NET 09/2021

19 www.net-im-web.de 09/21 Verfügbarkeit ist nicht alles es als reine Softwaresysteme geben, aber auch Appliances undManaged Services sind möglich. Durch die Analyse von Log-In- formationen können zusammenhängende Reports generiert werden, die man auch für Compliance-Zwecke verwenden kann. Eine Kombination mit NAC-Systemen ist dabei durchaus erwünscht, da sich beide Sicherheitssysteme gegenseitig ergänzen können. SIEM-Lösungen sammeln rele- vante Protokoll-, Log- und Ereignisdaten aus verschiedenstenQuellen aus Bereichen wie z.B. Security, Netz, Server oder auch Anwendungen (Bild 2). Typische Beispiele für Quellen sind Firewalls, IDS/IPS-Sys- teme, Antimalwaresoftware oder auch Web-Content-Gateways. Die aus diesen Quellen aggregierten Daten werden dann von der SIEM-Lösung in Echtzeit analy- siert, um etwaige Sicherheitsprobleme zu erkennen. Da man mehrere Datenquellen analysiert, erkennt das SIEM-System Be- drohungen, indem es Informationen aus mehr als einer Quelle korreliert. Dabei ordnet es die Ereignisse hinsichtlich ihrer Bedeutung ein, indemKI-Methoden zum Einsatz kommen. Security-Admins obliegt dann die Aufgabe, die verschiedenen Vor- fälle durchzusehen, um die Quelle der Be- drohung aufzuspüren und das Problem zu beheben. Auf dieseWeise lernt die SIEM- Lösung zunehmend besser zu erkennen, was eine echte Bedrohung ist und welche Ereignisse nur verdächtig erscheinen. Security Orchestration Automa- tion and Response (SOAR) korreliert ähn- lich wie SIEM ebenfalls Sicherheitsdaten aus verschiedenen Quellen, aber Herkunft undMenge der bezogenen Informationen unterscheiden sich. Bei SOAR kommen aber noch weitere Faktoren hinzu. So werden beispielsweise externe Informa- tionen wie „Threat Intelligence Feeds“ von Anbietern von Sicherheitssoftware oder anderen externen Drittanbietern mitbe- rücksichtigt. Diese Informationen werden miteinbezogen, um ein besseres Gesamt- bild der Sicherheitslandschaft innerhalb und außerhalb des Unternehmensnetzes zu erhalten. Anschließend können die notwendigen Reaktionen auf bestimmte Sicherheitsvorfälle automatisiert umgesetzt werden, ohne einen zusätzlichen Security- Administrator. Zusätzlich versuchen Hersteller die Kommunikationsendpunkte durch Endpoint-Protection-Lösungen besser abzusichern. Für gezielte Attacken auf be- stimmte Rechnersysteme ist daher Endpoint Detection and Response (EDR) entwickelt worden. Diese Systeme bieten präventiven Bedrohungsschutz, intelligente Analysen durchmaschinelles Lernen und koordinierte Abwehrprozesse. Das Rechnerbetriebs- system wird nicht nur geschützt, sondern auch seine Schnittstellen (z.B. USB). Als Weiterentwicklung vonEDRwirdExtended Detection and Response (XDR) gehandelt. XDR kombiniert Daten aus verschiedenen Quellen, wie z.B. den Endpoints, demNetz, der Cloud und Log-Daten mit allgemeinen Bedrohungsinformationen. Das heißt, es werden lokale Bedrohungsdaten mit exter- nenDatenquellen kombiniert. Dadurch soll ähnlich wie bei SOAR ein vollständigeres Angriffsbild geschaffen werden. Übersicht über SIEM-Lösungen An dieser Stelle soll ein Überblick über vorhandene SIEM-Systeme am Markt ge- geben werden, die das Monitoring von IT-Sicherheitsvorfällen ambesten abdecken. Die Tabelle gibt einen Überblick über die entsprechenden Hersteller mit ihren Lö- sungen, wobei keine Vollständigkeit auf- grund des dynamischenMarktes garantiert werden kann. Bei der Bewertung von SIEM-Lö- sungen sollte dabei folgende Fragestellungen bez. der unterstützten Leistungsmerkmale mit einbezogen werden: • Integrationsmöglichkeit mit anderen Sicherheitslösungen: Ist das SIEM- Bild 2: Aufbau eines SIEM-Systems zur Aggregation relevanter Protokoll-, Log- und Ereignisdaten aus verschiedensten Quellen aus Bereichen wie z.B. Security, Netz, Server oder auch Anwendungen