Was ist SIEM? Ein Leitfaden für Anfänger
SIEM ist jetzt eine 2-Milliarden-Dollar-Branche, aber laut einer kürzlich durchgeführten Umfrage erhalten nur 21,9% dieser Unternehmen Wert aus ihrem SIEM.
SIEM-Tools sind wichtig Teil des Datensicherheits-Ökosystems: Sie aggregieren Daten aus mehreren Systemen und analysieren diese Daten, um abnormales Verhalten oder potenzielle Cyberangriffe zu erkennen. SIEM-Tools bieten einen zentralen Ort zum Sammeln von Ereignissen und Warnungen. Sie können jedoch teuer und ressourcenintensiv sein. Kunden berichten, dass es häufig schwierig ist, Probleme mit SIEM-Daten zu lösen.
Leitfaden: 5 Möglichkeiten SIEM schlägt fehl (und was dagegen zu tun ist)
Was ist SIEM?
Sicherheitsinformations- und Ereignisverwaltung (SIEM) ist Eine Softwarelösung, die Aktivitäten aus vielen verschiedenen Ressourcen in Ihrer gesamten IT-Infrastruktur aggregiert und analysiert.
SIEM sammelt Sicherheitsdaten von Netzwerkgeräten, Servern, Domänencontrollern und mehr. SIEM speichert, normalisiert, aggregiert und wendet Analysen auf diese Daten an, um Trends zu erkennen, Bedrohungen zu erkennen und Unternehmen die Möglichkeit zu geben, Warnungen zu untersuchen.
Wie funktioniert SIEM?
SIEM bietet zwei Hauptfunktionen für ein Incident Response-Team:
-
- Berichterstellung und Forensik zu Sicherheitsvorfällen
- Warnungen basierend auf Analysen, die einem bestimmten Regelsatz entsprechen und auf ein Sicherheitsproblem hinweisen.
Im Kern ist SIEM ein Datenaggregator-, Such- und Berichtssystem. SIEM sammelt immense Datenmengen aus Ihrer gesamten Netzwerkumgebung, konsolidiert diese Daten und macht sie für den Menschen zugänglich. Mit den kategorisierten und übersichtlichen Daten können Sie Verstöße gegen die Datensicherheit so detailliert wie nötig untersuchen.
Funktionen für Sicherheitsinformationen und Ereignisverwaltung
Gartner identifiziert drei wichtige Funktionen für SIEM (Erkennung von Bedrohungen, Untersuchung und Reaktionszeit) – es gibt andere Merkmale und Funktionen, die Sie auf dem SIEM-Markt häufig sehen, darunter:
-
- Grundlegende Sicherheitsüberwachung
- Erweiterte Bedrohungserkennung
- Forensik & Reaktion auf Vorfälle
- Protokollsammlung
- Normalisierung
- Benachrichtigungen und Warnungen
- Erkennung von Sicherheitsvorfällen
- Workflow für Bedrohungsreaktionen
Top SIEM Tools
Dies sind einige der Top-Player im SIEM-Bereich:
Splunk
Splunk ist eine vollständige On-Prem-SIEM-Lösung, die Gartner als führend im Bereich bewertet. Splunk unterstützt die Sicherheitsüberwachung und kann erweiterte Funktionen zur Erkennung von Bedrohungen bereitstellen.
Varonis lässt sich über die Varonis DatAlert-App für Splunk in Splunk integrieren.
IBM QRadar
QRadar ist ein weiteres beliebtes SIEM, das Sie als Hardware-Appliance bereitstellen können Virtuelle Appliance oder Software-Appliance, abhängig von den Anforderungen und der Kapazität Ihres Unternehmens.
QRadar kann in Varonis integriert werden, um erweiterte Funktionen zur Erkennung von Bedrohungen hinzuzufügen. Suchen Sie nach der Varonis App für QRadar
LogRhythm
LogRhythm ist ein gutes SIEM für kleinere Organisationen. Sie können LogRhythm in Varonis integrieren, um Funktionen zur Erkennung und Reaktion von Bedrohungen zu erhalten.
SIEM im Unternehmen
Einige Kunden haben festgestellt, dass sie zwei separate SIEM-Lösungen warten müssen, um den größtmöglichen Nutzen zu erzielen Da das SIEM unglaublich laut und ressourcenintensiv sein kann, bevorzugen sie normalerweise eines für die Datensicherheit und eines für die Konformität.
Über den primären Anwendungsfall von SIEM für Protokollierung und Protokollverwaltung hinaus verwenden Unternehmen ihr SIEM für andere Zwecke. Ein alternativer Anwendungsfall besteht darin, die Einhaltung von Vorschriften wie HIPAA, PCI, SOX und GDPR nachzuweisen.
SIEM-Tools aggregieren auch Daten, die Sie für Kapazitätsmanagementprojekte verwenden können. Sie können das Bandbreiten- und Datenwachstum im Laufe der Zeit verfolgen, um Wachstums- und Budgetierungszwecke zu planen. In der Welt der Kapazitätsplanung sind Daten von entscheidender Bedeutung. Wenn Sie Ihre aktuelle Nutzung und Ihre aktuellen Trends im Laufe der Zeit verstehen, können Sie das Wachstum steuern und große Investitionsausgaben als reaktionäre Maßnahme im Vergleich zur Prävention vermeiden.
Einschränkungen von SIEM-Anwendungen als vollständiges Datensicherheits-Ökosystem
SIEM-Anwendungen bieten nur begrenzte Kontextinformationen zu ihren nativen Ereignissen, und SIEMs sind für ihren blinden Fleck in unstrukturierten Daten und E-Mails bekannt.Beispielsweise kann es vorkommen, dass die Netzwerkaktivität von einer IP-Adresse aus zunimmt, nicht jedoch von dem Benutzer, der diesen Datenverkehr erstellt hat oder auf den zugegriffen wurde.
In diesem Fall kann der Kontext alles sein.
Was wie eine signifikante Datenübertragung aussieht, kann ein völlig harmloses und gerechtfertigtes Verhalten sein, oder es kann ein Diebstahl von Petabyte sensibler und kritischer Daten sein. Ein Mangel an Kontext in Sicherheitswarnungen führt zu einem Paradigma „Junge, der Wolf weinte“: Schließlich wird Ihre Sicherheit für die Alarmglocken desensibilisiert, die jedes Mal ausgelöst werden, wenn ein Ereignis ausgelöst wird.
SIEM-Anwendungen können dies nicht Klassifizieren Sie Daten als vertraulich oder nicht vertraulich und können Sie daher nicht zwischen sanktionierten Dateiaktivitäten und verdächtigen Aktivitäten unterscheiden, die Kundendaten, geistiges Eigentum oder Unternehmenssicherheit schädigen können.
Letztendlich sind SIEM-Anwendungen nur so fähig wie die Daten, die sie empfangen. Ohne zusätzlichen Kontext für diese Daten bleibt die IT häufig auf der Suche nach Fehlalarmen oder anderen unbedeutenden Problemen. Der Kontext ist in der Welt der Datensicherheit von entscheidender Bedeutung, um zu wissen, welche Schlachten zu führen sind.
Das größte Problem, das wir von Kunden hören, wenn sie SIEM verwenden, ist, dass es äußerst schwierig ist, Sicherheitsereignisse zu diagnostizieren und zu untersuchen. Das Volumen der Daten auf niedriger Ebene und die hohe Anzahl der Warnungen verursachen einen „Nadel im Heuhaufen“ -Effekt: Benutzer erhalten eine Warnung, aber häufig fehlt die Klarheit und der Kontext, um sofort auf diese Warnung zu reagieren.
Wie Varonis Ergänzt SIEM
Der Kontext, den Varonis zu SIEM bringt, kann den Unterschied zwischen einer Snipe-Jagd oder der Verhinderung einer größeren Verletzung der Datensicherheit ausmachen.
Und hier kommt Varonis ins Spiel. Varonis bietet zusätzlichen Kontext zu den Daten, die ein SIEM sammelt: Erleichterung der Wertschöpfung aus einem SIEM durch Aufbau eines detaillierten Kontexts, Einblick und Hinzufügen von Bedrohungsinformationen zu Sicherheitsuntersuchungen und -verteidigungen.
Varonis erfasst Dateiereignisdaten aus verschiedenen Datenspeichern – lokal und in der Cloud -, um anzugeben, wer, was, wann und wo von jeder Datei im Netzwerk zugegriffen wird . Mit der Varonis Edge-Überwachung erfasst Varonis auch DNS-, VPN- und Webproxy-Aktivitäten. Sie können die Netzwerkaktivität mit der Datenspeicheraktivität korrelieren, um ein vollständiges Bild eines Angriffs von der Infiltration über den Dateizugriff bis zur Exfiltration zu zeichnen.
Varonis klassifiziert unstrukturierte Dateien anhand von Hunderten möglicher Musterübereinstimmungen. einschließlich PII, Regierungs-ID-Nummern, Kreditkartennummern, Adressen und mehr. Diese Klassifizierung kann erweitert werden, um nach unternehmensspezifischem geistigem Eigentum zu suchen, gefährdete, vertrauliche Informationen zu entdecken und die Einhaltung regulierter Daten zu gewährleisten. Varonis liest vorhandene Dateien ohne Auswirkungen auf Endbenutzer.
Varonis führt auch Benutzerverhaltensanalysen (UBA) durch, um aussagekräftige Warnungen basierend auf erlernten Verhaltensmustern von Benutzern sowie erweiterte Datenanalysen anhand von Bedrohungsmodellen bereitzustellen, die diese untersuchen Muster für Insider-Bedrohungen (wie Exfiltration, seitliche Bewegung, Kontoerhöhung) und Outsider-Bedrohungen (wie Ransomware).
Highlights der Integration
Varonis lässt sich in SIEM-Anwendungen integrieren, um Sicherheitsanalysen mit Deep zu ermöglichen Datenkontext, damit Unternehmen sich auf ihre Datensicherheitsstrategie verlassen können. Zu den Vorteilen gehören:
-
- Out-of-the-Box-Analyse
- Integrierte Varonis-Dashboards und Warnungen für optimierte Untersuchungen
- Alarmspezifische Untersuchungsseiten
- Kritische Informationen auf einen Blick hervorgehoben, mit umsetzbaren Erkenntnissen und reichhaltigem Kontext
- Integration in Ihren SIEM-Workflow
So untersuchen Sie einen Angriff mit SIEM und Varonis
Diese von Varonis bereitgestellten Kontextdaten bieten Sicherheitsteams aussagekräftige Analysen und Warnungen zur Infrastruktur, ohne zusätzlichen Overhead oder Signalrauschen für das SIEM. SOC-Teams können mithilfe von SIEM mit Varonis schneller Nachforschungen anstellen und Einblicke in die wichtigsten Ressourcen erhalten, die sie zum Schutz benötigen: unstrukturierte Daten und E-Mails. Mit der zusätzlichen Sichtbarkeit von Varonis erhalten Sie auf einen Blick einen Überblick darüber, was in Ihren Kerndatenspeichern geschieht – sowohl lokal als auch in der Cloud. Sie können Benutzer, Bedrohungen und Geräte einfach untersuchen und sogar Antworten automatisieren.
(Zum Vergrößern klicken)
Wenn Sie in Ihrem SIEM auf das Varonis-Warnereignis klicken, werden Sie zum Varonis-Warnmeldungs-Dashboard weitergeleitet, um die von Ihnen untersuchte Warnmeldung zu erhalten. Von hier aus können Sie sehen, dass diese Warnung mit vier anderen Warnungen zusammenhängt. Jeder von ihnen ist problematisch, aber da sie alle miteinander verbunden sind, ist das Bild eines Cyberangriffs viel klarer und übersichtlicher.
(Zum Vergrößern klicken)
Diese Warnung gibt an, dass dieses BackupService-Konto Daten in ein hochgeladen hat externe E-Mail-Website.
(Zum Vergrößern klicken)
Diese Warnung gibt an, dass das BackupService-Konto vorhanden ist hat noch nie zuvor auf das Internet zugegriffen, was die Tatsache, dass das Konto Daten in E-Mails hochgeladen hat, viel verdächtiger macht.
Dies ist erst der Anfang der Untersuchung von Cybersicherheitswarnungen mit Varonis und Ihrem SIEM. Varonis kann ein Skript starten, um das Benutzerkonto zu deaktivieren und den Angriff zu beenden, sobald er erkannt wird. In diesem Fall konnte dieser Hacker möglicherweise überhaupt nicht auf die Abrechnungsdateien zugreifen!
Mit In dem Kontext, den Sie zur Verfügung haben, können Sie schnell auf die Warnungen reagieren und diese verwalten, die Sie in Ihrem SIEM erhalten.
Sicherheitsanalysten verbringen unzählige Stunden damit, aussagekräftige Warnungen von SIEM zu erhalten: Feinabstimmung von Anwendungsfällen, Erstellen von Regeln und Hinzufügen von Datenquellen – Varonis verschafft sich einen Vorsprung bei sofort einsatzbereiten Analysemodellen. intuitive Dashboards und intelligente Warnmeldungen.
OK, ich bin bereit für den Einstieg!
Wenn Sie bereits ein SIEM verwenden, ist es einfach, Varonis hinzuzufügen und mehr herauszuholen Ihre SIEM-Investition. Wenn Sie Ihren Datensicherheitsplan starten möchten, beginnen Sie mit Varonis und fügen Sie dann Ihr SIEM hinzu.
Sobald Sie Varonis installiert haben, können Sie Ihr SIEM für die Datenaggregation und zusätzliche Überwachung und Warnung hinzufügen . Mit Varonis erhalten Sie eine bessere Abdeckung der Datensicherheit. Durch Hinzufügen eines SIEM können Varonis und Ihr SIEM Daten für Analyse und Prüfung besser korrelieren und speichern.
In einem Live-Cyberattack-Webinar erfahren Sie, wie Varonis den Kontext einbringt zu Ihren SIEM-Daten.