Sie möchten weitere Informationen zum Thema IT Security erhalten?
Dann nehmen Sie doch einfach Kontakt mit unseren Experten auf.
Nikolas Rösener
Security Expert
- cyber-security@ohb-ds.de
- 0421220950
Alle Geräte, die an einem Netzwerk angeschlossen sind, protokollieren alle Tasks in einem oder mehreren Log-Dateien.
Ein SIEM (Security Information and Event Management) kann Logs aus einer Vielzahl von Geräte- und Systemkategorien verarbeiten.
In folgender strukturierter Übersicht sind typische Geräte katalogisiert aufgeführt, deren Logs von einem SIEM gelesen und analysiert werden können.
Alle Logs sind „natürlich“ in verschiedenen Formaten auf den jeweiligen Geräten vorhanden, sodass diese in ein einheitliches Format „normalisiert“ werden müssen. Wenn alle Logs normalisiert in einer Datenbank vorhanden sind, kann diese auf Anomalien durchsucht werden.
Beispiel: Es ist sicher nicht normal, dass sich die Mitarbeiterin in der Finanzbuchhaltung nachts um 1:00 Uhr an ihrem PC anmeldet. -> In der Log-Datei wurde die User-Anmeldung protokolliert, an das SIEM gesendet und ausgewertet. Der Usecase auf dem SIEM „sende eine Alarmierung, wenn sich nachts (22:00 – 5:00) Mitarbeiter aus der Verwaltung an einem PC anmelden“, wird jetzt einen Alarm auslösen.
Ein SIEM verwandeln das Alarmchaos in korrelierte und leicht verständliche Informationen. Weniger Fehlalarme und mehr Kontext ermöglichen die schnellere Erkennung und Abwehr von Bedrohungen. Im Kampf gegen Cyberangreifer zählt jede Minute, um kritische Infrastrukturen zu schützen und den Betrieb sicherzustellen.
Mit einem SIEM werden also sämtliche Geräte behandelt, was jetzt noch fehlt, ist die Überwachung des Datenverkehrs im Netzwerk.
Network Detection and Response (NDR) beschreibt Sicherheitslösungen, die den Netzwerkverkehr kontinuierlich überwachen und analysieren, um verdächtigen Datenverkehr zu erkennen und darauf automatisiert zu reagieren. Zur Analyse des Netzwerkverkehrs und zum Erkennen von Anomalien kommen Verfahren der Künstlichen Intelligenz (KI) und des Maschinellen Lernens (ML) zum Einsatz.
Beispiel: Wenn nachts um 01:00 Uhr plötzlich sehr viele Daten zwischen einem Datenbank-Server und einem Rechner in der Finanzabteilung ausgetauscht werden, kann man davon ausgehen, dass dies nicht normal ist. Die KI wird in diesem Fall die Verbindung unterbrechen, soweit dies in den Regeln so festgelegt wurde.
Im Folgenden haben wir Ihnen 10 Anwendungsfälle unseres SIEM-System näher erläutert, um den Nutzen eines solchen Systems zu verdeutlichen.
Stellen Sie sicher, dass ein Anwendungsfall und ein Arbeitsablauf vorhanden sind, um alle Versuche zu erkennen, die Anmeldedaten von Benutzern durch Brute Force, Pass the Hash, Golden Ticket oder andere Methoden zu kompromittieren. Im Falle einer erfolgreichen Kompromittierung ist es wichtig, die betroffenen Benutzer und Einrichtungen zu identifizieren, um die Auswirkungen zu untersuchen und weiteren Schaden zu verhindern.
Legen Sie geeignete Regeln für die Kennzeichnung kritischer Events fest, beispielsweise unbefugte Änderungen an Konfigurationen oder die Löschung von Audit-Trails. Diese Änderungen sollten sofort eskaliert werden, um Schaden abzuwenden und weitere Risiken zu minimieren, da beispielsweise die Manipulation von Audit-Protokollen immer ein Warnsignal ist.
Privilegierte Benutzer, wie beispielsweise System- oder Datenbank-Administratoren, haben erweiterte Zugriffsrechte. Dies macht sie zu einem attraktiven Ziel für Hacker. Mit einer SIEM-Lösung können Analysten alle Aktionen dieser privilegierten Benutzer genau im Auge behalten und nach ungewöhnlichem Verhalten suchen, das auf eine Bedrohung oder eine Kompromittierung hinweisen könnte.
Cloud Computing bietet zahlreiche Vorteile, bringt jedoch auch einige Herausforderungen mit sich: die Erfüllung neuer Compliance-Anforderungen, die Verbesserung der Benutzer-Überwachung sowie der Zugriffskontrolle, oder die Prävention möglicher Malware-Infektionen und Datenschutz-Verletzungen. Eine SIEM-Lösung sollte auch cloudbasierte Anwendungen als Logdaten-Quellen unterstützen, beispielsweise Salesforce, Office365 oder AWS, um die Compliance-Überwachung sowie die Erkennung von Bedrohungen auf die Cloud-Umgebung ausdehnen zu können.
Phishing ist ein Versuch, an sensible Informationen zu gelangen, die für Identitätsbetrug und Identitätsmissbrauch verwendet werden. Dazu gehören Versuche, an persönliche Daten wie Sozialversicherungsnummern, Bankverbindungen, PIN-Codes oder Passwörter zu gelangen. Unternehmen müssen unter allen Umständen sicherstellen, dass diese vertraulichen Informationen in der gesamten Organisation geschützt sind. Phishing, insbesondere Spear-Phishing, wird häufig eingesetzt, um sich einen ersten Zugang zu einem Netzwerk zu verschaffen.
Bei Erhalt von Phishing-E-Mails können Analysten mithilfe von SIEM nachverfolgen, wer diese empfangen, auf darin enthaltene Links geklickt oder auf die E-Mails geantwortet hat, sodass sie sofort Maßnahmen ergreifen können, um den Schaden zu minimieren.
Mit einem SIEM-System, den passenden Korrelationsregeln sowie Warnmeldungen, ist es möglich, die Auslastung, die Verfügbarkeit sowie die Reaktionszeiten verschiedener Server und Dienste kontinuierlich zu überwachen. Störungen und Überlastungen lassen sich so frühzeitig erkennen, Stillstandzeiten sowie die damit verbundenen Kosten vermeiden.
Stellen Sie sicher, dass ein Anwendungsfall und ein Arbeitsablauf vorhanden sind, um alle Versuche zu erkennen, die Anmeldedaten von Benutzern durch Brute Force, Pass the Hash, Golden Ticket oder andere Methoden zu kompromittieren. Im Falle einer erfolgreichen Kompromittierung ist es wichtig, die betroffenen Benutzer und Einrichtungen zu identifizieren, um die Auswirkungen zu untersuchen und weiteren Schaden zu verhindern.
Unternehmen unterliegen einer Vielzahl von Compliance-Vorschriften, beispielsweise GDPR, HIPAA oder PCI. Mit einem SIEM-System können Sie dokumentieren, wann und von wem auf welche Daten zugegriffen wurde, diese gelesen oder kopiert wurden, um die Compliance-Anforderungen zu erfüllen und Verstöße zu verhindern.
Der Prozess der aktiven Suche nach Cyberrisiken in einem Unternehmen oder Netzwerk wird als „Threat Hunting“ bezeichnet. Diese Suche nach Bedrohungen kann als Reaktion auf ein Sicherheitsproblem oder zur Erkennung neuer und unbekannter Angriffe oder Sicherheitsverletzungen ausgeführt werden. „Threat Hunting“ erfordert den Zugriff auf Sicherheitsinformationen aus allen Bereichen eines Unternehmens. Eine SIEM-Lösung kann diese bereitstellen.
Eine SIEM-Lösung automatisiert die Aktivitäten zur Erkennung von Bedrohungen und bildet die Grundlage für eine automatisierte Reaktion auf sicherheitsrelevante Vorfälle. Die Weiterleitung von Sicherheitswarnungen und Security-Events an LogPoint SOAR ermöglicht eine noch schnellere Reaktion auf sicherheitsrelevante Vorfälle, da manuelle Aufgaben automatisiert werden. Dies steigert nicht nur die Produktivität des SOCs, sondern senkt auch die Kosten. Nutzen Sie jetzt LogPoint SOAR für einen Analysten kostenfrei als Teil Ihrer SIEM-Lizenz.
Unser Lösungspartner Logpoint ist inzwischen einer der größten Anbieter von SIEM inkl. NDR in Europa. Als dänisches Unternehmen werden auch sämtliche europäischen Compliance-Regeln eingehalten.
Wir können unseren Kunden den Einstieg in die SIEM-Technologie erleichtern, weil wir in der Lage sind, einzelne Lizenzen, pro Gerät zu 40.- € pro Monat, anzubieten. Denn die Einführung eines SIEM ist ein längerer kontinuierlicher Prozess und kann so Gerät für Gerät durchgeführt werden, ohne gleich zig-Lizenzen kaufen zu müssen, die am Anfang nicht genutzt werden können.
Auch können wir das Hosting der Log-Daten für Sie übernehmen, damit Sie in Ihrem Unternehmen keine hohen Investitionen in Hardware erbringen müssen.
Und mit unserem Know-How werden wir Ihr Unternehmen schnell sicherer vor Cyber-Angriffen aufstellen.
Sie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von hCaptcha laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen