SIEM Use Case was ist das?

Verschiedene Arten von Cyber-Angriffen im Unternehmen erkennen können und zeitnah erkennen, welche ungewöhnlichen Aktivitäten im Unternehmen passieren. Genau das erreicht man mit SIEM Use Cases.
Was das ist und wie Sie die passenden SIEM Use Cases für Ihr Unternehmen wählen, genau das zeigt Julia Jaeger in diesem Video.

Juli 8, 2021 by Julia Jaeger

SIEM Use Case was sind das?

Verschiedene Arten von Cyber-Angriffen im Unternehmen erkennen können und zeitnah erkennen, welche ungewöhnlichen Aktivitäten im Unternehmen passieren. Genau das erreicht man mit SIEM Use Cases.

Was das ist und wie Sie die passenden SIEM Use Cases für Ihr Unternehmen wählen, genau das zeige ich in diesem Video.

Damit man Cyber-Angriffe erkennen kann, muss man sehen, was in der IT-Infrastruktur passiert. Hierzu ist es wichtig zu wissen, welche Komponenten sich überhaupt im eigenen Firmennetzwerk befinden. Neben klassischen Netzwerkkomponenten wie Rountern, Gateways und Switches sollte man auch in Erfahrung bringen, über welcher sicherheitsrelevanten IT-Assets das Unternehmen verfügt. Wo befinden sich beispielsweise Firewalls, IDS/IPS-Systeme oder Anti-Viren Scanner? Gibt es Scanner, die nach Schwachstellen suchen? Hat das Unternehmen für die erlaubte Software spezielle Whitelistig Lösungen implementiert? All diese Fragen sollten vorab geklärt werden, damit man sich ein umfassendes Bild der IT-Infrastruktur machen kann.

Wenn man weiß, welche IT-Assets man hat, fällt es auch leichter herauszufinden, welche IT-Assets nicht in das Unternehmen gehören.

Nachdem wir nun wissen, wie die IT-Infrastruktur im Unternehmen aufgebaut ist, sollte als nächstes die Frage beantwortet werden, wie wir Cyber-Angriffe erkennen können. Hat sich das Unternehmen für die Einführung einer zentralen SIEM-Lösung entschieden, so können SIEM Use Cases bei der Erkennung von Angriffen oder ungewöhnlichem Verhalten helfen.

SIEM Use Case: Unter einem SIEM Use Case verstehen wir ein bestimmtes Szenario, welches wir mit einem SIEM beobachten wollen. Das Szenario beschreibt hierbei ein ungewöhnliches oder auffälliges Verhalten, welches näher analysiert werden sollte, sobald es auftritt. Tritt ein solches Szenario auf, so wird ein Alarm erzeugt, der analysiert werden sollte. Ein Beispiel wäre hier das Hinzufügen von neuen Benutzern in eine Admin-Gruppe oder die Verwendung eines Ports, der nicht durch einen Business Service benutzt wird. Solche Aktivitäten sind ungewöhnlich und sollten fast nie auftreten. Wenn sie dennoch vorkommen, dann muss hier geprüft werden, ob eine legitime Handlung vorliegt, oder ob es Hinweise auf einem Cyber-Angriff gibt.

Welche SIEM Use Cases? Als nächstes stellt sich die Frage, welche SIEM Use Cases brauchen wir in unserem Unternehmen? Es existiert eine große Auswahl an öffentlich verfügbaren SIEM Use Cases. Hier wären zum Beispiel die MITRE ATT&CK Use Cases zu nennen. Das sind allerdings auch weit über 200 Stück.

Verschiedene Arten von Cyber-Angriffen im Unternehmen erkennen können und zeitnah erkennen, welche ungewöhnlichen Aktivitäten im Unternehmen passieren. Genau das erreicht man mit SIEM Use Cases. Was das ist und wie Sie die passenden SIEM Use Cases für Ihr Unternehmen wählen, genau das zeige ich in diesem Video.

SIEM Use Cases

Alle verfügbaren SIEM Use Cases zu implementieren macht keinen Sinn, da diese einfach nicht wirtschaftlich wäre. Man würde auch gar nicht die notwendigen Ressourcen bekommen, um diese Aufwände handhaben zu können. Wenn man also nicht alle SIEM Use Cases einführen kann, muss man einen Weg finden, die wichtigsten SIEM Use Cases für das Unternehmen zu finden. Hierfür gibt es mehrere Möglichkeiten. Eine Möglichkeit ist risikobasiert vorzugehen. Das IT-Risikomanagement analysiert die Angriffsvektoren, denen das Unternehmen ausgesetzt ist. Aus dieser Analyse ergeben sich Gefahren und das Schadenspotenzial, welches beim Eintreten der Gefahren entsteht. Daraus leitet sich das zu erwartende Risiko für das jeweils identifizierte Angriffsszenario ab.

Auf Basis der identifizierten Risiken können nun die SIEM Use Cases ausgewählt werden. Die SIEM Use Cases orientieren sich dabei an den größten Risiken. Also den Risiken, welche den größten Schaden verursachen und gleichzeitig auch die größte Wahrscheinlichkeit haben, dass sie eintreten.

Mit dieser Vorgehensweise wählt man die SIEM Use Cases, die am meisten zur Reduktion der Risiken beitragen. Durch dieses Vorgehen fällt es auch leichter die Aufwände für die Umsetzung von SIEM Use Cases zu rechtfertigen, denn man kann zeigen, dass die Maßnahmen direkt zur Reduktion von Risiken beitragen.

Nun hat nicht jedes Unternehmen ein IT-Risikomanagement, welches so eindeutige Informationen liefern kann, dass diese zur Auswahl von SIEM Use Cases beitragen. Manchmal ist vielleicht nicht einmal ein IT-Risikomanagement vorhanden. In diesem Fall ist man auf die Verwendung von Best-Practices und Meinungen von Experten angewiesen.

Zunächst einmal ist es wichtig die IT-Umgebung des Unternehmens zu kennen. Welche Schnittstellen gibt es zu Dienstleistern? Welche Cloud-Dienste werden verwendet? Wie sind die Netzwerkzonen organisiert? Was befindet sich in der DMZ? All diese Fragen sollten beantwortet werden, um herausfinden zu können, welche SIEM Use Cases für das Unternehmen einen guten Schutz bieten.

Auf diese zwei Arten lassen sich also aus der großen Menge an SIEM Use Cases die Use Cases wählen, die den größten Nutzen bieten und damit auch wirtschaftlich vertretbar sind.

Wie geht es jetzt weiter? Nachdem wir wissen, welche SIEM Use Cases Sinn machen und diese Implementiert haben, müssen die Use Cases getunt werden. Das bedeutet, dass Fehlalarme, soweit es geht, reduziert werden. Fehlalarme treten auf, wenn Use Cases Alarme produzieren, es aber gar kein Sicherheitskritisches Ereignis vorliegt. Diese Fehlalarme sind teuer. Warum? Ganz einfach, die Security Analysten wissen vor der Analyse eines Alarms nicht, ob es sich um einen echten Sicherheitsvorfall oder nur um einen Fehlalarm handelt. Daher steigt durch Fehlalarme die Menge an Alarmen, die durch Security Analysten zu bearbeiten sind. Die Bearbeitung und Analyse kostet Zeit und bindet somit wertvolle Ressource, die eh schon zu knapp vorhanden sind. Außerdem erhöhen Fehlalarme auch das Sicherheitsrisiko. Durch ein großes Volumen an Fehlalarmen steigt die Wahrscheinlichkeit, dass echte Sicherheitsvorfälle nicht oder erst verspätet bearbeitet werden.

Daher ist es wichtig die SIEM Use Cases ausreichend zu testen und kontinuierlich zu verbessern und die Quote der Fehlalarme zu reduzieren. Hierfür gibt es keine allgemeine Formel. Jeder SIEM Use Case muss an die IT-Umgebung des Unternehmens angepasst werden, damit die Security Analysten sich im Idealfall fast ausschließlich mit echten Sicherheitsvorfällen beschäftigen können.

Wie reagiert man nun auf Alarme? Hier kommt das Security Incident Management und Incident Response ins Spiel. Wie das funktioniert, dazu verlinke ich hier ein anderes Video. Incident Response was ist das? (Incident Response Management leicht erklärt)

Das Security Incident Management regelt, wie mit Sicherheitsvorfällen umgegangen werden muss. Es beschriebt die Abläufe, die von der Erkennung eines Sicherheitsvorfalls bis zu dessen vollständiger Beseitigung. Es regelt außerdem, welche Rollen und Personen die entsprechenden Tätigkeiten durchführen müssen und welche Personen mit welchen Informationen versorgt werden müssen.

Fassen wir das ganze nochmal zusammen. SIEM Use Cases sind wichtig, um Cyber-Angriffe frühzeitig zu erkennen und angemessen darauf reagieren zu können. Die Auswahl der passenden SIEM Use Cases ist wichtig, um das Security Monitoring wirtschaftlich zu betreiben. Was Security Monitoring ist, dazu verlinke ich hier ein anderes Video.

Die Erkennung von Cyber-Angriffen ist ein wichtiger Teil der IT-Security im Unternehmen. Nachdem ein Sicherheitsvorfall erkannt wurde, muss er durch das Security Incident Management behandelt werden, damit der Geschäftsbetrieb ohne Unterbrechung fortgesetzt werden kann.

Jetzt gebe ich noch einen Bonus-Tipp, auf den man bei der Umsetzung von SIEM Use Cases auf jeden Fall achten muss. SIEM Use Cases können einen starken Einfluss auf die Sichtbarkeit im Unternehmen haben. Das dient zur Erkennung von Cyber-Angriffen, aber könnte auch für die Überwachung von Mitarbeitern eingesetzt werden.

Daher ist es wichtig den Betriebsrat und den Datenschutz bei der Planung und der Umsetzung der SIEM Use Cases frühzeitig mit einzubinden. Wenn der Betriebsrat das Gefühl hat, dass die geplanten Maßnahmen zur Überwachung von Mitarbeitern eingesetzt werden können, dann wird er ganz schnell dafür sorgen, dass es kein Security Monitoring gibt. Um das zu vermeiden, muss deutlich gemacht werden, was überwacht werden soll. Es muss klar sein, wann eine Überwachung durchgeführt wird und wer unter welchen Voraussetzungen dazu berechtigt ist.

Wenn Ihn dieses Video gefallen hat, dann hinterlassen Sie einen like und abonnieren Sie meinen Kanal: Dr. Michael Gorski – IT-Sicherheit

Author: Julia Jaeger

Schreibe einen Kommentar