Muss-Soll-Kann

Es ist nicht immer einfach, herauszufinden, welche Produkte in die engere Auswahl einbezogen werden sollen. Noch schwieriger ist es, das beste Produkt für eine Organisation oder eine Abteilung innerhalb einer größeren Einheit zu finden. Teil der Evaluierung von SIEM-Lösungen sollte aus diesen Gründen die Erstellung einer Liste mit Anforderungen und wichtigen Kriterien sein (M-S-K), die dann genutzt werden kann, um benötigte Fähigkeiten herauszufiltern, die für das jeweilige Unternehmen besonders wichtig sind.

Ein weiteres sehr wichtiges Kriterium für die SIEM-Tool-Auswahl sind die "Use-Cases", die später mit dem Tool umgesetzt werden sollen. Selbst das "beste" Tool erfordert gegebenenfalls manuellen Projekt-Aufwand für die Umsetzung eines "Use-Cases", da dieser im Standard des Tools nicht enthalten ist.

Unterstützung von relevanten Log-Quellen

Ein schneller Mehrwert einer SIEM-Lösung entsteht dann, wenn diese idealerweise die meisten (oder sehr viele) in einem Unternehmen vorhandenen Log-Quellen empfangen und verstehen kann, die für die jeweilige Organisation von Bedeutung sind.

Kontextinformationen und Integration

SIEM-Lösungen, die zur Erkennung von Angriffen eingesetzt werden, benötigen Kontext, Kontext, Kontext.

Zur Beurteilung von SIs (Security Incidents) ist die Anreicherung der Daten mit Kontextinformationen (z. B. DNS, CMDB oder IPAM, etc.) von nicht zu unterschätzender Bedeutung.

Wie sieht die Zusammenarbeit mit anderen Applikationen aus? Hier ist der Grad der Ausprägung sehr unterschiedlich. Die Beurteilung sollte an Hand der tatsächlich zu integrierenden Systeme erfolgen. Anhaltspunkte hierzu geben die unterstützten Schnittstellen. Unsere Empfehlung ist hier die Nutzung des REST API.

Support des Herstellers

Als komplexe Softwaresysteme erfordern SIEM sehr gute Unterstützung durch den Hersteller. Dies ist in Deutschland nicht bei allen Anbietern in ausreichend guter Form der Fall.

Datenschutz

Eine weitere grundlegende Anforderung ist der Datenschutz innerhalb des SIEM-Tools. Hier werden ein detailliertes Benutzerrollenmodell und Berechtigungskonzept benötigt, um ungerechtfertigtem Zugriff auf personenbezogene Daten zu unterbinden.

Bei der Aufzeichnung personenbezogener Daten wie Benutzernamen sollte die SIEM-Lösung eine optionale Funktion zur Obfuscation (Unkenntlichmachung) für Benutzernamen vorsehen.

Alarmierung und Workflow

Für den Umgang mit SIs (Security Incidents), IOCs (Indicators of Compromise), VA (Vulnerabilty Assessment) und Asset Management (Verwaltung der Infrastrukturdaten) sowie Federation (Zusammenarbeit) gibt es grosse Unterschiede bzgl. der Workflow Unterstützung der SIEM Systeme.

Wird die Machbarkeit bei spezifischen Anforderungen an die verfügbaren Funktionen nicht deutlich, sollte die Klärung in einem PoC (Proof of Concept) erfolgen. Eventuell sind die Herstellerseiten hilfreich, vor allem bei videobasiertem Trainingsmaterial.

Compliance

Die Compliance Anforderungen an Informationsrisikomanagement, Informationssicherheitsmanagement,  Benutzerberechtigungsmanagement und IT-Betrieb beziehen sich auf den individuellen Schutzbedarf der IT-Komponente (Anwendung, System, Prozess) und der beteiligten Personen.

Informationssicherheitsvorfälle (SIs) müssen nachvollziehbar und manipulationssicher dokumentiert werden. Im SIEM wird dies i.d.R. durch typische Security Use Cases abgebildet die mit dem Basis Funktionsumfang der Lösungen meist abgedeckt sind. Dies gilt insbesondere für das Reporting. Teilweise sind hier jedoch Zusatzpakete erforderlich.

Reporting

Die beiden führenden Lösungen bei Gartner bieten hier auch den größten Funktionsumfang. Bei einem Hersteller fallen teilweise Zusatzkosten an. Zum Funktionsumfang gehören das Versenden von PDFs als Anhang oder URL.

Reporting Wizards die fast beliebige Auswertungen ermöglichen sind Standard.

Erkennung von Security-Incidents

Dies ist die eigentliche Kernfunktion eines SIEM. Aus der Korrelation von vielen Millionen Logereignissen werden möglichst wenige SIs destilliert, die vom Bearbeiter weiter beurteilt werden müssen. Typischerweise haben SIs einen Bezug zur Logdatenquelle, denn die Erkennung von SIs ist abhängig von Art, Güte und Relevanz der übermittelten Logdaten.

Hier sind Standardregeln, Regeleditor, Anpassbarkeit und Anwendungspakete relevant. Viele Lösungen verfügen über "out of the box" Funktionalität zur Sicherheitsüberwachung (Regeln). Diese müssen aus einer Grosszahl von Anwendungsfällen ausgewählt, installiert oder hinzugekauft werden, oder sind bereits als Default aktiviert.

Budget und Sizing

Für das Budget bei der Beschaffung eíner SIEM Lösung ist das Sizing, also die Größenberechnung, ein wesentliches Kriterium. Dabei spielt das Lizenzmodell des Herstellers eine wesentliche Rolle.

SIEM Lizenzmodell

Grundsätzlich gibt es drei Arten von Lizenzmodellen bei SIEM-Systemen:

• Basierend auf der (maximal) zu verarbeitenden Logdatenmenge (EPS: Events per Second)
• Basierend auf der Anzahl Logdatenquellen (Devices)
• Basierend auf der Logdatenmenge (GB/Tag)

Einige SIEM-Hersteller verwenden auch Lizenzmodelle aus Kombinationen dieser Methoden.

Zur Ermittlung der tatsächlich notwendigen Beschaffungskosten ist ein detailliertes SIEM-Sizing notwendig. Auf Basis dieses Sizing sollten individuelle Angebote eingeholt werden. Um dies vorzubereiten könnte ein PoC wertvolle Dienste leisten.

Für ein SIEM-Tool-Auswahlverfahren in Ihrem Unternehmen stehen wir gerne zur Verfügung!