SIEM as a Service

Keinen Beitrag
mehr verpassen?

Keinen Beitrag mehr verpassen?

15. März 2023 Oliver Oldach Experten Beiträge

Security Information and Event Management (SIEM) ist ein wichtiger Bestandteil moderner Sicherheitsarchitekturen. Die Implementierung und der Betrieb von SIEM-Systemen stellen IT-Abteilungen aber oft vor große Herausforderungen. Um SIEM für Unternehmen einfacher nutzbar zu machen, hat enthus das Angebot SIEM as a Service entwickelt. Wie der Service funktioniert – und welche Vorteile er bietet, zeigt Oliver Oldach, Head of Cyber Defense & Analytics bei enthus.

Warum sind SIEM-Systeme für Unternehmen heute so wichtig?

Die Bedrohungslage im Bereich IT-Security hat sich in den letzten Jahren erheblich verschärft. Nicht nur die Anzahl der Attacken ist enorm gestiegen – Angreifer gehen auch immer professioneller vor und hinterlassen nur noch sehr subtile Spuren im Netzwerk, die von Administratoren im Tagesgeschäft häufig übersehen werden. Ziel der Angreifer ist, möglichst lange unentdeckt zu bleiben, um eine große Anzahl von Systemen unter Kontrolle bringen zu können.

SIEM-Systeme helfen dabei, den Zeitraum vom Eindringen eines Angreifers bis zu seiner Enttarnung deutlich zu verkürzen. Um dies zu erreichen, werden Logdaten von unterschiedlichen Systemen wie Servern, Endpoints, Anwendungen, Firewalls und anderen IT-Komponenten aggregiert und ausgewertet. Die SIEM-Lösung visualisiert die Ergebnisse auf übersichtlichen Dashboards und benachrichtigt die Verantwortlichen, sobald Anomalien auftauchen. So gewinnen Unternehmen wertvolle Zeit, um schnell auf Angriffe zu reagieren und den Schaden möglichst gering zu halten.

Was sind die Herausforderungen beim Einsatz von SIEM-Systemen?

SIEM-Systeme können eine Vielzahl von unterschiedlichen Datenquellen und Markern überwachen. Unternehmen wissen zunächst jedoch oft nicht, welche dieser Tests für sie wirklich relevant sind. So übersieht das IT-Team möglicherweise wichtige Informationen, weil es mit der Auswertung überfordert ist – oder es aktiviert Funktionen, die keinen echten Nutzen bieten.

Durch nicht bedarfsgerecht konfigurierte SIEM-Lösungen können auch die Kosten sehr schnell aus dem Ruder laufen. Denn je nach Bezahlmodell des Anbieters werden SIEM-Lösungen zum Beispiel nach Datenvolumen, angezeigten Ereignissen oder überwachten Systemen abgerechnet. Unternehmen, die den vollen Umfang einer SIEM-Lösung für ihre gesamte IT-Infrastruktur nutzen, landen schnell bei mittleren sechsstelligen Kosten pro Jahr.

Was bietet enthus mit SIEM as a Service?

Um Unternehmen den Einstieg in das Thema SIEM zu erleichtern, haben wir das Angebot SIEM as a Service entwickelt. Wir nutzen dafür eine der leistungsfähigsten Plattformen am Markt – implementieren für den Kunden aber nur die Use Cases, die für ihn wirklich sinnvoll sind. Im ersten Schritt richten wir dafür einen zentralen Log-Server ein, auf dem die Daten der verschiedenen Systeme zusammenlaufen und bereits vorgefiltert werden. Nur die relevanten Daten werden dann an das SIEM-System übergeben und von diesem überwacht. Mit diesem Ansatz können wir die Kosten im Vergleich zu einer selbstbetriebenen SIEM-Lösung um bis zu 90 Prozent reduzieren.

Welche Leistungen umfasst SIEM as a Service?

Unser Service umfasst die Implementierung und den Betrieb der SIEM-Lösung und des zentralen Log-Servers in der IT-Umgebung des Kunden. Auf Wunsch gibt es auch die Option, die Komponenten in der Private Cloud von enthus zu betreiben. Im Basis-Paket von SIEM as a Service sind bereits die wichtigsten Use Cases für die Überwachung der Infrastruktur enthalten. Diese orientieren sich an den Best Practices des enthus Security-Teams und reduzieren den Aufwand für den Kunden auf ein Minimum.

Auf Basis des Services unterstützen wir bei Bedarf sehr flexibel die IT des Unternehmens bei der forensischen Untersuchung und Bewertung des Risikos von Anomalien. Darüber hinaus können weitere kundenindividuelle Anpassungen und Leistungen beauftragt werden, die über den Umfang des Basispakets hinausgehen. Auch die Integration mit einem Security Operation Center (SOC) ist möglich.

Ein wichtiges Detail ist, dass alle Komponenten des SIEM as a Service den offenen Standards von Splunk entsprechen und nahtlos zu einem umfassendem „Splunk Enterprise Security“ System erweitert werden können. Ein Unternehmen kann also klein anfangen und das System bei gestiegenen Anforderungen problemlos erweitern.

Wie lange dauert die Implementierung von SIEM as a Service?

Wir veranschlagen für die Implementierung und initiale Konfiguration etwa drei Wochen. In dieser Zeit reduzieren wir vor allem das „Grundrauschen“ und filtern falsch-positive Alarme und überflüssige Benachrichtigungen heraus. So können sich Kunden auf die wirklich wichtigen Warnmeldungen konzentrieren.

Ursache für Fehlalarme sind oft falsch konfigurierte Systeme des Kunden. Diese Fehler werden durch die SIEM-Einführung oft zuerst aufgedeckt und können dann sofort korrigiert werden. So trägt bereits die Implementierung der Lösung zu einer Erhöhung der Sicherheit und Stabilität der Infrastruktur bei.

In jedem Fall sparen Unternehmen durch unseren Service und die Unterstützung unserer Security-Experten sehr viel Zeit. Unternehmen, die eine SIEM-Lösung in Eigenregie implementieren, benötigen oft mehr als sechs Monate, bis sie vernünftige Ergebnisse erhalten.

Und was passiert, wenn die SIEM-Lösung tatsächlich einen Angriff entdeckt?

Wir geben unserem Kunden mit unserem Service die Werkzeuge an die Hand, um im Ernstfall sehr schnell reagieren zu können. Über das Dashboard sehen die Verantwortlichen beispielsweise sofort, welche Systeme möglicherweise betroffen sind. Die Bewertung der Situation muss dann der Kunde vornehmen. In der Regel beurteilt die Geschäftsführung zusammen mit anderen Abteilungen die möglichen Risiken für die Wertschöpfungskette und entscheidet, welche Systeme abgeschaltet werden sollen. Mit dem zentralen Log-Server stehen dem Kunden dann auch alle Informationen zur Verfügung, um den Angriff forensisch zu untersuchen und gerichtlich verwertbare Beweise zu sichern.