Es ist immer wieder irritierend, warum bei einer SIEM Strategie, bzw. Projekten der Scope lediglich auf Logdaten-Management gesetzt wird! Das scheint ja nur die Spitze des Eisbergs zu sein..
KRITIS-Betreiber müssen künftig IT-Sicherheitsvorfälle und Cyberangriffe in ihren KRITIS-Anlagen erkennen. Der Einsatz eines SIEM ist mit dem IT-Sicherheitsgesetz 2.0 ab Mai 2023 explizit verpflichtend und muss nachgewiesen werden.
Dazu sind technische und vor allem organisatorische Maßnahmen erforderlich..
SIEM-Lösungen und -Anbieter gibt es inzwischen einige. Eine geeignete SIEM Lösung auszuwählen ist eine Herausforderung. Egal ob OpenSource oder proprietäres System. Alle haben Vor- und Nachteile. Der SIEM Prozess ist komplex und die SIEM Lösung sollte optimal dazu passen!
Die Frage lautet also eher: "Was gibt es bei einem SIEM Auswahlverfahren zu berücksichtigen?"
Beginnend mit QRadar Release 7.4.3FP1 ändert sich das Deployment des QRadar Analyst Workflow UIs.
Seit dem 15.7.2021 steht die neue Version des “Security QRadar Analyst Workflow” (Release 1.24.10) für QRadar 7.4.3FP1 im X-Force App Exchange zur Verfügung.
In diesem Live-Lab Beispiel heute, geht es um das Zusammenspiel zwischen SIEM360 Security (Detection) und Security SOAR (Response). Es geht um eine Möglichkeit, bei dem automatisiert eine QRadar Offense zum Security SOAR System weitergeleitet wird.
Sobald ein hoher Reifegrad des zentralen SIEM360 zur Erkennung möglicher IT-Sicherheitsvorfälle erreicht wurde, folgt erfahrungsgemäß im Anschluss daran der nächste Schritt. Daraus abgeleitet stellt sich in der Regel die folgende Frage:
Was soll nun passieren, wenn ein Alarm mit einer hohen Priorität ermittelt wurde?