SIEM in der IT-Security und am Beispiel eines realen Angriffsszenarios

David Macamo  /  19.06.23  /  IT Security

 

Was ist ein SIEM? 

SIEM steht für “Security Information and Event Management”. Hierbei handelt es sich um ein Softwaresystem, dass sicherheitsrelevante Informationen der gesamten IT-Infrastruktur aggregiert und korrelieren kann. Das SIEM verarbeitet Sicherheitsdaten in Form von Logdateien aus verschiedensten Quellen (z. B. Firewall, Active Directory Server) und nutzt Algorithmen und Regeln, um bestimmte Ereignisse wie Bedrohungen und Angriffe zu erkennen. Es ist ein wichtiger Teil einer umfassenden Informationssicherheitsstrategie und hilft Organisationen und Unternehmen bei der effektiven Überwachung und Reaktion (Incident Response) auf Sicherheitsvorfälle. 

Das Angriffsszenario 

Ein mögliches Szenario ist, dass ein Unternehmen plötzlich von einem Kunden oder Geschäftspartner darüber informiert wird, dass sie vom Mailserver des Unternehmens eine große Menge an Phishing-Mails erhalten. 
Eine solche Meldung sollte ein SOC-Team alarmieren. Dieses sollte nun die forensische Sicherung und Eindämmung des Incidents auf den betroffenen Systemen vornehmen. In der auf die Incident Response folgenden Phase der Forensik wird analysiert, wie lange die eigenen Systeme bereits kompromittiert waren, wie der Angriff erfolgt ist und welche weiteren Systeme ggf. noch korrumpiert sind. Ebenfalls können Datenexfiltrationen analysiert werden.

Unterstützung durch SIEM 

Bei der Analyse kann ein SIEM-System helfen – durch das vorhalten von Daten aus der bestehenden Infrastruktur können diese nach bestimmten Mustern und Verhaltensweisen, die dem aktuellen Angriff zuzuordnen sind, durchsucht werden. 

Im SIEM kann z. B. nach Kommunikationen mit bekannten verdächtigen Internetadressen gesucht werden sowie nach Anmeldungen von Anwendern, um zum Beispiel Kennwortdiebstahl frühestmöglich zu erkennen. Hier bedient sich das SIEM der Protokolle, welche bereits erfasst wurden, wie die der Firewall, der Netzwerkswitches, den Windows-Ereignisprotokollen, der EDR-Lösung sowie die der Antiviren-Lösung. All diese Quellen nutzt das SIEM, um anhand von Vorgaben, welche CONSIST je nach Kunden in Form von sogenannten Usecases individuell einstellt, um jene sicherheitsrelevanten Ereignisse hervorzuheben, die genauer analysiert werden sollten.