Die Auswahl an möglichen SIEM Use Cases ist riesig. Ein Unternehmen muss daher genau wissen, welche SIEM Use Cases für die Bedrohungen des Unternehmens sinnvoll sind.
Unter einem SIEM Use Case verstehen wir ein bestimmtes Szenario, welches wir mit einem SIEM beobachten wollen. Das Szenario beschreibt hierbei ein ungewöhnliches oder auffälliges Verhalten, welches näher analysiert werden sollte, sobald es auftritt. Tritt ein solches Szenario auf, so wird ein Alarm erzeugt, der analysiert werden sollte. Ein Beispiel wäre hier das Hinzufügen von neuen Benutzern in eine Admin-Gruppe oder die Verwendung eines Ports, der nicht durch einen Business Service benutzt wird. Solche Aktivitäten sind ungewöhnlich und sollten fast nie auftreten. Wenn sie dennoch vorkommen, dann muss hier geprüft werden, ob eine legitime Handlung vorliegt, oder ob es Hinweise auf einem Cyber-Angriff gibt.
Zum Umfang des Service gehört die Konzeption, Planung und Steuerung des SIEM-Ausbau Projektes nach bestehenden Vorgaben und Zielen. Nach einer strukturierten Erhebung und Sammlung von Bedrohungen und Angriffsvektoren für das Unternehmen, werden sicherheitskritischen Ereignisse abgeleitet.
Anhand dieser werden Use Cases ausgewählt, welche die identifizierten Szenarien am besten abdecken.
Diese werden mit den bestehenden Use Cases abgeglichen, um mehrfache Abdeckungen zu vermeiden.
Nachdem die neu umzusetzenden Use Cases ausgewählt wurden, erstellen wir einen Umsetzungsplan, der die Umsetzung der Use Cases nach Risikohöhe priorisiert. Im Zuge der Umsetzung werden fehlende Event-Quellen an das SIEM angebunden. Die Umsetzung erfolgt mit enger Abstimmung mit den betroffenen Fachbereichen, dem Betriebsrat und ggf. dem Datenschutz.
Damit die durch Use Cases ausgelösten Alarme auch effizient und standardisiert abgearbeitet werden können, werden Runbooks erstellt. Die Runbooks dienen als Prozess für die L1-Analysten im SOC. Use Cases mit ähnlichen Prozessschritten werden hierbei in gleichen Runbooks zusammengefasst. Die Runbooks enthalten, neben konkreten Ablaufschritten auch Eskalationsstufen, zur Bearbeitung von aufgetretenen Incidents.
Gerne beantworten wir Ihre Fragen und erstellen Ihnen ein individuelles Angebot.
Ob CISO, CIO, IT-Leiter, IT-Manager, IT-Sicherheit unsere Experten haben langjährige Erfahrungen aus der Praxis und sorgen dafür, dass Ihr Unternehmen die für Sie passende Lösung erhält.
Unsere Experten beraten Sie gerne zu weiterführenden Fragen und finden die passende Lösung für die Sicherheit Ihres Unternehmen.
Copyright © 2023 Dr. Michael Gorski Consulting GmbH | All Rights Reserved.
