NET 09/2021

20 www.net-im-web.de 09/21 Verfügbarkeit ist nicht alles System in der Lage, andere Security- Produkte zu veranlassen, Aktionen auszuführen, Angriffe zu verhindern oder zu stoppen? • künstliche Intelligenz (KI): Kann das SIEM-Systemdurchmaschinelles Ler- nen (ML) oder Deep Learning (DL) seine Erkennungsgenauigkeit vonVor- fällen automatisch verbessern? • Threat Intelligence Feeds: Lassen sich beliebige Bedrohungs-Feeds an das System anbinden oder muss man einen bestimmten Feed verwenden? • Reporting: Können vorgefertigte Be- richtsvorlagen für gängige Compli- ance-Anforderungen verwendet wer- den? Lassen sich Reports anpassen oder neue Berichte erstellen? • forensische Fähigkeiten: Kann das Sys- tem zusätzliche Informationen über Vorfälle erfassen, die zur nachträg- lichen Analyse herangezogen werden können? Fazit Die Unternehmen haben heute mehrheit- lich begriffen, dass IT-Sicherheit ein elemen- tarer Bestandteil ihrer Geschäftsprozesse sein muss, um sich gegenüber Angreifern abzusichern. Allerdings werden dabei unter- schiedliche Aufwände betrieben. Während das Monitoring der Verfügbarkeit auch bei klein- undmittelständischenUnternehmen (KMU) zum Stand der Technik gehört, fehlt es noch an vergleichbaren Systemen zum Monitoring der IT-Sicherheit. Diese Lücke kann durch intelligente SIEM-Sys- teme gefüllt werden, was aber bisher durch die Kosten oder Komplexität problema- tisch war. Intrusion Detection Systeme (IDS) scheiterten in der Vergangenheit bereits an dem Auswerte- und Konfigu- rationsaufwand, was man nun bei SIEM tunlichst vermeiden möchte. NAC-Sys- teme werden ebenfalls immer noch viel zu wenig eingesetzt (bisher nur 30 % der Unternehmen in Deutschland), obwohl diese gerade imZusammenspiel mit SIEM sinnvoll sind. Weiterentwicklungen wie SOAR und XDR ermöglichen nun die Einbeziehung von externenWissensdaten- banken oder Sicherheitsexperten, automati- sierteGegenmaßnahmen und Einbeziehung von Cloud-Systemen. Auch diese Systeme werden inzwischen teilweise in SIEM-Sys- teme integriert, um das Analysieren von SIEM-Berichten nicht selbst, sondern durch externe Security Operation Center (SOC) vornehmen zu lassen. Allerdings sind solche Funktionen oftmals bei deutschen Unter- nehmen aus Datenschutzgründen nicht erwünscht, wofür dann allerdings auch das entsprechende Fachpersonal verfügbar sein sollte. Hier muss man das Für und Wider entsprechend abwägen. Eines ist aber auf jeden Fall sicher: Ohne ein Sicherheits- monitoring sollte ein Unternehmen heute nicht mehr auskommen. Hersteller/Anbieter Produktname URL-Adresse Alienvault USM Anywhere www.alienvault.com Darktrace OSSIM www.alienvault.com Darktrace Enterprise Immune System www.darktrace.com Decoit ScanBox www.scanbox-product.de CLEARER www.clearer-product.de Elastic ELK Stack www.elastic.co Elastic-SIEM www.elastic.co Exabeam Security Management Plat- form www.exabeam.com Fireeye Helix Security Platform www.fireeye.com Fortinet FortiSIEM www.fortinet.com Hansight Enterprise en.hansight.com Hewlett Packard Enterprise (HPE) ArcSight User Behavior Ana- lytics (UBA) www.hpe.com ArcSight ThreatDetector www.hpe.com Huawei HiSec Insight www.huawei.com IBM QRadar SIEM www.ibm.com QRadar User Behavior Ana- lytics (UBA) www.ibm.com Logpoint SIEM www.logpoint.com Logrythm NextGen SIEM Platform www.logrhythm.com User and Entity Behavior Analytics (UEBA) www.logrhythm.com CloudAI www.logrhythm.com Manageengine ADAudit Plus www.manageengine.com EventLog Analyzer www.manageengine.com Log360 www.manageengine.com Mcafee Enterprise Security SIEM www.mcafee.com Micro Focus ArcSight Enterprise Security Manager www.microfocus.com ArcSight Logger www.microfocus.com Microsoft Azure Sentinel www.microsoft.com Dies ist eine Übersicht über die derzeit im Markt vorhandenen SIEM-Lösungen sowie die einzelnen Hersteller. Darüber hinaus sind die entsprechenden Webseiten aufgeführt. Die Tabelle erhebt aber keinen Anspruch auf Vollständigkeit