Mit SIEM-Lösungen Gefahren einen Schritt voraus – Vier Schritte für die Implementierung eines SIEM-Systems

Das Wissen um zunehmend raffinierte Angriffe, öffentlich diskutierte Hacking-Vorfälle, Spionageaffären sowie die immer höheren Anforderungen von Seiten der Compliance führt in Unternehmen dazu, zusätzliche Sicherheitssysteme einzusetzen, um die Daten zu schützen und den Betrieb zu sichern. Doch daraus ergeben sich neue Probleme: viele einzelne Systeme müssen nicht nur zeit- und kostenintensiv administriert werden, sondern liefern unterschiedliche Analysen und Reports, die kontinuierlich ausgewertet werden sollten. Die Lösung ist ein Security Information and Event (SIEM)-System, das alle Informationen der Sicherheitssysteme auf einer Plattform konsolidiert und eine ganz neue Qualität an Reportings und Analysen für die Unternehmenssicherheit liefert.

Um eine SIEM-Lösung im Unternehmen einzusetzen, müssen vier wichtige Schritte beachtet werden:

  • Erkennen der Notwendigkeit

Eine gute Planung die halbe Miete. Ist die Notwendigkeit erkannt ein SIEM-System einzuführen, haben bereits unterschiedliche Personen oder Abteilungen ihren Bedarf ausgesprochen und sich in der Regel bereits vorab informiert, was ein SIEM- System leisten kann.

  • Feststellen der involvierten Abteilungen und Abgleich mit dem Lieferanten

Nach dem der Bedarf festgestellt wurde, findet der Informationsaustausch mit anderen Abteilungen statt. Hierbei werden Anforderungen an die Lösung klar abgeglichen. Eine schriftliche Fixierung der Funktionalitäten und Kapazitäten ist nötig, damit ein gemeinsames Verständnis der Bedürfnisse entsteht und ein zentrales Arbeitsdokument vorliegt. Im Anschluss findet dann ein Abgleich der Anforderungen mit den Systemfunktionen sowie Tests statt.

  • Rechtliche Konsequenzen und Pflichten

Je nach Unternehmen und nach Art der Daten die erhoben werden, ergeben sich rechtliche Verpflichtungen, die betrachtet werden müssen. Es ist nicht immer möglich, ohne vorherige Rücksprache, z.B. mit der Rechtsabteilung oder dem Betriebsrat, personifizierte Daten zu speichern. Hier muss sich entweder auf Anonymisierung geeinigt oder Vertrauenspersonen bestimmt werden, die im berechtigten Falle Zugriff auf die relevanten Daten nach dem Vier-Augen-Prinzip erhalten.

  • Priorisierung für die Integration der Komponenten

Ist die Entscheidung zum Kauf gefallen, sollte sofort mit der Priorisierung begonnen werden. Eine Matrix zeigt auf, welche Komponenten in welcher Reihenfolge in das SIEM-System integriert werden. Für jede zu implementierende Komponente wird festgelegt, welche Meldungen in welchem Zusammenhang relevant sind. So könnte beispielsweises im Server-Bereich grundsätzlich immer beim Login eines hoch privilegierten Benutzers ein Alarm ausgelöst werden. Dieser Alarm kann betrachtet und mit eventuell vorhandenen Change-Requests abgeglichen werden. Ist der Change-Request nicht vorhanden, liegt die Vermutung nahe, dass es sich hierbei um einen Sicherheitsvorfall handelt. Gibt es einen Change-Request, kann der Alarm geschlossen werden.

Die SIEM-Lösung von McAfee ist in der Lage, als zentrales Instrument alle Events und Log-Dateien so zu konsolidieren, dass nicht nur einzelne Meldungen angezeigt, sondern Zusammenhänge intelligent ausgewertet werden. So ist beispielsweise eine Nachverfolgung bei Angriffsversuchen möglich. Sicherheitsadministratoren erhalten genaue Informationen über den Ursprung des Angriffs und vor allem, welche Systeme in Folge betroffen sind. Diese systemübergreifende Betrachtung ist die Basis für eine integrierte Sicherheit auf einem deutlich höheren Level als es Insellösungen je bieten könnten.

Weitere Informationen über die McAfee SIEM-Lösung stehen unter: http://www.mcafee.com/de/products/siem.

Quelle: McAfee