Embed Size (px)
Citation preview
LEITFADEN FÜR KÄUFER
!!
!!
!
!
DER LEITFADEN FÜR SIEM-KÄUFERDas Wer, Was, Wo, Wann und Warum rund um den Kauf einer analysegestützten Sicherheitslösung
2Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
1. Was ist eine SIEM-Lösung? 3a) Die Entwicklung von SIEM 4
b) Herkömmliche SIEMs sind in der Vergangenheit verhaftet 4
c) Die Alternative: eine analysegestützte SIEM-Lösung 5
d) Verlagern der SIEM-Lösung in die Cloud 6
e) SIEM-Anwendungsfälle 6
f) Brauchen Sie wirklich eine SIEM-Lösung? 7
2. Die SIEM-Kernfunktionen 8a) Echtzeit-Monitoring 9
Autodesk spart Zeit und Betriebskosten mit Splunk auf AWS
b) Reaktion bei Incidents 10
c) Benutzer-Monitoring 11
d) Bedrohungsinformationen 12 Stadt LA integriert Austausch von Echtzeit-Sicherheitsinformationen
e) Komplexe Analysen 13 Innovative, cloud-basierte SIEM-Verteilung liefert Equinix zuverlässige Security Intelligence
f) Erkennung komplexer Bedrohungen 14 SAIC profitiert durch Transparenz und Bedrohungserkennung
3. Die neun technischen Fähigkeiten moderner SIEM-Lösungen 15a) Splunk als SIEM 15
i. Erfassen von Logs und Events 16
ii. Echtzeit-Anwendung von Korrelationsregeln 16
iii. Echtzeit-Anwendung komplexer Analysen und Machine Learning 16
iv. Langfristige historische Analysen und Machine Learning 16
v. Langfristige Event-Speicherung 16
vi. Suchen und Berichte zu normalisierten Daten 17
vii. Suchen und Berichte zu Rohdaten 17
viii. Erfassen von Kontextdaten für weitere Korrelationen und Analysen 17
ix. Verwendung für nicht sicherheitsbezogene Anwendungsfälle 17
4. Und nun zu Splunk 18a) Splunk als SIEM 19
b) Splunk UBA 20
c) Der Splunk-ROI 20
i. InfoTeK und Splunk bieten eine Security Intelligence-Plattform für die öffentliche Hand 21
ii. Heartland Automotive schützt Ruf der Marke und sichert Daten mit Splunk-Plattform 21
iii. US-Regierungsbehörde auf Kabinettebene spart $ 900.000 an Kosten für Wartung älterer Software 22
d) Die Zukunft von SIEM 22
INHALT
3Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
Eine SIEM-Lösung (Security Information Event Management) ist wie ein Radarsystem,
das von Piloten und Fluglotsen verwendet wird. Ohne sie befindet sich das IT-Team
des Unternehmens im Blindflug. Sicherheitseinrichtungen und Systemsoftware
sind zwar gut darin, isolierte Angriffe und anomales Verhalten zu erfassen und
zu protokollieren, doch die ernsthaftesten modernen Bedrohungen sind verteilt,
arbeiten über mehrere Systeme hinweg zusammen und setzen fortschrittliche
Täuschungsmethoden ein, um eine Erkennung zu vermeiden. Ohne SIEM können
Angriffe Wurzeln fassen und sich zu katastrophalen Incidents auswachsen.
Die Bedeutung einer SIEM-Lösung für moderne Unternehmen wird durch die
zunehmende Komplexität von Angriffen und die Nutzung von Cloud-Services, die die
Angriffsfläche vergrößern, noch verstärkt.
In diesem Leitfaden für Käufer möchten wir Ihnen erklären, was eine SIEM-Lösung ist,
was sie nicht ist, wie sie sich entwickelt, was sie tut und wie Sie feststellen können, ob
dies die richtige Sicherheitslösung für Ihr Unternehmen ist.
Also, was ist eine SIEM-Lösung?
Gartner definiert SIEM "als eine Technologie, die die Erkennung von Bedrohungen und die Reaktion auf Sicherheits-Incidents durch die Echtzeiterfassung und historische Analyse von Sicherheits-Events aus einer Vielzahl von Event- und kontextbezogenen Datenquellen unterstützt."
1. WAS IST EINE SIEM-LÖSUNG?
!!
!!
!
!
4Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
Kann man das auch einfacher sagen? Kurz gesagt ist eine SIEM-Lösung eine Sicherheits-plattform, die Event-Logs einliest und eine Einzelsicht
auf diese Daten mit zusätzlichen Einblicken bietet.
Die Entwicklung von SIEMSIEM ist keine neue Technologie. Die grundlegenden SIEM-Fähigkeiten gibt es in gewisser Form bereits seit fast 15 Jahren.
Im Laufe der Zeit wurden SIEM-Lösungen mehr und mehr zu einer Informationsplattform, ihre Nutzung wurde ausgeweitet und beinhaltete jetzt Compliance-Berichte sowie die Aggregation von Firewall-Logs und anderen Geräten. Doch die SIEM-Technologie war oft komplex und schwer zu optimieren – um Angriffe zu erkennen, mussten IT-Profis wissen, wonach sie suchten. Die Technologie war zu schwierig geworden und ließ sich nicht skalieren.
Diese förderte die Entwicklung flexiblerer, benutzer-freundlicherer SIEM-Lösungen. Dies ist heute besonders wichtig, da Unternehmen Cloud-Lösungen einsetzen und der digitale Wandel jeden Aspekt unseres Lebens berührt.
Deshalb ist es wichtig, den Unterschied zwischen älteren SIEMs und einer modernen, analysegestützten SIEM-Lösung zu verstehen, auf die wir später noch eingehen werden.
Es ist aber auch wichtig, die Anwendungsfälle von SIEMs zu kennen und beurteilen zu können, ob das eigene Unternehmen wirklich eine SIEM-Lösung oder etwas anderes benötigt.
Dies macht die Unterscheidung zwischen älteren SIEMs und modernen, analysegestützten SIEM-Lösungen notwendig.
Herkömmliche SIEMs sind von gesternEs ist relativ einfach, einen Mechanismus zur Erfassung, Speicherung und Analyse von rein sicherheitsrelevanten Daten zu finden. Es gibt auch ausreichend Möglichkeiten zur Datenspeicherung. Es ist jedoch eine ganz andere Sache, sämtliche sicherheitsrelevanten Daten zu sammeln und sie in verwertbare Informationen umzuwandeln.
Viele IT-Teams von Unternehmen, die in SIEM-Plattformen investiert haben, mussten diese einfache Wahrheit auf die harte Tour lernen. Nachdem eine beträchtliche Menge an Zeit und Geld für die Aufzeichnung von Sicherheits-Events aufgewendet wurde, besteht das Problem darin, dass das Erfassen all dieser Daten lange gedauert hat und zudem das zugrunde liegende Datensystem, das zur Erstellung des SIEM verwendet wird, meist statisch ist.
Schlimmer noch ist, dass die Daten, die zur Analyse zur Verfügung stehen, ausschließlich auf Sicherheits-Events basieren. Das macht es schwierig, Sicherheits-Events mit den Abläufen in der restlichen IT-Umgebung zu korrelieren. Wenn ein Problem auftritt, erfordert die Untersuchung eines Sicherheits-Events wertvolle Zeit, die die meisten IT-Organisationen nicht haben. Außerdem bieten ältere SIEM-Lösungen nicht die Geschwindigkeit, mit der Sicherheits-Events untersucht werden müssen. Der fortschreitende Trend zur Nutzung von Cloud-Services vergrößert die Bandbreite an Bedrohungsvektoren, und Unternehmen müssen die Benutzeraktivität, das Verhalten, den Anwendungszugriff über Clouds und Software-as-a-Service (SaaS) sowie lokale Services überwachen, um den vollen Umfang potenzieller Bedrohungen und Angriffe zu ermitteln.
Die folgende Grafik erläutert einige der wichtigsten Einschränkungen älterer SIEM-Lösungen.
Ältere SIEM-Lösungen – Probleme und Eigenschaften
Kann erforderliche Daten nicht nutzen
Nicht stabil
Wartung und Betrieb sind schwierig
Mangelnde Datenflexibilität
Hohe Zahl von False Negatives und Positives
Statische Workflows
Kann moderne Bedrohungen nicht erkennen
PROBLEM
Erkennung, Untersuchung und Reaktion sind eingeschränkt
Viele Ausfälle
Komplexität und Mitarbeiter mit Fachwissen
Schlechte Anpassung an kritische Fälle
Belastung für das IT-Sicherheitsteam
Eingeschränkt und wenig flexibel
Risiko für das Unternehmen
AUSWIRKUNG
5Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
Die Alternative: eine analysegestützte SIEM-Lösung Was die heutige Unternehmens-IT benötigt, ist eine einfache Möglichkeit, Informationen über alle sicherheitsrelevanten Daten hinweg zu korrelieren. Eine Lösung, mit der die IT das Sicherheitsniveau des Unternehmens aufrechterhalten kann. Anstatt Events nur zu beobachten, nachdem sie eingetreten sind, sollte eine IT-Organisation deren Auftreten voraussehen und in Echtzeit Maßnahmen zur Eindämmung von Schwachstellen ergreifen können. Dazu benötigen Unternehmen eine analysegestützte SIEM-Plattform.
Hier liegt der Unterschied zwischen älteren SIEMs und modernen Lösungen. Nach Angaben von Gartner besteht der Unterschied darin, dass "moderne SIEM-Lösungen mehr als nur Logdaten nutzen und mehr als nur einfache Korrelationsregeln zur Datenanalyse einsetzen."
An diesem Punkt sollten wir uns einer speziellen Art moderner SIEM-Lösungen zuwenden, der so genannten analysegestützten SIEM-Lösung. Diese moderne Lösung ermöglicht IT-Teams das Echtzeit-Monitoring auf Bedrohungen sowie die schnelle Reaktion bei Incidents, sodass Schäden vermieden oder begrenzt werden
können. Allerdings kommen nicht alle Angriffe von außen: Die IT braucht Möglichkeiten für das Monitoring der Benutzeraktivität, um die Risiken durch Insider-Bedrohungen oder unbeabsichtigte Kompromittierung zu minimieren. Threat Intelligence ist von entscheidender Bedeutung, um die breiter gefasste Bedrohungslandschaft zu verstehen und diese Bedrohungen für das Unternehmen in Kontext zu setzen.
Ein analysegestütztes SIEM muss hervorragende Security Analytics bieten und IT-Teams in die Lage versetzen, mithilfe anspruchsvoller quantitativer Methoden Einblicke zu gewinnen und Maßnahmen zu priorisieren. Schließlich muss eine moderne SIEM-Lösung die speziellen Tools beinhalten, die zur Bekämpfung komplexer Bedrohungen innerhalb der Kernplattform benötigt werden.
Ein weiterer wesentlicher Unterschied zwischen analysegestützten SIEMs und älteren SIEMs ist die Flexibilität der modernen Lösungen, die es ermöglicht, die Lösung lokal, in der Cloud oder in einer hybriden Umgebung zu verteilen.
In der folgenden Tabelle werden die sieben wichtigsten Gründe erläutert, aus denen ein Unternehmen eine analysegestützte SIEM-Lösung älteren SIEMs vorziehen sollte.
7 Hauptgründe für die Ablösung älterer SIEM-LösungenOrganisationen sind oft an die veralteten Architekturen traditioneller SIEMs gebunden, die typischerweise eine SQL-Datenbank mit einem festen Schema verwenden. Diese Datenbanken können zu einer Schwachstelle ("Single Point of Failure) werden oder Einschränkungen hinsichtlich Skalierung oder Leistung aufweisen.
1. EINGESCHRÄNKTE SICHERHEIT Da die Art der Daten eingeschränkt ist, die erfasst werden, sind auch die Erkennung, Untersuchung und Antwortzeiten eingeschränkt.
2. DATEN KÖNNEN NICHT WIRKUNGSVOLL ERFASST WERDEN
Bei älteren SIEMs kann die Datenerfassung äußerst arbeitsaufwändig oder sehr teuer sein.
3. ANALYSEN SIND LANGSAM Bei älteren SIEMs können einfache Aktionen, wie z. B. das Suchen in Logrohdaten sehr lange dauern – oftmals viele Stunden und Tage.
4. MANGELNDE STABILITÄT UND SKALIERBARKEIT
Je größer SQL-basierte Datenbanken werden, desto instabiler werden sie. Kunden leiden oft unter einer schlechten Performance oder einer großen Anzahl von Ausfällen, da Event-Spitzen Server ausfallen lassen.
5. AUSMUSTERUNG ODER UNGEWISSER FAHRPLAN
Wenn die Hersteller älterer SIEM-Lösungen aufgekauft werden, kommen Forschung und Entwicklung häufig fast zum Stillstand. Ohne ständige Investitionen und Innovationen, können Sicherheitslösungen mit der sich schnell ändernden Bedrohungslandschaft nicht Schritt halten.
6. GESCHLOSSENES ÖKOSYSTEM Ältere SIEM-Produkte können oftmals nicht mit anderen Tools auf dem Markt integriert werden. Die Kunden sind dadurch gezwungen, den Funktionsumfang der SIEM-Lösung zu nutzen oder mehr Geld für Eigenentwicklungen und professionelle Dienstleistungen auszugeben.
7. AUF LOKALE IMPLEMENTIERUNG BEGRENZT
Ältere SIEMs sind häufig auf lokale Implementierungen beschränkt. Sicherheitsexperten müssen heute Workloads in der Cloud, auf lokalen Systemen und in hybriden Umgebungen nutzen können.
6Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
Verlagern Ihrer SIEM-Lösung in die CloudDer Betrieb von SIEM in der Cloud oder als SaaS kann zur Lösung der Probleme beitragen, die viele Unternehmen mit Security Intelligence haben. Doch viele IT-Leiter misstrauen der Cloud-Sicherheit und -Zuverlässigkeit noch immer. Bevor Sie eine Cloud-basierte SIEM-Lösung verwerfen, sollten Sie sich vor Augen führen, dass die Sicherheitsverfahren und -technologien bei den meisten großen Cloud-Services weitaus ausgereifter sein können als bei einem typischen Unternehmen.
SaaS wird bereits vielfach für geschäftskritische Systeme wie CRM, HR, ERP und Business Analytics eingesetzt. Aus den gleichen Gründen, aus denen SaaS für Unternehmensanwendungen sinnvoll ist – schnelle, komfortable Verteilung, geringer Overhead, automatische Updates, nutzungsabhängige Abrechnung und skalierbare, gehärtete Infrastruktur – ist die Cloud hervorragend für SIEM geeignet.
Cloud-basierte Lösungen bieten die Flexibilität, eine breite Palette von Datensets aus lokalen und Cloud-Systemen zu nutzen. Da immer mehr Unternehmen Workloads auf Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und SaaS verlagern, zeigt die einfache Integration mit Drittsystemen, dass SIEM in der Cloud noch sinnvoller ist. Zu den wichtigsten Vorteilen einer Verlagerung von SIEM in die Cloud gehören die Flexibilität einer hybriden Architektur, automatische Software-Updates und vereinfachte Konfiguration, eine sofortige, skalierbare Infrastruktur sowie starke Kontrollen und Hochverfügbarkeit.
Die SIEM-Anwendungsfälle für UnternehmenJetzt, da Sie die Entwicklung von SIEM und die Merkmale kennen, die eine moderne, analysegestützte SIEM-Lösung von älteren SIEM-Lösungen unterscheiden, ist es an der Zeit, die Sicherheits-Anwendungsfälle zu erklären, die tatsächlich durch diese Technologie gelöst werden.
Früherkennung, schnelle Reaktion und Zusammenarbeit zur Eindämmung komplexer Bedrohungen stellen hohe Anforderungen an die heutigen Sicherheitsteams in Unternehmen. Das einfache Melden und Monitoring von Log- und Sicherheits-Events reicht da nicht mehr aus. Die Sicherheitsexperten brauchen breiter gefasste Erkenntnisse aus allen Datenquellen, die unternehmensweit in riesigem Umfang innerhalb der IT, des Unternehmens und der Cloud erzeugt werden. Um externen Angriffen und böswilligen Insidern immer einen Schritt voraus zu sein, benötigen Unternehmen eine fortschrittliche Sicherheitslösung, die für die schnelle Incident Response, Incident-Untersuchung und die Koordination von Szenarien zu CSIRT-Sicherheitsverstößen eingesetzt werden kann. Darüber hinaus müssen Unternehmen in der Lage sein, bekannte, unbekannte und komplexe Bedrohungen zu erkennen und darauf zu reagieren.
Sicherheitsteams in Unternehmen müssen eine SIEM-Lösung verwenden, die nicht nur gängige Sicherheitsanwendungsfälle, sondern auch komplexe Use Cases abdeckt. Um mit der dynamischen Bedrohungslandschaft Schritt zu halten, wird von modernen SIEMs Folgendes erwartet:
• Zentrales Speichern und Aggregieren aller sicherheitsrelevanten Events, sobald diese von ihrer Quelle erzeugt werden
• Unterstützen einer Vielzahl von Empfangs- und Sammlungsmechanismen wie Syslog, Dateiübertragungen, Dateierfassungen etc.
• Hinzufügen von Kontext und Threat Intelligence zu Sicherheits-Events
• Korrelation und Benachrichtigung über eine Vielzahl von Daten hinweg
• Erkennen komplexer und unbekannter Bedrohungen
• Erstellen von Verhaltensprofilen innerhalb des Unternehmens
• Erfassen aller Daten (Benutzer, Anwendungen), damit sie zur Verfügung stehen für Monitoring, Benachrichtigung, Untersuchung und Ad-hoc-Suchen
• Ermöglichen von Ad hoc-Suchen und -Berichten auf Datenbasis für die Analyse komplexer Verstöße
• Untersuchen von Incidents und Durchführen forensischer Untersuchungen für die detaillierte Incident-Analyse
• Beurteilen des Compliance-Niveaus und Erstellen entsprechender Berichte
• Verwenden von Analyse- und Berichtsfunktionen für das Sicherheitsniveau
• Nachverfolgen von Angriffsaktionen durch optimierte Ad-hoc-Analysen und Analysen der Eventabfolge
SIEM-Daten werden hauptsächlich aus Server- und Netzwerkgeräte-Logs gewonnen, können aber auch von Endgerätesicherheit, Netzwerksicherheitsgeräten, Anwendungen, Cloud-Diensten, Authentifizierungs- und Autorisierungssystemen sowie Webanwendungen mit vorhandenen Schwachstellen und Bedrohungen stammen.
Datenaggregationen sind jedoch nur die Hälfte des Gesamtbilds. Die SIEM-Software korreliert das entstehende Repository und sucht nach ungewöhnlichem Verhalten, Systemanomalien und anderen Anzeichen für einen Sicherheits-Incident. Diese Informationen werden nicht nur für Echtzeit-Event-Benachrichtigungen verwendet, sondern auch für Compliance-Audits und -Berichte, Performance-Dashboards, historische Trendanalysen und Forensik nach einem Incident.
Angesichts der zunehmenden Anzahl und Komplexität von Sicherheitsbedrohungen sowie des steigenden Werts digitaler Assets in jedem Unternehmen ist es nicht verwunderlich, dass die Einführung analysegestützter SIEM-Lösungen als Teil des gesamten IT-Sicherheitsökosystems weiter zunimmt.
7Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
Brauchen Sie wirklich eine SIEM-Lösung?Jetzt, da Sie verstehen, wofür SIEM-Lösungen verwendet werden, ist es Zeit für eine andere Fragestellung: Braucht Ihr Unternehmen eine SIEM-Lösung oder etwas anderes?
Möglicherweise ist Ihr Unternehmen noch nicht für fortgeschrittene Sicherheits-Anwendungsfälle bereit und benötigt stattdessen lediglich eine Lösung, die Einblicke in Maschinendaten gewährt, z. B. ein zentrales Log-Management (CLM). Frecher Hinweis in eigener Sache: Lesen Sie hierzu Splunk Enterprise für das Sicherheits- und Log-Management.
Also, was genau ist eine zentrale Log-Management-Lösung? CLM ist als Lösung definiert, die eine zentrale Sicht auf Logdaten ermöglicht.
Damit wir mehr Kontext erhalten, stellen wir die nächste Frage für Sie: Was sind Logdaten?
Logdaten sind computergenerierte Logeinträge, die verlässliche Aufzeichnungen der Aktivitäten in einem Unternehmen, einer Agentur oder einer Organisation und stellen eine bis dato wenig genutzte, wichtige Informationsquelle für die Fehlerbehebung und die Unterstützung breiter angelegter Unternehmensziele dar.
Zurück zu CLM. Ziel des Log-Managements ist es, diese computergenerierten Logs zu sammeln und für Suchen und Berichte verfügbar zu machen. Auf den Sicherheitsbereich bezogen, bedeutet dies, dass ein CLM beispielsweise die Untersuchung von Incidents und die Sichtung von Benachrichtigungen erleichtern kann.
Das Log-Management ist eine zentrale SIEM-Funktion seit den Anfängen von SIEM. Wenn Sie aber nur Einblicke aus Ihren Logdaten benötigen, ist eine analysegestützte SIEM-Lösung dann das richtige Werkzeug für Sie? Vielleicht hat der bekannte SIEM.-Analyst Anton Chuvakin eine Antwort auf diese Frage:
Wir interpretieren dies kurz gesagt so: Wenn Sie eine SIEM-Lösung nur für das Aggregieren von Logs verwenden, dann bezahlen Sie zu viel. Der entscheidende Punkt hierbei ist, dass Sie eine SIEM-Lösung verwenden können, um sowohl einfache als auch komplexe Anwendungsfälle abzudecken.
Hochkarätige Experten verwenden gerne den von Gartner geprägten Begriff UEBA (User and Entity Behavior Analytics). Es gibt noch andere Bezeichnungen dafür wie etwa den von Forrester bevorzugten Begriff "Security User Behavior Analytics" und die von Splunk geprägte Bezeichnung User Behavior Analytics (UBA), von denen wir letztere im weiteren Verlauf dieses Leitfadens verwenden werden. Diese Begriffe bezeichnen im Prinzip alle dieselbe Technologie.
UBA wird zur Erkennung von Bedrohungen eingesetzt, um interne und externe Bedrohungen aufzuspüren und zu beheben. UBA wird häufig als fortgeschrittener Sicherheitsanwendungsfall angesehen. Dies ist zum Teil darauf zurückzuführen, dass bei dieser Technologie die Möglichkeit besteht, die normalen Gewohnheiten eines Benutzers zu erlernen und als Basiswerte festzulegen, damit dann Benachrichtigungen versendet werden können, wenn etwas von diesem Normalverhalten abweicht, um nur ein Beispiel zu nennen.
Wenn wir bei diesem einen Beispiel bleiben, müsste eine UBA-Lösung das Normalverhalten bei Aktivitäten wie den folgenden erfassen:
• Von wo aus melden sich Benutzer normalerweise an?
• Über welche Berechtigungen verfügen Benutzer?
• Auf welche Dateien, Server und Anwendungen greifen Benutzer zu?
• Mit welchen Geräten melden sich Benutzer normalerweise an?
Zum Hintergrund des Ganzen sollte gesagt werden, dass einige UBA-Anbieter versuchen, in den SIEM-Markt zu drängen. Sie sind Neueinsteiger in Sachen SIEM. UBA-Lösungen sind unbenommen sinnvoll, können aber alleine keine SIEM-Lösung ersetzen. Und UBA ist keine neue Art von SIEM. Es ist eine ganz eigenständige Sicherheitstechnologie. Und der Idealfall sieht so aus, dass eine UBA-Lösung in Kombination mit einer analysegestützten SIEM-Lösung eingesetzt wird.
Um es noch deutlicher zu sagen: Genauso, wie eine CLM-Lösung kein SIEM ist, ist dies auch eine UBA-Lösung nicht. Tja, wenn Dr. Chuvakin nur dazu auch auf Twitter gepostet hätte....
8Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
Jetzt sehen wir uns an, was eine analysegestützte SIEM-Lösung ausmacht. Eine analysegestützte SIEM-Lösung
bietet sechs Kernfunktionen:
ECHTZEIT-MONITORING Da Bedrohungen laufend stattfinden und sich schnell verändern, braucht das IT-Team die Möglichkeit zur Überwachung und der Korrelation von Sicherheitsrelevanten Events in Echtzeit. Damit können diese schnell Entdeckt und gestoppt werden.
INCIDENT RESPONSE Das IT-Team benötigt einen standardisierten Unternehmensprozess, um potenzielle Sicherheitsverletzungen sowie deren Folgen anzugehen und zu verwalten, um den Schaden einzudämmen und die Wiederherstellungszeit und -kosten zu reduzieren.
BENUTZER-MONITORING Das Monitoring von Benutzeraktivitäten mit Kontext ist äußerst wichtig, um Sicherheitsverstöße erkennen und Missbrauch aufdecken zu können. Das Monitoring privilegierter Benutzer ist eine häufige Anforderung für Compliance-Berichte.
BEDROHUNGS-INFORMATIONEN
Bedrohungsinformationen können der IT-Abteilung helfen, anomale Aktivitäten zu erkennen, das Risiko für das Unternehmen einzuschätzen und die Reaktion darauf zu priorisieren.
KOMPLEXE ANALYSEN Analysen sind der Schlüssel zur Gewinnung von Erkenntnissen aus Datenbergen, und mit Machine Learning können diese Analysen automatisiert werden, um versteckte Bedrohungen aufzuspüren.
ERKENNUNG KOMPLEXER BEDROHUNGEN
Sicherheitsexperten benötigen spezielle Tools für das Monitoring, Analysen und die Erkennung von Bedrohungen innerhalb der Kill Chain.
2. DIE SIEM- KERNFUNKTIONEN
!!
!!
!
!
9Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
Diese Funktionen versetzen Unternehmen in die Lage, ihre SIEM-Lösung für eine Vielzahl unterschiedlicher Sicherheits-Anwendungsfälle sowie für Complianceanforderungen einzusetzen. Außerdem können sie herangezogen werden, um eine moderne SIEM-Lösung anhand ihrer Möglichkeiten zu definieren. Sehen wir uns die Kernfunktionen analysegestützter SIEM-Lösungen im Einzelnen an.
Echtzeit-MonitoringJe länger es dauert, bis eine Bedrohung erkannt wird, desto mehr Schaden kann sie möglicherweise verursachen. IT-Organisationen benötigen eine SIEM-Lösung mit Monitoring-Funktionen, die in Echtzeit auf jedes Datenset angewendet werden können, unabhängig davon, ob es sich auf lokalen Systemen oder in der Cloud befindet. Darüber hinaus muss diese Monitoring-Funktionalität sowohl kontextbezogene Datenfeeds, wie Asset- und Identitätsdaten, als auch Feeds mit Bedrohungsinformationen abrufen, die zum Generieren von Benachrichtigungen verwendet werden können.
Eine analysegestützte SIEM-Lösung muss in der Lage sein, alle Entitäten in der IT-Umgebung zu identifizieren, einschließlich Benutzer, Geräte und Anwendungen sowie alle Aktivitäten, die nicht spezifisch mit einer Identität verknüpft sind. Eine SIEM-Lösung sollte diese Daten in Echtzeit nutzen können, um ein breites Spektrum unterschiedlicher Arten und Klassen von anomalem Verhalten zu erkennen. Wurde anormales Verhalten erkannt, müssen die entsprechenden Daten dann ohne großen Aufwand in den Workflow eingespeist werden können, der eingerichtet wurde, um das potenzielle Risiko für das Unternehmen zu bewerten, das die Anomalie darstellen könnte.
Es sollte eine Bibliothek mit anpassbaren, vordefinierten Korrelationsregeln, eine Sicherheits-Event-Konsole für die Echtzeitdarstellung von Sicherheits-Incidents und -Events sowie Dashboards geben, die Echtzeit-Visualisierungen der laufenden Bedrohungsaktivitäten ermöglichen.
Schließlich sollten alle diese Funktionen mit sofort einsatzbereiten Korrelationssuchen ergänzt werden, die in Echtzeit aufgerufen oder regelmäßig zu einem bestimmten Zeitpunkt für die Ausführung geplant werden können. Ebenso wichtig ist, dass diese Suchen über eine intuitive Benutzeroberfläche verfügbar sein sollten, damit IT-Administratoren nicht extra eine Suchsprache lernen müssen.
Schließlich muss ein analysegestütztes SIEM die Möglichkeit bieten, Echtzeit- und historische Daten lokal zu durchsuchen, damit die Menge an Netzwerkverkehr zu reduzieren, der durch den Zugriff auf Suchdaten generiert wird.
Autodesk spart Zeit und Betriebskosten mit Splunk auf AWS
Kunden aus der Fertigungs-, Architektur-, Bau-, Medien- und Unterhaltungsindustrie – darunter die letzten 20 Oscar-Preisträger für die besten visuellen Effekte – nutzen Autodesk-Software, um ihre Ideen zu entwerfen, zu visualisieren und zu simulieren. Aufgrund seiner großen globalen Präsenz stand Autodesk vor zwei großen Herausforderungen: Dies war zum einen die Notwendigkeit, weltweit unternehmerische, operative und sicherheitsbezogene Einblicke über mehrere interne Gruppen hinweg zu gewinnen, und zum anderen die Notwendigkeit, die richtige Infrastruktur für die Verteilung von Operational Intelligence-Software zu wählen. Seit der Einführung der Splunk-Plattform verzeichnet das Unternehmen deutliche Verbesserungen, wie etwa:
• Einsparungen in Höhe von Hunderttausenden von Dollar
• Kritische operative und sicherheitsrelevante Erkenntnisse
• Echtzeittransparenz bei der Verwendung Ihrer Produkte
Warum Splunk?Splunk kam 2007 erstmals bei Autodesk als Lösung zum Einsatz, mit der Maschinendaten für die Fehlerbehebung bei operativen Prozessen genutzt werden konnten. Bis heute wurde die Nutzung auf Echtzeit-Monitoring, detaillierte Sicherheitseinblicke und unternehmerisch relevante Business Analytics in den folgenden drei Autodesk-Bereichen ausgeweitet:
• Enterprise Information Services (EIS): Zuständig für das globale IT-Management des Unternehmens einschließlich Informationssicherheit und -management.
• Autodesk Consumer Group (ACG): Verantwortlich für sämtliche kundenorientierten Produkte von Autodesk.
• Information Modeling & Platform Products (IPG): Betraut mit den Autodesk-Lösungen für gewerbliche Kunden, wie etwa Designer und Ingenieure aus allen Branchen.
Autodesk setzt Splunk Enterprise Security (Splunk ES) ein, um die Zeit für die Identifizierung und Behebung von Sicherheitsproblemen zu verkürzen. Das Unternehmen verwendet zudem die Splunk-App für AWS, um flexible Ressourcen für Splunk Enterprise und andere kritische Anwendungen bereitzustellen und zu verwalten.
Ermöglichen datengestützter EntscheidungenSplunk Enterprise, die Splunk-App für AWS, Splunk Enterprise Security und andere Splunk-Lösungen ermöglichen es Autodesk, wichtige Echtzeiteinblicke in die Betriebs-, Sicherheits- und Produktleistung zu erhalten. Splunks flexible, datengestützte Analysen und die AWS-basierte Plattform sparen Autodesk Zeit, senken die Kapitalkosten und vergrößern die Umfang und Tiefe kritischer Entscheidungen. Weitere Informationen.
10Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
Reaktion bei IncidentsDas Herzstück jeder effektiven Incident Response Strategie ist eine robuste SIEM-Plattform, die es ermöglicht, nicht nur unterschiedliche Incidents zu identifizieren, sondern auch die Möglichkeit zu bieten, diese zu verfolgen, neu zuzuordnen sowie Anmerkungen hinzuzufügen.
Die IT-Abteilung sollte anderen Mitgliedern des Unternehmens je nach Rolle unterschiedliche Zugriffsrechte gewähren können. Weitere wichtige Funktionen sind die Möglichkeit, Events manuell oder automatisch zu aggregieren, die Unterstützung von Anwendungsprogrammierschnittstellen (APIs), mit denen Daten aus Drittsystemen abgerufen bzw. an sie weitergeleitet werden können, die Fähigkeit, rechtlich zulässige forensische Beweise zu sammeln, sowie Playbooks, die Anleitungen für die Reaktion auf bestimmte Arten von Incidents geben.
Am wichtigsten ist, dass ein analysegestütztes SIEM über Autoresponse-Funktionen verfügen muss, die laufende Cyberangriffe unterbrechen können.
Im Endeffekt muss die SIEM-Plattform die Drehscheibe sein, um die herum ein anpassbarer Workflow für die Verwaltung von Incidents eingerichtet werden kann. Natürlich hat nicht jeder Incident die gleiche Dringlichkeit. Eine analysegestützte SIEM-Plattform bietet IT-Organisationen die Möglichkeit, den Schweregrad potenzieller Bedrohungen über Dashboards zu kategorisieren, die zur Sichtung neuer relevanter Events, zur Zuweisung von Events an Analysten zur Überprüfung und zur Untersuchung relevanter Event-Details für Untersuchungsansätze verwendet werden können. Eine analysegestützte SIEM-Lösung versorgt die IT mit den kontextbezogenen Erkenntnissen, die erforderlich ist, um die angemessene Reaktion auf ein Event zu bestimmen.
Diese Reaktionsmöglichkeiten sollten die Fähigkeit beinhalten, relevante Events und ihren Status zu identifizieren, den Schweregrad von Events anzugeben, Abhilfemaßnahmen einzuleiten und eine Prüfung des gesamten Prozesses durchzuführen, der den Incident umgibt.
Außerdem sollte das IT-Team über ein Dashboard verfügen, in dem es während einer Untersuchung intuitiv Filter auf jedes Feld anwenden kann, um den Umfang der Analyse mit wenigen Mausklicks zu erweitern oder zu reduzieren. Das letztendliche Ziel sollte mindestens sein, dass jedes Mitglied des Sicherheitsteams die Möglichkeit hat, Events, Aktionen und Anmerkungen auf einer Zeitachse anzuordnen, die es anderen Teammitgliedern leicht macht, die Abläufe zu verstehen. Diese Zeitachsen können dann in ein Protokoll aufgenommen werden, das es erleichtert, Angriffe zu überprüfen und eine wiederholbare Kill Chain-Methodik zu implementieren, um mit bestimmten Events umzugehen.
PagerDuty gewährleistet End-to-End-Transparenz mit Splunk Cloud und Amazon Web ServicesKunden wenden sich an PagerDuty, einen Response-Service für Unternehmens-Incidents, um ihre IT-Incidents schnell und effizient behandeln und beheben zu lassen. Als das Cloud-basierte Unternehmen eine Lösung benötigte, um seine operativen Analyse- und Sichtungsanforderungen zu erfüllen, entschied es sich für Splunk Cloud mit Ausführung in Amazon Web Services (AWS). Mit Splunk Cloud und AWS stellt PagerDuty die Hochverfügbarkeit seiner Services sicher und kann die Skalierung an die Kundennachfrage anpassen. Seit der Einführung von Splunk Cloud verzeichnet PagerDuty deutliche Verbesserungen, wie etwa:
• Garantierte Kundenzufriedenheit und hochverfügbare Cloud-Services
• 30 Prozent mehr Kostenersparnis gegenüber dem früheren Service
• Schnellere Lösung von IT- und Sicherheits-Incidents: von mehreren Dutzend Minuten hin zum einstelligen Minuten- oder gar Sekundenbereich.
Warum Splunk?Arup Chakrabarti ist Leiter des Infrastructure Engineering bei PagerDuty und damit zuständig für Websitestabilität, interne Plattform und Sicherheit. Seine Abteilung hat die Aufgabe, die Produktivität und Effizienz innerhalb des gesamten Entwicklungsbereichs des Unternehmens zu verbessern, der aus mehreren Entwickler-Teams innerhalb der Produktentwicklung des Unternehmens besteht.
Vor der Einführung von Splunk Cloud nutzte PagerDuty eine Logging-Lösung, deren Skalierbarkeit ihre Grenzen erreichte, als das Unternehmen begann, täglich Hunderte von Gigabyte an Logs zu indizieren. Außerdem hatte das Team Schwierigkeiten, verwertbare Informationen aus seinen Daten zu gewinnen, um Entscheidungen zu ermöglichen und Probleme schnell zu lösen. Nachdem das Team seinen bisherigen Service und Splunk Cloud parallel betrieben hatte, zeigte sich, dass Splunk Cloud die erforderliche Geschwindigkeit bot, um Probleme schnell zu lösen und eine hohe Verfügbarkeit für die Kunden des Unternehmens zu gewährleisten. Innerhalb von Tagen migrierte die Entwicklung zu Splunk Cloud.
"Bei der Vorgängerlösung dauerten manche Abfragen bis zu 30 Minuten, bis alle Daten verarbeitet waren und uns die notwendigen Informationen zur Verfügung standen, und das war einfach nicht akzeptabel", erklärt Chakrabarti. "Was die Auswirkungen auf unsere Kunden angeht, so konnten wir mit Splunk Cloud die Zeit bis zur Behebung von Problemen von zig Minuten auf einstellige Minuten- oder Sekundenwerte verkürzen."
Chakrabarti fügt hinzu, dass der Kostenfaktor zwar nicht das Hauptmotiv für die Auswahl von Splunk Cloud war, erzählt jedoch, sein "Buchhaltungsteam war absolut begeistert, als ich ihnen sagte, dass wir die beste Lösung bekommen werden, und dass diese Lösung dann auch noch 30 Prozent günstiger als die bisher genutzte Lösung ist." Weitere Informationen.
11Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
Benutzer-MonitoringDas Monitoring der Benutzeraktivitäten sollte mindestens die Möglichkeit beinhalten, Zugriffs- und Authentifizierungsdaten zu analysieren, den Benutzerkontext zu ermitteln und Benachrichtigungen über verdächtiges Verhalten und Verstöße gegen unternehmensinterne und gesetzliche Richtlinien zu liefern.
Das Benutzer-Monitoring muss unbedingt auch privilegierte Benutzer einbeziehen, da diese am häufigsten Ziel von Angriffen sind und ihre Kompromittierung den größten Schaden anrichtet. Aufgrund dieses Risikos ist das Monitoring privilegierter Benutzer in den meisten betroffenen Branchen eine häufige auftretende Compliance-Anforderung.
Um diese Ziele zu erreichen, sind Echtzeitansichten und Berichtsfunktionen erforderlich, die eine Vielzahl von Identitätsmechanismen nutzen können, die auf eine beliebige Anzahl von Drittanbieteranwendungen und -services erweitert werden können.
Travis Perkins PLC nutzt analysegestütztes SIEM, um hybriden Cloud-Wechsel zu ermöglichenTravis Perkins PLC ist ein britischer Baustoffhändler und Baumarktbetreiber mit 2.000 Verkaufsstellen und 28.000 Mitarbeitern. Im Jahr 2014 startet das Unternehmen ein "Cloud-first"-Programm, doch die bestehende Lösung für Sicherheitsinformationen und Event-Management konnte nicht die notwendigen Sicherheitsinformationen für die komplette hybride Umgebung liefern. Travis Perkins PLC prüfte die verfügbaren Alternativen und entschied sich für Splunk Cloud, Splunk Enterprise und Splunk Enterprise Security (ES) als SIEM. Seit der Einführung der Splunk-Plattform verzeichnet Travis Perkins PLC deutliche Verbesserungen, wie etwa:
• Verbesserte Transparenz der hybriden Infrastruktur• Verbesserte Möglichkeiten, komplexe Cyber-Bedrohungen zu
erkennen und abzuwehren• Reduzierte IT-Kosten durch eine effizientere Ressourcennutzung
Warum Splunk?Angesichts der schwierigen Marktlage während der Konjunktur-flaute hat Travis Perkins PLC Technologieinvestitionen in ihrer Priorität herabgestuft. Bedingt durch den wirtschaftlichen Aufschwung in letzter Zeit unterzog das Unternehmen seine gesamte Technologieinfrastruktur einer strategischen Prüfung und entschied sich für den "Cloud-First"-Ansatz, um die Kosten zu senken und die Flexibilität zu steigern. Als Travis Perkins PLC eine Reihe von Cloud Services wie G Suite von Google Cloud, Amazon Web Services und Infor CloudSuite einführte, wurde schnell klar, dass das bestehende SIEM nicht in der Lage war, die erforderlichen Einblicke in Sicherheits-Events in einer komplexen hybriden Umgebung bereitzustellen. Travis Perkins PLC prüfte verschiedene Alternativen, darunter Lösungen von HP, IBM und LogRhythm, und entschied sich im Endeffekt für Splunk Cloud, Splunk Enterprise und Splunk ES, um eine zentrale Sicht auf sicherheitsrelevante Aktivitäten zu erhalten.
Aufbau des Sicherheitssystems von Grund aufTravis Perkins PLC nutzte die Gelegenheit der Splunk ES-Implementierung, um das Sicherheitsbewusstsein aller IT-Mitarbeiter zu verstärken, anstatt sich nur auf das Sicherheitsteam zu konzentrieren. Die Mitarbeiter in den IT Operations-Teams haben nun Zugriff auf spezifische Dashboards und Benachrichtigungen, sodass sie als "Ersthelfer" bei potenziellen Bedrohungen agieren und Sofortmaßnahmen einleiten können, bevor sie den Fall bei Bedarf an das spezielle Sicherheitsteam eskalieren. Dadurch konnte Travis Perkins PLC ein hocheffektives und schlankes SOC (Security Operations Center) aufbauen, ohne die beträchtlichen Ressourcen aufwenden zu müssen, die dafür normalerweise erforderlich sind.
Automatisierung der BedrohungsabwehrMit 24.000 Mitarbeitern in ganz Großbritannien, die mit einer Vielzahl von Geräten auf Unternehmensdaten zugreifen, ist es für Travis Perkins PLC von entscheidender Bedeutung, einen Großteil der Cybersicherheit zu automatisieren. Mit Splunk ES berechnet Travis Perkins PLC nun Risikobewertungen für verschiedene Bedrohungsaktivitäten auf der Grundlage zuvor korrelierter Daten oder Benachrichtigungen aus den bestehenden Sicherheitslösungen des Unternehmens. Da das Unternehmen besonders mit Phishing-E-Mails zu kämpfen hat, wird eine automatische Benachrichtigung erzeugt, wenn ein infizierter Client durch Korrelationssuchen in der Splunk-Plattform identifiziert wird. Die entsprechenden Teams reagieren dann mit einer vorgegebenen Playbook-Reaktion. Die Swimlanes in Splunk ES bieten einen ganzheitlichen Blick auf ein Asset oder einen Benutzer und verkürzen die Zeit für die Untersuchung und Lösung von Sicherheits-Incidents deutlich. Weitere Informationen.
12Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
BedrohungsinformationenEine analysegestützte SIEM-Lösung muss zwei verschiedene Arten von Bedrohungsinformationen bereitstellen. Die erste besteht in der Nutzung von Bedrohungsinformationsdiensten, die aktuelle Informationen über Kompromittierungsindikatoren, Angriffstaktiken, Techniken und Verfahren sowie zusätzlichen Kontext für verschiedene Arten von Incidents und Aktivitäten liefern. Diese Informationen machen es einfacher, anormale Aktivitäten zu erkennen, wie z. B. die Identifizierung ausgehender Verbindungen zu einer externen IP-Adresse, die als aktiver Command-and-Control-Server bekannt ist. Mit diesem Grad an Threat Intelligence verfügen Analysten über die notwendigen Informationen, um die Risiken, Auswirkungen und Ziele eines Angriffs zu bewerten, was für die Priorisierung einer angemessenen Reaktion von entscheidender Bedeutung ist.
Die zweite Art der Bedrohungsinformationen umfasst die Bewertung von Asset-Kritikalität, Nutzung, Konnektivität und Inhaberschaft und schließlich die Rolle, die Zuständigkeit und den Beschäftigungsstatus eines Benutzers. Dieser zusätzliche Kontext ist oftmals wichtig, wenn es darum geht, das Risiko und die potenziellen Auswirkungen eines Incidents zu bewerten und zu analysieren. Eine analysegestützte SIEM-Lösung sollte beispielsweise Informationen von Mitarbeiterausweisen erfassen und diese dann mit VPN-Authentifizierungsprotokollen korrelieren können, um Kontext zum Standort eines Mitarbeiters im Unternehmensnetzwerk bereitzustellen. Um eine noch tiefere Ebene der Analyse und Operational Intelligence zu erreichen, sollte eine SIEM-Lösung auch REST-APIs für den Abruf über Workflow-Aktionen oder Skripte nutzen können, um Intelligenz in ein System einzubinden sowie strukturierte Daten aus relationalen Datenbanken mit Maschinendaten zu kombinieren.
Im Idealfall werden Threat Intelligence-Daten und von verschiedenen IT-Infrastrukturen und -Anwendungen erzeugte Maschinendaten integriert, um Beobachtungslisten, Korrelationsregeln und Abfragen zu erstellen, die die Erfolgsquote bei der Früherkennung von Sicherheitsverstößen erhöhen. Diese Informationen sollten automatisch mit Event-Daten korreliert und zu Dashboard-Ansichten und Berichten hinzugefügt oder an Einrichtungen wie Firewalls oder IPS (Intrusion Prevention System) weitergeleitet werden, damit die betreffenden Schwachstellen behoben werden können.
Das von der SIEM-Lösung zur Verfügung gestellte Dashboard sollte Status und Aktivität der in der IT-Umgebung eingesetzten Schwachstellener-kennungsprodukte verfolgen können. Dies schließt auch die Durchführung von Health Checks bei Scan-Systemen und die Identifizierung von Systemen ein, die nicht mehr auf Schwachstellen gescannt werden.
Kurz gesagt muss eine umfassende Threat Intelligence-Überlagerung Unterstützung für jede Art von Bedrohungen bieten, automatisch redundante Informationen identifizieren, Bedrohungen, die in mehreren Bedrohungslisten enthalten sind, identifizieren und priorisieren sowie verschiedenen
Bedrohungen Gewichtungen zuordnen, um ihr tatsächliches Risiko für das Unternehmen zu beziffern.
Los Angeles integriert den Austausch von Echtzeit-Sicherheitsinformationen unter mehr als 40 städtischen BehördenZum Schutz ihrer digitalen Infrastruktur benötigt die Stadt Los Angeles Möglichkeiten, sich ein Bild von ihrem Sicherheitsniveau zu machen, sowie Bedrohungsdaten für ihre Abteilungen und Stakeholder. In der Vergangenheit hatten die mehr als 40 städtischen Behörden unterschiedliche Sicherheitssysteme, was die Konsolidierung und Analyse der Daten erschwerte. Los Angeles suchte daher nach einer skalierbaren SaaS-Sicherheitsinformations- und Event-Management-Lösung, um Bedrohungen zu identifizieren, zu priorisieren und einzudämmen, Einblick in verdächtige Aktivitäten zu bekommen und Risiken für die gesamte Stadt zu bewerten. Seit der Einführung von Splunk Cloud und Splunk Enterprise Security verzeichnet die Stadt deutliche Verbesserungen, wie etwa:
• Aufbau eines stadtweiten SOC (Security Operations Center)• Echtzeit-Bedrohungsinformationen• Geringere Betriebskosten
Situationserkennung in EchtzeitSplunk Cloud bietet Los Angeles einen ganzheitlichen Blick auf sein Sicherheitsniveau. Splunk-Forwarder senden Protokollrohdaten und andere Daten aus den Behörden der Stadt an Splunk Cloud, wo sie normalisiert und an das integrierte SOC zurückgegeben werden, um dann analysiert und in Splunk-Dashboards visualisiert zu werden.
Mit Hilfe vorkonfigurierter, leicht anpassbarer Dashboards in Splunk ES haben Führungskräfte und Analysten jederzeit die Möglichkeit, sich in Echtzeit ein Bild von den Sicherheits-Events in der gesamten Netzwerkinfrastruktur der Stadt zu machen. Da jetzt alle Sicherheitsdaten in einer ständig aktualisierten Datenbank zur Verfügung stehen, kann Lees Team alle maschinengenerierten Daten, einschließlich unterschiedlicher Protokolle und strukturierter sowie unstrukturierter Daten darstellen und vergleichen, um ganzheitliche, umsetzbare Sicherheitsinformationen zu gewinnen.
Aktuelle BedrohungsinformationenDas integrierte SOC der Stadt sammelt nicht nur Informationen, sondern stellt auch Informationen zur Verfügung. Es übersetzt Daten aus der Splunk Cloud in aktuelle Bedrohungsinformationen. Die Stadt gibt die gewonnenen Erkenntnisse an die einzelnen Behörden sowie externe Stellen wie dem FBI, dem Department of Homeland Security, dem Secret Service und anderen Strafverfolgungsbehörden weiter. Mit diesen Informationen kann die Stadt in Zusammenarbeit mit Bundesbehörden Risiken identifizieren und Strategien zur Abschreckung künftiger Netzwerkangriffe entwickeln.
"Durch die Situationserkennung können wir uns selbst einschätzen", sagt Lee. "Und mithilfe der Bedrohungsinformationen können wir unsere Feinde einschätzen. Wir betreiben jetzt ein integriertes Threat Intelligence-Programm, und unser Splunk SIEM ist eine der wichtigsten Lösungen für eine zentralisierte Informationsmanagement-Plattform, die wir in unserem ISOC (Integrated Security Operations Center) einsetzen." Weitere Informationen.
13Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
Komplexe AnalysenEine analysegestützte SIEM-Lösung bietet komplexe Analysen, bei denen hochentwickelte quantitative Methoden wie Statistik, deskriptives und prädiktives Data Mining, Machine Learning, Simulation und Optimierung eingesetzt werden, um zusätzliche kritische Erkenntnisse zu gewinnen. Zu den wichtigsten komplexen Analysemethoden gehören die Anomalieerkennung, Peer-Gruppen-Profiling und Entity Relationship Modellierung.
Ebenso wichtig ist, dass eine analysegestützte SIEM-Lösung Tools zur Verfügung stellen muss, mit denen Daten visualisiert und korreliert werden können, indem beispielsweise kategorisierte Events einer Kill Chain zugeordnet werden oder Heat Maps erstellt werden, um die Unterstützung für Incident-Untersuchungen zu verbessern.
Um all das möglich zu machen, ist der Zugriff auf eine SIEM-Plattform erforderlich, die Machine Learning-Algorithmen verwendet, die selbständig lernen können, was normales Verhalten im Vergleich zu einer tatsächlichen Anomalie darstellt.
Auf dieser Ebene der Verhaltensanalyse können dann prädiktive Modelle erstellt, validiert und implementiert werden. Es sollte sogar möglich sein, ein mit Drittanbieter-Tools erstelltes Modell in der SIEM-Plattform zu verwenden.
Innovative, cloud-basierte SIEM-Verteilung liefert Equinix zuverlässige Security IntelligenceEquinix, Inc. verbindet die weltweit führenden Unternehmen mit ihren Kunden, Mitarbeitern und Partnern in 33 Märkten auf fünf Kontinenten. Sicherheit ist für Equinix von größter Bedeutung, da Tausende von Unternehmen weltweit auf die Rechenzentren und Zusammenschaltungsdienste von Equinix zurückgreifen. Um eine einheitliche Sicht auf seine Sicherheitsinfrastruktur zu erhalten, benötigte Equinix eine Cloud-Lösung mit zentralisierter Sichtbarkeit und SIEM-Funktionalität, die einfach, schnell und ohne großen operativen Aufwand implementiert werden konnte. Seit der Einführung von Splunk Cloud und Splunk Enterprise Security (ES) verzeichnet Equinix deutliche Verbesserungen, wie etwa:
• Volle operative Transparenz
• Verbessertes Sicherheitsniveau
• Zeit- und Kostenersparnis
Übergreifende Sicht auf die Infrastruktur mit Splunk Cloud und Splunk Enterprise SecurityVor dem Einsatz von Splunk Cloud war Equinix mit den mehr als 30 Milliarden Rohdaten zu Sicherheits-Events im Monat völlig überfordert. Mit Splunk ES und Splunk Cloud kann das Sicherheitsteam nun die 30 Milliarden ungefilterter Sicherheits-Events auf etwa 12.000 korrelierte Events und dann auf 20 umsetzbare Benachrichtigungen reduzieren und bietet so zuverlässige Security Intelligence und die Grundlage für ein dediziertes SOC.
Mit all den innerhalb der Splunk-Plattform aggregierten Daten kann das Sicherheitsteam Datenvergleiche zwischen den Systemen anstellen und somit Incidents 30 Prozent schneller als bisher recherchieren, untersuchen und behandeln. "Unser oberstes Ziel ist der Schutz unserer Kunden, Mitarbeiter und Daten. Mit ES und Splunk Cloud als SIEM-Plattform sind die gewünschten Informationen immer greifbar", sagt George Do, CISO bei Equinix.
"Wenn wir einen Incident untersuchen müssen, zeigen wir einfach die relevanten Daten in Splunk-Dashboards an, so dass alle Mitglieder unseres Sicherheitsteams sowie unsere Führungskräfte auf der mittleren Ebene auf die Informationen zugreifen können. Die Einsparungen an Zeit und Aufwand sind enorm, ebenso wie die Einsparungen von 50 Prozent der Gesamtbetriebskosten im Vergleich zu einer traditionellen, lokalen SIEM-Lösung."
Dank Splunk ES verfügt Equinix nun über umfassende Sicherheitsanalysen. Wenn ein Benutzerkonto beispielsweise Anzeichen verdächtiger Aktivitäten zeigt, wie dies etwa der Fall ist, wenn sich ein lokaler Mitarbeiter unerwartet von einem anderen Kontinent aus anmeldet, dann werden sofort Benachrichtigungen mit hoher Priorität ausgelöst und an das Sicherheitsteam gesendet. Die Verwendung von Splunk Cloud mit ES ermöglicht es Equinix außerdem, Datenlecks bei sensiblen Geschäftsdaten zu verhindern. Insbesondere verwenden Administratoren Korrelationen, um festzustellen, ob ein ausscheidender Mitarbeiter möglicherweise versucht, vertrauliche Daten zu stehlen. Weitere Informationen.
14Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
SAIC profitiert durch Transparenz und BedrohungserkennungScience Applications International Corp. (SAIC) ist ein führender Technologieintegrator, der sich Lösungen für die Märkte Technologie, Entwicklung und Unternehmensdaten spezialisiert hat. SAIC verfügt über Expertise in Bereichen wie wissenschaftliche Forschung, Programm-Management und IT-Dienstleistungen und realisiert den größten Teil seiner Einnahmen mit der US-Regierung. Das Unternehmen musste ein robustes SOC (Security Operations Center) und ein CIRT (Computer Incident Response Team) aufbauen, um sich gegen Cyberangriffe zu verteidigen. Seit der Einführung der Splunk-Plattform verzeichnet das Unternehmen deutliche Verbesserungen, wie etwa:
• Besseres Sicherheitsniveau und ausgereiftere operative Prozesse• Über 80 Prozent kürzere Zeitdauer für Incident-Erkennung
und -Behebung• Umfassende Transparenz innerhalb der gesamten
Unternehmensumgebung
Warum Splunk?Nachdem sich die ursprüngliche SAIC 2013 in zwei Unternehmen aufgeteilt wurde, um Interessenkonflikte innerhalb des Unternehmens zu vermeiden, musste SAIC im Rahmen seines neuen Sicherheitsprogramms ein SOC aufbauen. SAIC verfügt zwar über die meisten der dafür notwendigen Sicherheits-Tools, hatte aber keine Lösung für das Management von Sicherheitsinformationen und -Events als Fundament für seine Verteidigung. Die traditionelle SIEM-Lösung, die vom ursprünglichen Unternehmen als Haupt-Tool für Sicherheitsuntersuchungen verwendet wurde, hatte ihre Grenzen. SAIC ergänzte das SIEM mit Splunk Enterprise und nutzte die Plattform für die Incident-Erkennung durch Korrelationssuchen sowie für die Untersuchung von Incidents. Das IT Operations-Team von SAIC setzt die Splunk-Lösung jetzt auch für das Netzwerk-Monitoring und Performance Management sowie für Anwendungsanalysen und -berichte ein.
Nachdem SAIC mit dem Aufbau des neuen SOC begonnen hatte, entschied sich das Unternehmen für Splunk als einzige Security Intelligence-Plattform für alle Anforderungen im Zusammenhang mit SIEM, einschließlich der Erkennung von Incidents sowie Untersuchungen und Berichten für kontinuierliches Monitoring, Benachrichtigungen und Analysen.
Umfassende Transparenz und Bedrohungs-erkennung innerhalb der gesamten UmgebungSAIC verwendet Splunk-Software jetzt für das Monitoring seiner Umgebung auf Bedrohungen. Im SOC überwachen Analysten benutzerdefinierte Splunk-Dashboards auf Benachrichtigungen und Anzeichen von anomalem oder nicht autorisiertem Verhalten. Bekannte, signaturbasierte Bedrohungen (z. B. solche, die von der IDS- oder Malware-Lösung protokolliert werden) und unbekannte Bedrohungen (z. B. ein privilegiertes Konto mit atypischen Aktivitäten) werden jetzt sofort erkannt.
Traditionelle SIEMs verwenden in der Regel vordefinierte, starre Suchen, die moderne Bedrohungen häufig nicht erkennen und viele False Positives generieren. Mit der Splunk-Plattform haben SAIC-Analysten neue, hochpräzise Korrelationssuchen entwickelt, um Bedrohungen und SAIC-spezifische Kompromittierungsindikatoren zu erkennen, so dass das Team bereits zu einem frühen Zeitpunkt Risiken bewerten und eindämmen kann. Führungskräfte, darunter auch der CISO, können jetzt Schlüsselmetriken zu Bedrohungsaktivitäten anzeigen, darunter Trends, die aggregierte Quelle und neu ermittelte Kompromittierungsindikatoren. Weitere Informationen.
Erkennung komplexer BedrohungenSicherheitsbedrohungen entwickeln sich ständig weiter. Eine analysegestützte SIEM-Lösung kann an neue komplexe Bedrohungen angepasst werden, indem Netzwerksicherheits-Monitoring, Endpunkterkennung und Sandboxes und Verhaltensanalysen in Kombination miteinander implementiert werden, um neue potenzielle Bedrohungen zu identifizieren und isolieren. Die meisten Firewalls und Intrusion Protection Systeme können diese Funktionen nicht alleine bereitstellen.
Das Ziel sollte nicht nur darin bestehen, Bedrohungen zu erkennen, sondern auch den Umfang dieser Bedrohungen zu bestimmen, indem festgestellt wird, wohin eine bestimmte, anfangs erkannte Bedrohung "gewandert" sein könnte, wie diese Bedrohung eingedämmt werden sollte und, wie Informationen ausgetauscht werden sollten.
15Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
Da Sie jetzt die sechs Kernfunktionen analysegestützter SIEM-Lösungen
kennen, befassen wir uns nun eingehender mit der Technologie, die einer
solchen Lösung zugrunde liegen. Dies soll Ihnen helfen, moderne SIEM-
Lösungen von älteren SIEMs, Open-Source-SIEMs und Neuentwicklungen
auf dem SIEM-Markt, wie z. B. UBA-Produkten, zu unterscheiden.
Wenn Sie sich einen Überblick über den SIEM-Markt verschaffen möchten,
sollten Sie Gartners jährlichen Magic Quadrant-Bericht für die Kategorie
"Security Information and Event Management" lesen. Im Zuge der
Weiterentwicklung des Berichts wurde er auf Open Source SIEM-Anbieter
und neue Technologien, wie z. B. UEBA-Anbieter, ausgeweitet.
Die Analystenfirma veröffentlicht auch ergänzende SIEM-Berichte und
beleuchtet in einer weiteren Veröffentlichung neun technische Fähigkeiten,
die eine moderne SIEM-Lösung, wie sie beispielsweise Splunk bietet, von
diesen anderen Kategorien unterscheiden.
3. DIE NEUN TECHNISCHEN FÄHIGKEITEN MODERNER SIEM-LÖSUNGEN
!!
!!
!
!
16Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
Dies sind die neuen technischen Fähigkeiten, die eine moderne SIEM-Lösung von den anderen Kategorien unterscheiden:
SPLUNK ÄLTERES SIEM
OPEN SOURCE
NEUENT- WICKLUNGEN
1. Erfassen von Logs und Events Ja Ja Ja Ja
2. Echtzeit-Anwendung von Korrelationsregeln Ja Ja Eigenent-wicklung
Ja
3. Echtzeit-Anwendung komplexer Analysen und Machine Learning
Ja Eingeschränkt Eigenent-wicklung
Ja
4. Langfristige historische Analysen und Machine Learning Ja Eingeschränkt Eigenent-wicklung
Eingeschränkt
5. Langfristige Event-Speicherung Ja Eingeschränkt Ja Eingeschränkt
6. Suchen und Berichte zu normalisierten Daten Ja Ja Ja Ja
7. Suchen und Berichte zu Rohdaten Ja Komplex Ja Komplex
8. Erfassen von Kontextdaten für weitere Korrelationen und Analysen
Ja Eingeschränkt Ja Eingeschränkt
9. Verwendung für nicht sicherheitsbezogene Anwendungsfälle Ja Nein Eigenent-
wicklung
Nein
1. Erfassen von Logs und EventsEine analysegestützte SIEM-Lösung sollte alle Event Logs erfassen, verwenden und analysieren sowie in Echtzeit eine einheitliche Sicht bieten können. Dies gibt IT- und Sicherheitsteams die Möglichkeit, Event Logs zentral zu verwalten, verschiedene Events über mehrere Rechner oder mehrere Tage hinweg zu korrelieren und andere Datenquellen wie etwa Registrierungsänderungen und Proxy-Protokolle einzubinden, um sich ein vollständiges Bild zu machen. Sicherheitsexperten bekommen damit zudem die Möglichkeit, alle Event Logs zentral zu prüfen und zu dokumentieren.
2. Echtzeit-Anwendung von Korrelationsregeln
Die Event-Korrelation ist eine Methode, große Mengen von Sicherheits-Events zu sichten und sich dann auf die Details derjenigen Events zu konzentrieren, die wirklich wichtig sind. Dazu werden mehrere Events miteinander verknüpft, um Erkenntnisse zu gewinnen.
3. Echtzeit-Anwendung komplexer Analysen und Machine Learning und (4.) langfristige historische Analysen und Machine Learning
Es gibt eine grundlegende Form von Analysen, die im Kontext einer SIEM-Lösung die Erkenntnisse aus den Daten liefern, um Muster aufzudecken. Dadurch können Sicherheitsanalysten "tiefer graben" und Bedrohungen erkennen, bevor diese einen Schaden anrichten, sowie Incidents forensisch untersuchen.
Eine neuere Forrester-Studie ergab, dass 74 Prozent "…der Entscheidungsträger in Sachen Sicherheitstechnologie einem verbesserten Sicherheits-Monitoring eine hohe oder sogar kritische Priorität beimessen" und, dass "...Anbieter Security Analytics-Funktionen zu bestehenden Lösungen hinzufügen, während neuere Anbieter (Security Analytics-)Lösungen entwickeln, die neuere Technologien nutzen und keine Bestandslösungen als Ballast mitschleppen”.
Machine Learning (ML) geht bei der Datenanalyse noch weiter. ML ermöglicht Unternehmen mit einer analysegestützten SIEM-Lösung, prädiktive Analysen zu nutzen, die mit historischen Daten aussagekräftiger werden. Sicherheitsexperten profitieren dadurch beim Erkennen von Incidents, bei der Vorhersage oder gar Verhinderung von Angriffen und Vielem mehr.
17Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
5. Langfristige Event-SpeicherungEine analysegestützte SIEM-Lösung ist in der Lage, historische Logdaten langfristig zu speichern. Dies ermöglicht die Korrelation von Daten über längere Zeiträume hinweg und erleichtert die Einhaltung von Compliance-Mandaten.
Warum ist das im Hinblick auf die Sicherheit besonders wichtig? Die langfristige Speicherung von Maschinendaten ermöglicht Sicherheitsanalysten forensische Sicherheitsuntersuchungen, um beispielsweise die Angriffsroute bei einem Netzwerkangriff nachzuvollziehen.
6. Suchen und Berichte zu normalisierten Daten
Mit den Such- und Berichtsfunktionen eines SIEMs können Benutzer ihre Daten durchsuchen, Datenmodelle und Pivots erstellen, Suchen und Pivots als Berichte speichern, Benachrichtigungen konfigurieren und Dashboards erstellen, die für andere Benutzer freigegeben werden können.
7. Suchen und Berichte zu RohdatenUnter Suchvorgängen und der Berichtserstellung auf der Basis von Rohdaten versteht man im SIEM-Kontext das Erfassen von Daten aus verschiedenen Quellen und die zentrale Datenbereitstellung durch eine analysegestützte SIEM-Lösung. Im Gegensatz zu älteren Systemen können analysegestützte SIEM-Lösungen Rohdaten aus praktisch jeder Quelle erfassen. Diese Daten können in verwertbare Informationen verwandelt und dann zu leicht verständlichen Berichten zusammengestellt werden, die direkt von der SIEM-Plattform aus an die entsprechenden Personen verteilt werden.
8. Erfassen von Kontextdaten für weitere Korrelationen und Analysen
Wenn eine analysegestützte SIEM-Lösung Daten erfasst hat, benötigt der Benutzer zusätzlichen Kontext, um zu wissen, was er mit diesen Daten machen soll und was sie bedeuten. Dies ist von entscheidender Bedeutung, um echte Bedrohungen von Fehlalarmen unterscheiden zu können und echte Bedrohungen effektiv zu erkennen und darauf zu reagieren.
Eine analysegestützte SIEM-Lösung kann Kontext zu externen Bedrohungsinformationen, internen IT-Operationen und Ereignismustern hinzufügen. Dies ermöglicht dem Benutzer weitere Drilldowns durchzuführen und in Echtzeit auf Bedrohungen zu reagieren.
9. Verwendung für nicht sicherheitsbezogene Anwendungsfälle
Ein weiterer Unterschied zwischen analysegestützten SIEM-Lösungen und älteren SIEMS besteht darin, dass sie für mehrere Anwendungsfälle, einschließlich nicht sicherheitsbezogener Anwendungen wie z. B. IT-Operations - dem IT Betrieb, verwendet werden können.
18Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
Maschinengenerierte Daten sind einer der am schnellsten wachsenden komplexen Bereiche von Big Data. Außerdem ist dies einer der wertvollsten Bereiche, da die Maschinendaten verlässliche Aufzeichnungen zu den gesamten Benutzertransaktionen, dem Kundenverhalten, dem Computerverhalten, Sicherheitsbedrohungen sowie betrügerischen Aktivitäten umfassen. Splunk zieht unabhängig von der Branche wertvolle Erkenntnisse aus Maschinendaten. Das bedeutet "Operational Intelligence".
Splunk Enterprise überwacht und analysiert Maschinendaten aus beliebigen Quellen,
um Operational Intelligence bereitzustellen, mit der Sie Ihre IT, Ihr Sicherheitsniveau
und die Unternehmensleistung verbessern können. Mit intuitiven Analysefunktionen,
Machine Learning, standardisierten Anwendungen und offenen APIs ist Splunk
Enterprise eine flexible Plattform, die von spezifischen Anwendungsfällen auf ein
unternehmensweites Analyse-Backbone skaliert werden kann. Splunk Enterprise:
• Sammelt und indiziert Log- und Maschinendaten aus beliebigen Quellen
• Leistungsfähige Such-, Analyse- und Visualisierungsfunktionen unterstützen
Benutzer im ganzen Unternehmen
• Das umfassende App-Ökosystem Splunkbase liefert Lösungen in den Bereichen
Sicherheit, IT Operations, Business Analytics und mehr
• Verfügbar als lokal installierte Software und als Cloud-Service
4. UND NUN ZU SPLUNK
!!
!!
!
!
19Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
Anwendungsbereitstellung
IT Operations
Sicherheit, Complianceund Betrugsbekämpfung
Business Analytics
Das Internet der Dingeund Industrie 4.0
Stellen Sie einebeliebige Frage
Lokal Container
Service
Server
Storage
Desktops
Sicherheit
Web-Dienste
Netzwerke
FirewallRFID
Messaging
StandardisierteAnwendungen
Benutzer-spezifische
Anwendungen
Stromzähler
DatenbankenGesprächs-datensätze
GPS-Standort
IPSTele-kommunikation
IntelligenteFahrzeuge
Notrufsysteme
Gesundheitswesen Transportation
Online-Dienste
Online-Einkaufswagen
Web-Clickstreams
Smartphonesund Geräte
Private Cloud
ÖffentlicheCloud
Indizieren Sie ungenutzte Daten: Quelle, Typ und Menge/Volumen sind beliebig
Gewinnen Sie Mehrwert aus Maschinendaten
Durch Operational Intelligence erhalten Sie in Echtzeit einen Einblick davon, was innerhalb Ihrer gesamten IT-Systeme und Technologieinfrastruktur geschieht, und können dadurch fundierte Entscheidungen treffen. Möglich wird dies durch die Splunk-Plattform, die die Grundlage für sämtliche Produkte, Premium-Lösungen, Apps und Add-Ons von Splunk darstellt.
Splunk als SIEMSplunk-Sicherheitslösungen erfüllen nicht nur die neuen Kriterien für modernes SIEM, sondern bieten auch Security Analytics-Möglichkeiten, die den wertvollen Kontext und visuelle Einblicke bieten, mithilfe derer Sicherheitsteams schneller intelligentere Sicherheitsentscheidungen treffen können.
Splunk bietet verschiedene Optionen für Unternehmen, die Splunk als SIEM-Lösung verteilen oder von ihrem bisherigen SIEM migrieren möchten, und lässt dem Kunden zudem die Wahl zwischen lokaler, cloud-basierter oder hybrider Verteilung.
Kunden können ihre grundlegenden SIEM-Anwendungsfälle mit Splunk Enterprise oder Splunk Cloud lösen. Splunk Enterprise und Splunk Cloud sind Splunk-Kernplattformen, die Funktionen für das Erfassen, Indizieren, Durchsuchen und Integrieren von Daten, das Erstellen von Berichten oder CLM bereitstellen. Viele Splunk-Sicherheitskunden verwenden Splunk Enterprise oder Splunk Cloud, um eigene Echtzeit-Korrelationssuchen und Dashboards für eine SIEM-Umgebung mit Grundfunktionen erstellen.
Splunks Premium-Lösung Splunk Enterprise Security (ES) unterstützt komplexe SIEM-Anwendungsfälle mit gebrauchsfertigen Dashboards, korrelierten Suchen und Berichten. Splunk ES kann unter Splunk Enterprise, Splunk Cloud oder unter beiden ausgeführt werden. Neben vorkonfigurierten
Korrelationsregeln und Benachrichtigungen bietet Splunk ES die Vorfallsüberprüfung, Workflow-Funktionalität und Drittanbieter-Feeds mit Bedrohungsinformationen, die Ihre Untersuchungen unterstützen. Darüber hinaus gibt es über 300 weitere sicherheitsbezogene Apps in Splunkbase mit vorkonfigurierten Suchen, Berichten und Visualisierungen für bestimmte Drittanbieter von Sicherheitslösungen. Diese sofort einsatzbereiten Apps, Dienstprogramme und Add-ons bieten Funktionen, die von Sicherheits-Monitoring über Firewalls der nächsten Generation bis hin zur Verwaltung komplexer Bedrohungen reichen. Sie erhöhen die Sicherheit und werden von Splunk, Splunk-Partnern und anderen Drittanbietern bereitgestellt.
Splunk ES ist zudem eine analysegestützte SIEM-Lösung, die aus fünf verschiedenen Frameworks besteht, die unabhängig voneinander eingesetzt werden können. Damit lässt sich eine Vielzahl von Sicherheitsanwendungsfällen abdecken, wie etwa Compliance, App-Sicherheit, Incident Management, Erkennung komplexer Bedrohungen, Echtzeit-Monitoring und vieles mehr. Eine analysegestützte SIEM-Plattform kombiniert Machine Learning, Anomalieerkennung und kriterienbasierte Korrelation in einer einzigen Lösung für Sicherheitsanalysen.
Mit Splunk ES können Sie Ereignisse im Zeitverlauf korrelieren und Details mehrstufiger Angriffe dokumentieren.
Die Plattform ermöglicht es Unternehmen außerdem, Bedrohungen, Angriffe und andere anormale Aktivitäten in allen sicherheitsrelevanten Daten mit Geschäftskontext in Echtzeit zu erkennen, zu überwachen und zu Berichten zu verarbeiten. Mit hochentwickelten Analysefunktionen erzielen Kunden eine schnellere Erkennung von Bedrohungen und eine schnelle Reaktion auf Incidents im gesamten Sicherheits-Ökosystem.
Splunk ES ist Teil eines breiter gefassten Sicherheitsportfolios, das CLM mit Splunk Enterprise und komplexe UBA-Funktionen mit Splunk User Behavior Analytics (UBA) anbietet.
20Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
Warum Splunk sich als SIEM-Lösung eignet• Splunk-Software kann eingesetzt werden, um SOCs
(Security Operations Centers) beliebiger Größe zu betreiben.
• Unterstützung für die gesamte Palette von Information Security-Vorgängen, wie Beurteilung des Sicherheitsniveaus, Monitoring, Benachrichtigungen und Bewältigung von Sicherheits-Incidents, CSIRT, Analyse und Reaktion bei Sicherheitsverletzungen und Event-Korrelation.
• Sofortige Unterstützung für SIEM- und Sicherheitsanwendungsfälle
• Erkennen bekannter und unbekannter Bedrohungen, Untersuchen von Bedrohungen, Prüfen der Compliance und Einsetzen komplexer Security Analytics für detaillierte Erkenntnisse
• Bewährte, integrierte, auf Big Data basierende Security Intelligence-Plattform
• Nutzung von Ad hoc-Suchen für die Analyse komplexer Verstöße
• Flexible Verteilungsoptionen: lokal, in der Cloud sowie in gemischten lokalen und cloud-basierten Implementierungen
Splunk UBA auf einen Blick:• Erhöht die Erkennungswahrscheinlichkeit mithilfe
eines verhaltensorientierten, zweckgebundenen und konfigurierbaren Machine Learning-Frameworks, das nicht überwachte Algorithmen nutzt
• Erweitert die UEBA-Möglichkeiten von SOC-Analysten, indem Hunderte von Anomalien automatisch zu einer Einzelbedrohung zusammengesetzt werden
• Bietet verbesserten Kontext, da Bedrohungen über mehrere Angriffsphasen hinweg visualisiert werden
• Unterstützt die bidirektionale Integration mit Splunk Enterprise im Hinblick auf Datenerfassung und -korrelation sowie mit Splunk Enterprise Security hinsichtlich Auswirkungsbeurteilung, Untersuchung und automatisierten Reaktionen
Splunk UBASplunk UBA ist eine auf Machine Learning gestützte Lösung, die die nötigen Antworten liefert, damit Sie unbekannte Bedrohungen und anomales Verhalten über sämtliche Benutzer, Endgeräte und Anwendungen hinweg aufspüren können. Sie konzentriert sich nicht nur auf externe Angriffe, sondern auch auf Insider-Bedrohungen. Die Machine Learning-Algorithmen liefern verlässliche Ergebnisse mit Risikobewertungen und entsprechenden Nachweisen, die die herkömmlichen Vorgehensweisen von Analysten in Security Operation Centers (SOC) ergänzen und beschleunigen. Zudem liefert Splunk UBA visuelle Ansatzpunkte für Sicherheitsanalysten und Threat Hunter, sodass diese Anomalien proaktiv untersuchen können.
InfoTeK und Splunk bieten eine Security Intelligence-Plattform für die öffentliche HandViele Unternehmen verlassen sich bei Monitoring, Untersuchung und Reaktion auf Sicherheitsbedrohungen auf SIEM-Software. Bei einer US-Regierungsbehörde scheiterte dies daran, dass die alte SIEM-Software von HP ArcSight die Erwartungen nicht erfüllte. Die Behörde wandte sich an InfoTeK, einen führenden Anbieter für Cybersicherheit, Software- und Systementwicklung, um sein SIEM-Tool zu ersetzen. Seit der Einführung der Splunk-Plattform verzeichnet das Unternehmen deutliche Verbesserungen, wie etwa:
• Verteilung an einem Wochenende und Abwehr eines Angriffs am nächsten Tag
• 75 Prozent Kosteneinsparung beim Unterhalt der SIEM-Lösung
• Reduzierung der Zahl notwendiger Tools wie etwa Log-Aggregatoren und Endpunktlösungen
Mit Splunk Enterprise und Splunk ES verfügt die Behörde über eine analysegestützte SIEM-Lösung, die dem IT-Team verwertbare Sicherheitsinformationen zu vertretbaren Kosten zur Verfügung stellt. InfoTeK implementierte die Splunk-Software innerhalb eines Wochenendes beim Kunden.
Gleich am nächsten Tag konnte die Software ihren Wert unter Beweis stellen. Das IT-Team durchsuchte Sicherheits-Events und konnte sofort einen Angriffsvektor abwehren.
"Aktionen, die früher Stunden, Tage oder sogar Wochen mit anderen Produkten in Anspruch genommen haben, oder den dauernden Wechseln zwischen verschiedenen Tools erforderlich machten, können mit Splunk in Sekunden, Minuten oder höchstens Stunden erledigt werden", sagt Jonathan Fair, Senior Incident Handler und Security Engineer bei InfoTeK. "Wir konnten schon vor der vollständigen Bezahlung den Produkt ROI erzielen, da der Kunde erfolgreich eine Bedrohung stoppen konnte, die einen kompletten Neuaufbau des Netzwerks erforderlich gemacht hätte." Weitere Informationen.
Klicken Sie hier, wenn Sie erfahren möchte, wie InfoTek seine SIEM-Kosten um 75 Prozent senkte.
21Der Leitfaden für SIEM-Käufer
LEITFADEN FÜR KÄUFER
Heartland Automotive schützt Ruf der Marke und sichert Daten mit Splunk-PlattformHeartland Automotive Services, Inc., und seine Abteilung Jiffy Lube, bekannt für ihr Ölwechsel-Servicepaket, sind das größte Franchiseunternehmen für Autoschnellservice in den USA. Heartland Automotive benötigte eine Cybersicherheitsplattform, um seine Marke und seine wichtigste Ressource zu schützen, nämlich seine Daten. Seit der Einführung von Splunk ES und Splunk UBA als integrierte SIEM-Plattform verzeichnet Heartland Automotive deutliche Verbesserungen, wie etwa:• Schneller Time-to-Value durch Implementieren einer
SIEM- und Sicherheitslösung zum Schutz vor Insider-Bedrohungen in nur drei Wochen
• Plattform zur Unterstützung von Innovationen bei 25 Prozent geringeren Betriebskosten
• Echtzeit-Sicherheitsuntersuchungen und Schutz vor Insider-Bedrohungen wurden eingerichtet
SIEM-Implementierungen sind häufig komplex, da große Unternehmen über viele Datenquellen verfügen und die Konfiguration von Benachrichtigungen Wochen dauern kann. Laut Chidi Alams hat das Splunk Professional Services Team erreicht, dass der gesamte Prozess der Identifizierung von Datenquellen des Unternehmens, der Ausgestaltung des SIEM-Designs und der Konfiguration von Benachrichtigungen nahtlos ablief.
"Ein kurzer Time-to-Value ist alles – konnten wir eine SIEM-Lösung und Funktionen zur Erkennung von Insider-Bedrohungen innerhalb von drei Wochen implementieren, was normalerweise drei Monate dauern würde", erklärt Chidi Alams, Leiter der IT und Information Security bei Heartland Automotive Services. "Den Chief Financial Officer und andere Mitglieder der oberen Führungsebene hat der Time-to-Value beeindruckt – die Implementierung fand ja fast über Nacht statt. Das hat ihr Vertrauen in die Lösung deutlich gestärkt." Weitere Informationen.
MONITORING BERICHTEN
ERKENNEN BENACH-
RICHTIGENANALYSIEREN UNTERSUCHEN
REAGIEREN ZUSAMMEN-ARBEITEN
Vordefinierte Ansichten und
Regeln
Korrelations-regeln, Schwellen-
werte
Analysegestützte Untersuchung
& Kontext-veredelung
Unternehmens-weite Koordination
und Reaktion
SIEMBenachrichtigungen an Security
Ops-Management, Incident Management, richtlinienbasierte
Regeln, direkt anwendbare Sicherheitsregeln & Analysen
Klicken Sie hier, wenn Sie erfahren möchten, wie Heartland Automotive Innovationen mithilfe von Splunk vorantrieb und dabei 25 Prozent Betriebskosten einsparte.
US-Regierungsbehörde auf Kabinettebene spart $ 900.000 an Kosten für Wartung älterer Software Bürger erwarten von Regierungsbehörden nicht nur, dass sie Steuergelder sinnvoll ausgeben, sondern auch alles Nötige unternehmen, um widerstandsfähige Systeme für effektive Systeme einzurichten. Eine große US-Behörde auf Kabinettsebene verwendete zuvor HP ArcSight, ein langsames und teures Tool für das Sicherheitsinformation- und Event-Management, das den Anforderungen der Behörde nicht gerecht wurde. Seit die Behörde die Bestandslösung in den Bereichen Sicherheit und Compliance durch Splunk Enterprise ersetzt hat, verzeichnet sie deutliche Verbesserungen, wie etwa:
• Einsparungen in Höhe von $ 900.000 pro Jahr für Softwarewartung
• Verbesserte Sicherheit mit Erkennung, Abwehr und Behebung von Bedrohungen
• Verkürzung der Dauer für Sicherheitsuntersuchungen von Stunden auf Minuten
Proaktive SicherheitsstrategieMargulies und sein Team unterstützen das SOC der Behörde, das unter anderem 40 Analysten umfasst, die Splunk Enterprise zur Untersuchung von Sicherheits-Incidents einsetzen. Zum SOC gehört zudem ein großes IT-Team, das die Splunk-Software bei der Fehlersuche und Berichterstellung nutzt. Weitere Kunden sind Mitarbeiter, die die Einhaltung von Sicherheitsbestimmungen durch die Behörde sicherstellen müssen.
LEITFADEN FÜR KÄUFER
© 2018 Splunk Inc. Alle Rechte vorbehalten. Splunk, Splunk>, Listen to Your Data, The Engine for Machine Data, Splunk Cloud, Splunk Light und SPL sind Marken und eingetragene Marken von Splunk Inc. in den Vereinigten Staaten und anderen Ländern. Alle anderen Marken-, Produktnamen oder Marken gehören den entsprechenden Inhabern. WP-Splunk-SIEM-Buyers-Guide-101
www.splunk.comHier erfahren Sie mehr: www.splunk.com/asksales
Möchten Sie mehr über Splunks analysestützte SIEM-Lösung erfahren und herausfinden, wie sie dazu beitragen kann,
das Sicherheitsniveau Ihres Unternehmens zu verbessern? Kontakt zu einem Splunk-Experten.
Die Zukunft von SIEMDie Technologie, auf der SIEM-Lösungen basieren, existiert zwar schon seit Jahren, aber das bedeutet nicht, dass SIEMs Steinzeittechnologie sind.
Tatsächlich ist SIEM nicht gleich SIEM, wie dies dieser Leitfaden für Käufer zeigt. Am deutlichsten wird dies, wenn man die Unterschiede zwischen älteren SIEMs und einer modernen, analysegestützten SIEM-Lösung betrachtet.
Es sind eben diese analysegestützten SIEMs, die die besten Zukunftsaussichten am Markt haben. Diese modernen Sicherheitslösungen eignen sich nach wie vor hervorragend für die Erkennung und Abwehr von Bedrohungen, Benachrichtigungen sowie Compliance-Reporting und bieten dabei einen nachweisbaren ROI.
Und in der sich ständig weiterentwickelnden modernen Bedrohungslandschaft haben analysegestützte SIEM-Lösungen bewiesen, dass sie sich anpassen und den Bedrohungen immer einen Schritt voraus sein können.
Der Splunk-ROIAn analysegestützten SIEM-Lösungen wird häufig kritisiert, dass sie eine kostspielige Investition darstellen. In der Realität kommt dies jedoch auf den Blickwinkel an.
Wie teuer erscheint eine analysegestützte Sicherheitslösung, nachdem Ihr Unternehmen gerade einem Insider-Angriff zum Opfer gefallen ist? Oder, wenn es gerade einen Ransomware-Angriff gab, bei dem Schlagzeilen gestohlen werden.
Der unmittelbare ROI (Return on Investment) besteht also darin, Sicherheitsverstöße zu verhindern und das Unternehmen proaktiv vor internen und externen böswilligen Angreifern zu schützen.
Doch hier endet der ROI einer SIEM-Lösung noch nicht.
Eine analysegestützte SIEM-Lösung unterstützt gängige IT-Anwendungsfälle wie Compliance, Betrugs-, Diebstahl- und Missbrauchserkennung, IT Operations, Service Intelligence, Anwendungsbereitstellung und Business Analytics.
Da die Sicherheitsteams in Abstimmung mit anderen IT-Bereichen arbeiten, führt die Transparenz aus anderen Anwendungsfällen zu einer zentralisierten Sicht auf das gesamte Unternehmen mit abteilungsübergreifender Zusammenarbeit und einem höheren ROI.
Der beste Weg, den echten ROI einer analysegestützten SIEM-Lösung zu verstehen, sind Berichte von Benutzern, die bereits über eine solche Lösung verfügen.
