SIEM-Integration I WatchGuard Blog

Für Sicherheitsanalysten stellt die alltägliche Flut an Informationen eine besondere Herausforderung dar. Ohne die Unterstützung durch moderne Technologien zur Auswertung laufen sie angesichts der schieren Masse an Daten Gefahr, Sicherheitswarnungen mit höherer Priorität nicht zu bemerken oder verzögert zu bearbeiten. Das kann sich gerade bei akuten Vorfällen fatal auswirken, wenn beispielsweise bei einer Ransomware-Attacke Maßnahmen zum Schutz bzw. zur Bereinigung zu spät ergriffen werden.

Schreckensszenarien wie diesen lässt sich mit einem integrierten SIEM (Security Information and Event Management)-System ein wirksames Instrument entgegensetzen. Denn es räumt sämtlichen kritischen Warnungen Vorrang vor allen anderen eingehenden Informationen ein – und das in Echtzeit. Dazu werden im Vorfeld die relevanten Informationsquellen und Protokolle im Unternehmen identifiziert und von der IT-Abteilung nach festgelegten Kriterien und Bedürfnissen ins SIEM-System integriert. Anschließend lassen sich jegliche Ereignisse entsprechend ihrer Bedeutung kategorisieren und Bedrohungswarnungen kontextualisieren.

Die wichtigsten Vorteile eines SIEM-Systems für Unternehmen sind:

Es stellt sicher, dass die Warnungen stets an die richtigen Personen gehen. Die IT-Verantwortlichen können umgehend kontextbezogene Untersuchungen durchführen und Gegenmaßnahmen ergreifen. Dies spart wertvolle Zeit, da keine Daten aus vielen verschiedenen Quellen zusammengesucht und interpretiert werden müssen.
Ein SIEM-System sorgt im Unternehmen auf breiter Front für Kostensenkungen, sowohl in Bezug auf die Infrastruktur als auch durch die neu hinzugewonnene Transparenz. Denn der vollständige Blick auf das Netzwerk legt die Nutzung sowie den jeweiligen Ressourcenverbrauch durch Systeme sowie Anwender offen. Ein SIEM-System analysiert dazu unter anderem die von Rechnern genutzte Bandbreite. Steigt diese über einen bestimmten Schwellenwert, wird eine Ereigniswarnung generiert, die dann von der IT-Abteilung überprüft werden kann. SIEM ermöglicht in Folge eine bessere Verwaltung der Sicherheitsressourcen, was sich in Kosteneinsparungen niederschlägt.
Über ein SIEM-System lassen sich Cybersicherheitskonfigurationen wiederherstellen, falls diese versehentlich (oder mit Absicht) geändert wurden. Im Rahmen der Überwachung können Konfigurationsänderungen automatisch erkannt und eine Ereignismeldung mit hoher Priorität erzeugt werden. Der Sicherheitsanalyst kann diese überprüfen und die vorherige Konfiguration wiederherstellen, falls die neue Version eine potenzielle Gefahr für das Unternehmen darstellt.
Selbst alltägliche Wartungsarbeiten in der IT-Infrastruktur, von denen ebenfalls ein potenzielles Risiko ausgeht, bleiben einem SIEM-System nicht verborgen. Administratoren können dazu eine Funktion integrieren, die vor jeder Änderung ein Ereignis im Wartungsprotokoll für das Unternehmen sowie in Windows erzeugt. Falls der Vorgang böswillig erfolgte, kann die Anpassung nach einer Überprüfung bestätigt oder abgelehnt werden.
Ein SIEM-System schützt vor Cyberangriffen, indem es Ereignisse dahingehend überprüft, ob es sich um echte Attacken oder Fehlalarme handelt. Egal ob Angriffe ohne Malware (bei denen auf legitime Tools des Systems selbst zurückgegriffen wird), DDoS-Ereignisse oder Advanced Persistent Threats (APT): Jede Auffälligkeit wird genau durchleuchtet.

Bei Malware-Verdacht reagieren die üblichen Sicherheitsprotokolle sowohl bei echten Angriffen als auch im Zuge eines möglichen Fehlalarms. Um hier den Überblick zu behalten und für die nötige Klarheit zu sorgen, setzen SIEM-Lösungen auf Ereigniskorrelation. Auf diese Weise lässt sich genau bestimmen, ob es sich tatsächlich um einen Malware-Angriff handelt oder nicht. Zudem werden die potenziellen Zugangspunkte für den Angriff erkannt.

Bei DDoS-Angriffen ist das SIEM-System in der Lage, die Anbahnung eines solchen Ereignisses frühzeitig aus den Web-Traffic-Protokollen herauszulesen, diesem Vorgang eine hohe Priorität einzuräumen und ihn zur Untersuchung an einen Analysten weiterzuleiten, bevor es zu einer Verlangsamung oder einem Totalausfall der IT-Systeme kommt.

Es ist nicht selten, dass ein APT aufgrund seiner Komplexität keine Warnungen auslöst oder gar als Fehlalarm eingestuft wird. In dem Fall punktet eine SIEM-Lösung, indem sämtliche damit verbundenen anormalen Verhaltensmuster aufgezeigt und Sicherheitsanalysten darauf hingewiesen werden.

Angesichts der Bedeutung eines SIEM-Systems für jedes Unternehmen hat WatchGuard sein SIEMFeeder-Modul in die EDR- und EDPR-Lösungen zur Endpunktsicherheit integriert. Dort werden permanent Statusmeldungen von IT-Systemen gesammelt, korreliert und in nützliche Informationen für Unternehmen sowie IT-Administratoren umgewandelt.