SIEM Implementierung
IT-Sicherheit ist ein komplexes Thema, das erklärungsbedürftige Vorgehensweisen mit sich bringt. Um Ihnen unsere Services verständlich zu erläutern, haben wir sie in einen alltäglichen Kontext gebracht. Die Protagonisten sind unsere Kellerhüter Maximilian und Amir.
"Wie jeden Tag, gehen Maximilian und Amir in der Mittagspause zu ihrem Stammimbiss in der gegenüberliegenden Einkaufsstraße. Schon von weitem sehen die beiden eine lange Warteschlange vor dem Lokal und stellen sich seufzend hinten an. Ungeduldig beginnt Amir zu grübeln. Schon wieder Currywurst mit Pommes?"
Planung
Schon wieder?
Um Gewohnheitstier Maximilian zu überzeugen, bedarf es einem gut überlegten Plan. Auch bei der SIEM-Implementierung muss gründlich überlegt werden, wo Ihr Unternehmen steht, welche Ziele erreicht werden wollen und was für Rahmenbedingungen gegeben sind.
Pilot-Phase
Sei x=0
Amir erinnert sich, dass Maximilian ein Nudel-Fan ist. Geschickt lenkt er das Gespräch auf die Spaghetti Bolognese von gestern Abend. Stimmt seine Hypothese? Das gleiche passiert mit Ihrem SIEM-Prozess. Alle Annahmen werden gründlich getestet und überprüft.
Implementierung
Schrittweise vorwärts
Geschafft, Maximilian ist hellhörig geworden. Nun fallen Oliven, Pizza und Pasta in jedem Nebensatz. Wie die schrittweise Annäherung an das italienische Essen, wird auch Ihr SIEM-Prozess implementiert. Sie bestimmen, welche Vorgaben Sie zuerst umsetzen möchten.
Überwachung
Zukunftsmusik!
Nach dem Italiener, ist vor dem Italiener. Sie werden regelmäßig Daten erhalten, die Sie in Ihrem SIEM-System verwenden können. Überwachen Sie Ihr System kontinuierlich und entwickeln Sie es gemeinsam mit unseren Experten weiter.
Technische Vorgehensweise
Die Wahl einiger geeigneten SIEM Lösung ist bereits ein großer und wichtiger Bestandteil der Implementierung. Damit eine realistische Abschätzung des Projektumfangs und Zeitplans erfolgen kann, wird ein Kick-Off Workshop mit unseren SIEM-Spezialisten vereinbart. Ein kritischer Aspekt bei der Planungsphase ist die Definierung der Anwendungsfälle. Viele Anwendungsfälle sind bereits implizit bekannt oder gewünscht und können durch die verschiedenen Fachabteilungen und unseren SIEM-Spezialisten erörtert werden.
Was?
sind die Anwendungen, die der Kunde als Schlüsselfigur sieht? Firewall? IDS/IPS? Antivirus?
Wo?
Wo liegen die kritischen Bedrohungen für die Kundenumgebung? Diese könnten z. B. durch eine Bussiness Impact Analyse gefunden werden.
Warum?
Warum sind die gefunden Bedrohungen kritisch, und wie wirkt sich ein Vorfall auf die Geschäftskontinuität und die Vitalität des Kunden aus?
Wie?
Wie reagiert der Kunde im Falle eines Vorfalls? Der Kunde kann im selben Zuge dabei unterstützt werden das IT-Vorfallsmanagement mit Hilfe einer SIEM-Lösung zu definieren.
Damit eine SIEM-Lösung erfolgreich ist, und dies nicht nur aus technischer Sicht, sondern auch aus Business-Sicht, ist die Bestimmung der geschäftskritischen Datenquellen sehr wichtig. Durch solch eine Bestimmung ist ein SIEM-Spezialist in der Lage die eingezogenen Datenquellen, z. B. Firewall, IDS, IPS, Web-Proxies und Windows Events, zu priorisieren.
Eine SIEM-Lösung soll nicht nur Daten sammeln, sondern auch dabei helfen diese zu bewerten. Die wichtigste Funktionalität einer SIEM-Lösung ist die Alarmierung. Damit auf Vorfällen rechtzeitig und zügig reagiert werden kann, ist eine priorisierte Alarmierung notwendig. Im Zuge der Planung müssen Ereignisse und Warnungen von Systemen mit hoher Priorität identifiziert und dokumentiert werden.
Als Return-On-Investment für eine SIEM-Lösung sind Kennzahlen ein guter Startpunkt. Ein SIEM-Spezialist kann dabei helfen die SIEM-Lösung im Einklang mit den Geschäftszielen zu implementieren. Solche Kennzahlen sollten vor der Implementierung besprochen und definiert werden.