Detection, IOCs, SIEM360

Mit SIEM360 werden die unzähligen Bewegungsspuren innerhalb einer komplexen IT Landschaft überhaupt erst einmal intelligent bewertet, in Zusammenhang gebracht und sichtbar. Ergänzt durch organisatorischen Kontext und spezifische Schwellwerte, können so schneller kritische Ereignisse (mögliche IT-Sicherheitsvorfälle) identifiziert werden.

Kritische Ereignisse - MITRE Mapping

Besonders von Bedeutung sind kritische Ereignisse dann, wenn sie einen wichtigen Geschäftsprozess beeinträchtigen würden!

Bewegungsspuren, Use-Cases, TTPs

Herausforderung in der Phase der “Erkennung” ist es, die dafür notwendige Transparenz herzustellen. Das erfordert Team-Arbeit, wiederkehrende Abstimmungen, Lernkurven, Hands-On, Trial & Error und Durchhaltevermögen. Je besser die organisatorischen Abläufe auf die technischen Maßnahmen abgestimmt werden können, desto belastbarer können die entdeckten Ergebnisse verarbeitet werden.

Response & Reifegrad

Sobald ein hoher Reifegrad des zentralen SIEM360 zur Erkennung möglicher IT-Sicherheitsvorfälle erreicht wurde, folgt erfahrungsgemäß im Anschluss daran der nächste Schritt. Daraus abgeleitet stellt sich in der Regel die folgende Frage:

Was soll nun passieren, wenn ein Alarm mit einer hohen Priorität ermittelt wurde?

Die Antwort ist: die eigentliche Arbeit fängt jetzt erst an

SIEM360 & SOAR

Jetzt geht es um eine strukturierte, dokumentierte und nachvollziehbare Bearbeitung dieser Alarme. Es geht darum, schnell zu agieren und sich wiederholende Aufgaben zu reduzieren. Jetzt kommt SOAR (Security Orchestration Automated Response) ins Spiel - und die Verbindung beider Technologien!

Faktor Zeit

Das minimiert die Dauer und die Auswirkungen eines möglichen Vorfalls. Automation erlaubt dem Team in dieser Phase, sich auf die wichtigen Aufgaben zu fokussieren und Zeit zu sparen.

SOAR - Vorfälle

Eine Vorstufe zur Automation eines Vorfalls kann ein einfaches Playbook sein, was im ersten Schritt zwar noch manuell aber strukturiert und nachvollziehbar abgearbeitet werden kann. 

Ist das Ergebnis zufriedenstellend, kann für dieses Playbook im nächsten Schritt ein automatischer Workflow integriert werden.

Response Prozess

Auch der Response-Prozess und die Erstellung von Playbooks erfordert dieselbe intensive Vorgehensweise und Team-Work, wie sie beim Detection-Prozess bereits einstudiert wurde. Es gibt dafür leider keine Abkürzung!

Was ist ein Playbook?

Kurz: ein dynamischer Schlachtplan zur Gegenmaßnahme. Ein Playbook liefert Anleitungen, Techniken und Prozeduren zur Lösung eines Vorfalls. Es ist deshalb dynamisch, weil jederzeit Feedback und neu gewonnene Erkenntnisse wieder einfließen können und jederzeit an neue Bedingungen angepasst werden kann.

Playbook Design

Ein Playbook entsteht typischerweise durch Whiteboarding. Der gesamte Ablauf / Entwicklungsprozess, mit all seinen Aufgaben und Abhängigkeiten, kann mit klassischen Methoden wie beispielsweise PAPs, Struktogramm oder Pseudocode visualisiert werden.

Die technische Umsetzung in eine SOAR Plattform ist dann „lediglich“ noch die Kür.

SOAR Plattform Apps

Eine ausgereifte Security SOAR Plattform stellt alle zeitgemäßen Tools, Bausteine und Werkzeuge zur Umsetzung zur Verfügung können, bzw. ist flexibel erweiterbar.

Der Weg ist das Ziel!

IBM Security SOAR ist eine logische Konsequenz, ein ausgereiftes SIEM360 Szenario zu erweitern. Die Synergie beider IT-Security Lösungen hilft dabei, Zeit, Geld, Skills & Ressourcen optimal zu balancieren.

Diese SOAR-Lösung kann dabei helfen, IT-Abteilungen zu entlasten und automatisiert Gegenmaßnahmen einzuleiten.

Im App Exchange Store stehen zum Thema SOAR zur Zeit über 180 Apps, Content und Integrationsmöglichkeiten zur Verfügung.