabei die Rollen, die sie in der Cybersicherheit spielen, sowie die Art und Weise, wie sie sich gegenseitig ergänzen, näher beleuchten.
Was ist UEBA?
UEBA-Tools konzentrieren sich auf die Überwachung von Aktivitäten, um anomales Verhalten zu identifizieren und Sicherheitsbedrohungen aufzudecken. UEBA betrachtet menschliche Benutzer und maschinelle Entitäten wie Server, Router, IoT-Geräte und andere Systeme.
Eine UEBA-Lösung beginnt mit der Analyse von Anwendungsprotokollen und Metriken, um mithilfe vordefinierter Algorithmen und Machine Learning (ML) eine Vergleichsbasis für Verhaltensweisen zu erstellen. Darauf aufbauend kann sie die Aktivitäten von Benutzern und Entitäten in Echtzeit mit der Vergleichsbasis abgleichen und bei Erkennung anomaler Aktivitäten einen Alarm auslösen.
UEBA-Tools erkennen Bedrohungen, die von herkömmlichen regelbasierten Systemen normalerweise übersehen würden. Da eine UEBA-Lösung den Fokus auf das Verhalten legt, kann sie sogar interne Bedrohungen erkennen. Nehmen wir beispielsweise ein Szenario, in dem ein Angreifer Zugang zu den Anmeldeinformationen eines legitimen Benutzers erlangt und eine große Datenmenge herunterlädt. UEBA vergleicht diese Aktion mit den typischen Aktionen des Benutzers und kennzeichnet sie als abnormal. Herkömmliche regelbasierte Tools würden solche Anomalien nicht erkennen, da die Aktionen von einem legitimen Benutzerkonto ausgehen.
Was ist ein SIEM-System?
SIEM kombiniert Sicherheitsinformationsmanagement und Sicherheitsereignismanagement. Eine SIEM-Lösung sammelt Protokolle aus der IT-Infrastruktur des Unternehmens, einschließlich lokaler und Cloud-Umgebungen. Ein SIEM-System konsolidiert die Protokolle und führt in Echtzeit Bedrohungserkennungsalgorithmen auf Basis vordefinierter Regeln aus. Es nutzt fortschrittliche Analysemethoden, um versteckte Muster und Korrelationen zu finden und zu identifizieren, die auf Sicherheitsvorfälle hinweisen könnten.
Obwohl der Schwerpunkt von SIEM auf der Protokollerfassung und -analyse liegt, spielt es auch eine wichtige Rolle bei der Compliance und bei forensischen Prüfungen. Da Protokolle zentral in einem SIEM-System gespeichert werden, verfolgen SIEM-Tools die Reaktionen auf Sicherheitsereignisse. Die meisten SIEM-Tools bieten außerdem Unterstützung bei der Einhaltung regulatorischer Rahmenbedingungen – wie PCI-DSS und HIPAA – und tragen zur Verbesserung von Kennzahlen wie der mittleren Erkennungszeit (Mean Time to Detect, MTTD) und der mittleren Reaktionszeit (Mean Time to Respond, MTTR) bei.
SIEM-Lösungen führen diese Aktionen durch, indem sie typische Prozesse automatisieren, die an der Analyse von Protokollen und Sicherheitsvorfällen beteiligt sind.
Der umfassende Leitfaden zu Next‑Gen SIEM
Laden Sie diesen Leitfaden herunter und erfahren Sie mehr über die Entwicklung von SIEM und darüber, warum der Wechsel von älterer zu moderner SIEM-Technologie entscheidend für das SOC der Zukunft ist.
Laden Sie den vollständigen Leitfaden zu NG-SIEM herunterVergleich von UEBA und SIEM
Obwohl UEBA und SIEM eine wichtige Rolle für die allgemeine Cybersicherheit eines Unternehmens spielen können, weisen sie einige deutliche Unterschiede auf.
| Schwerpunkt der Überwachung | UEBA konzentriert sich auf das Verhalten von Benutzern und Entitäten. UEBA-Tools gruppieren Aktivitäten zunächst auf Benutzer- oder Entitätsbasis und suchen dann nach Verhaltensabweichungen. | Eine SIEM-Lösung aggregiert Ereignisprotokolle und Daten von Sicherheitsgeräten, um schädliche Ereignismuster zu erkennen. Es gibt keinen spezifischen Fokus auf Benutzer oder Entitäten. |
| Erkennungsmethode | UEBA-Systeme erkennen Bedrohungen, indem sie eine Vergleichsbasis für erwartete Verhaltensweisen erstellen und anschließend Verhaltensanalysen sowie Anomalieerkennungen durchführen. | Die meisten SIEM-Systeme stützen sich auf vordefinierte Korrelationsregeln und festgelegte Algorithmen, um mögliche Bedrohungsmuster zu kennzeichnen, anstatt sich auf eine Vergleichsbasis zu stützen. |
| Datenquellen | UEBA analysiert Benutzer- und Entitätsdaten – einschließlich strukturierter und unstrukturierter Daten – auf der Grundlage ihres Verhaltens. Die Datenquelle enthält oft Informationen, die im analysierten Aktivitätsprotokoll nicht vorhanden sind. | SIEM arbeitet mit strukturierten Protokollen von Netzwerk-Firewalls und anderen Sicherheitsgeräten. |
| Datenspeicherung | UEBA vergleicht Echtzeitdaten mit einer festgelegten Vergleichsbasis und speichert Verhaltensprotokolle für einen kürzeren Zeitraum, während die Vergleichsbasis festgelegt wird. | Die meisten SIEM-Systeme unterstützen die Überwachung der Compliance und forensische Audits, was bedeutet, dass Protokolle auf der Grundlage der konfigurierten Archivierungsrichtlinie über längere Zeiträume gespeichert werden. |
Komplementäre Rollen
Trotz ihrer Unterschiede spielen UEBA und SIEM innerhalb einer umfassenderen Sicherheitsstrategie auch komplementäre Rollen.
Ganzheitlicher Sicherheitsansatz
SIEM und UEBA verbessern sich gegenseitig in ihren Funktionen zur Bedrohungserkennung und -warnung. Während SIEM durch Protokolle einen umfassenden Überblick über Ereignisdaten bietet, sorgt UEBA für mehr Tiefe, indem es benutzer- und entitätsspezifisches Verhalten im Zeitverlauf analysiert. Die Fähigkeit von UEBA, bisher unbekannte Bedrohungselemente zu erkennen, macht es selbst gegen interne Bedrohungsvektoren wirksam.
Einige moderne SIEM-Tools erweitern ihren Funktionsumfang um UEBA-Funktionalität, da diese einen Mehrwert bietet. Eine Sicherheitsplattform, die sowohl SIEM als auch UEBA umfasst, ist die ideale Waffe gegen Sicherheitsbedrohungen.
Verbesserte Bedrohungserkennung
Durch die Kombination von SIEM und UEBA können Unternehmen Bedrohungen erkennen, einschließlich verdächtiger Aktivitäten von Insidern. SIEM zeichnet sich durch die Erkennung bekannter Bedrohungen auf der Grundlage vordefinierter Regeln aus, und UEBA spürt verdeckte, ausgeklügelte Bedrohungen auf, die möglicherweise noch nicht bekannt sind. UEBA ist dort hilfreich, wo herkömmliche Regeln möglicherweise nicht anwendbar sind, da es nicht nach spezifischen Mustern sucht. Vielmehr sucht UEBA nach Verhaltensweisen, die von der etablierten Vergleichsbasis abweichen.
Integrieren Sie UEBA und SIEM für umfassenden Schutz
SIEM und UEBA decken unterschiedliche Aspekte der Cybersicherheit ab, und jedes dieser Systeme kann einen erheblichen Mehrwert für eine umfassendere Sicherheitsstrategie bieten. Während sich SIEM auf strukturierte Protokolle konzentriert, die systemweit erfasst werden, analysiert UEBA Benutzer- und Entitätsaktivitäten, um anomales Verhalten zu erkennen.
Ein praktischer Ansatz zur Stärkung der Sicherheit Ihres Unternehmens besteht darin, SIEM und UEBA im Rahmen einer klar definierten Strategie zu integrieren. Als umfassende Cybersicherheitsplattform bietet die CrowdStrike Falcon®-Plattform eine Reihe von Tools, einschließlich UEBA und SIEM, um sicherzustellen, dass Ihr Unternehmen immer den Überblick über potenzielle Sicherheitsbedrohungen hat.
Für Verhaltensanalysen und die Erkennung von Anomalien setzen viele Unternehmen auf CrowdStrike Falcon® Identity Protection. Für ML-basierte Threat Intelligence und KI-native Angriffsindikatoren (IOAs), die die Effektivität des gesamten Sicherheitspakets optimieren, können Unternehmen CrowdStrike Falcon® Adversary Intelligence nutzen. Unternehmen, die eine umfassende, leistungsstarke SIEM-Lösung benötigen, können sich für CrowdStrike Falcon® Next-Gen SIEM entscheiden, das branchenführende Erkennung, Untersuchung und Reaktion für alle Daten bietet.
Paola Miranda ist Senior Manager of Product Marketing bei CrowdStrike und in erster Linie für Falcon Fusion verantwortlich. Bevor sie zu CrowdStrike kam, leitete sie die Produktmarketingteams bei IBM Security und Devo für Lösungen aus dem Bereich Bedrohungsanalyse, SIEM und SOAR. Sie hat einen BS in Marketing von der UNCG und einen MBA von der Duke University.
