Unter Security Information and Event Management (SIEM) versteht man das zentrale Sammeln und Aus- werten von Log-Meldungen. Das Besondere dabei stellt die so genannte Korrelati- on dar – das „In-Verbindung-Setzen“ von mehreren Log-Meldungen aus unterschiedlichen Quellen mit dem Ziel, den Informationsgehalt durch die Ver- knüpfung von Daten deutlich zu erhöhen. Ein SIEM ist somit zentrales Werkzeug eines Security Operation Centers (SOC). Im Mittelpunkt eines SIEM stehen die für das Un- ternehmen und dessen Zielerreichung wichtigen Informationen und alle dafür notwendigen Systeme. Hierbei handelt es sich primär um Komponenten aus den folgenden Layern: Netzwerk Betriebssystem Middleware Applikation Ein zielorientiertes SIEM sollte dabei immer einen risikobasierten Ansatz verfolgen. www.tuv.com/informationssicherheit Security Information and Event Management (SIEM) Was ist ein SIEM und warum sollte man es betreiben? Ihre Vorteile: Erfüllung regulativer und vertraglicher Anforderungen / Compliance Nachweisbarkeit und Transparenz der Informationssicherheit gegenüber Dritten Unterstützung bei der Identifikation von Sicherheitsvorfällen Verkürzung der Reaktionszeit bei unerwünschten Zuständen hinsichtlich Suche, Troubleshooting und Forensik Reporting / Auswertungen über die operative Sicherheitslage Im Fokus steht die Information Bei mehreren Millionen Log-Meldungen pro Tag ist es kaum möglich, die Übersicht zu behalten. Unsere Log-Management- und SIEM-Lösungen unterstützen Sie, die sicherheitsrelevanten Informationen herauszufiltern und in den richtigen Kontext zu stellen.
2
Embed
Security Information and Event Management (SIEM)Unter Security Information and Event Management (SIEM) versteht man das zentrale Sammeln und Aus-werten von Log-Meldungen. Das Besondere
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Unter Security Information and Event Management (SIEM) versteht man das zentrale Sammeln und Aus-werten von Log-Meldungen.
Das Besondere dabei stellt die so genannte Korrelati-on dar – das „In-Verbindung-Setzen“ von mehreren Log-Meldungen aus unterschiedlichen Quellen mit dem Ziel, den Informationsgehalt durch die Ver-knüpfung von Daten deutlich zu erhöhen.
Ein SIEM ist somit zentrales Werkzeug eines Security Operation Centers (SOC).
Im Mittelpunkt eines SIEM stehen die für das Un-ternehmen und dessen Zielerreichung wichtigen Informationen und alle dafür notwendigen Systeme. Hierbei handelt es sich primär um Komponenten aus den folgenden Layern:
� Netzwerk
� Betriebssystem
� Middleware
� Applikation
Ein zielorientiertes SIEM sollte dabei immer einen risikobasierten Ansatz verfolgen.
www.tuv.com/informationssicherheit
Security Information and Event Management (SIEM)
Was ist ein SIEM und warum sollte man es betreiben?
Ihre Vorteile:
� Erfüllung regulativer und vertraglicher Anforderungen / Compliance
� Nachweisbarkeit und Transparenz der Informationssicherheit gegenüber Dritten
� Unterstützung bei der Identifikation von Sicherheitsvorfällen
� Verkürzung der Reaktionszeit bei unerwünschten Zuständen hinsichtlich Suche, Troubleshooting und Forensik
� Reporting / Auswertungen über die operative Sicherheitslage
Im Fokus steht die Information
Bei mehreren Millionen Log-Meldungen pro Tag ist es kaum möglich, die Übersicht zu behalten.
Unsere Log-Management- und SIEM-Lösungen unterstützen Sie, die sicherheitsrelevanten
Informationen herauszufiltern und in den richtigen Kontext zu stellen.
Wird ein gezielter Angriff (APT - Advanced Persistent Threat) auf das Unternehmensnetz durch eine ent-sprechende Sensorik erkannt und analysiert, können die Ergebnisse für eine weitere Schadensbegrenzung genutzt werden. Dazu müssen Erkennungsmerkmale des APT identifiziert werden (z.B. durch Informa-tionen aus einem Indicator-of-Compromise (IoC) wie dem verwendeten Command & Control-Server). Über ein SIEM lässt sich sehr schnell ermitteln, welche Clients bereits mit diesem maliziösen Ziel kommunizieren.
Verschmelzung Organisation und Technik
Oft sind organisatorische Hürden ähnlich komplex wie das Beherrschen der Technik. Durch das Arbeiten mit sensiblen und personenbezogenen Daten ist es notwendig, beispielsweise mit dem Betriebsrat sowie dem Datenschutzbeauftragten frühzeitig und eng zusammen zu arbeiten.
Basierend auf den Anforderungen aus der Steuerung der Informationssicherheit (Governance) werden Anforderungen an die Protokollierung der Systeme abgeleitet und in Form von Richtlinien manifestiert. Dies sorgt für Transparenz und liefert Vorgaben, die für den Einsatz eines SIEM unabdingbar sind.
Die Kopplung mit weiteren Bausteinen der Infor-mationssicherheit wie einer Governance, Risk- and Compliance-Lösung (GRC) ermöglicht die Umset-zung eines risikobasierten Ansatzes. In der Folge werden für das Unternehmen kritische Systeme schneller an das SIEM angeschlossen und konsequen-ter überwacht. Kombiniert mit Best Practices, welche aktuelle Bedrohungen adressieren, führt dies zu einem vollständigen SIEM.
Angemessenheit und Wirtschaftlichkeit
SIEM Projekte tendieren zu hoher Komplexität, da sie sowohl technisch als auch organisatorisch viele Schnittstellen im Unternehmen nutzen müssen. Ein klar strukturiertes und priorisiertes Vorgehen beim Aufbau eines SIEM ist dabei essenziell. Es empfiehlt sich mit einem überschaubaren Scope zu starten und diesen dann sukzessive zu erweitern. Gerne unter-stützen wir Sie dabei. Fragen Sie uns!
Korrelation bei Sicherheitsvorfällen
TÜV Rheinland Services
� Anforderungsmanagement und Tool-Auswahl
� Konzeption, Implementierung und Konfiguration verschiedenster SIEM Lösungen
� Prozessdesign und Richtlinienerstellung
� Integration von Standard- und Spezial-Log-Quellen
� Generierung von kundenspezifischem Content (insbesondere Regeln und Reports)
� Computer Security Incident Response-Team (CSIRT) – hochqualifizierte und schnelle Eingreiftruppe, die Cyber Attacken erkennt und wirksam begrenzt
� Konzeption/Architektur, Implementierung und Betrieb von