Kritische Fähigkeiten des modernen SIEM

Ein Bild von , News, Kritische Funktionen des modernen SIEM

Moderne SIEMs bieten umfassende Funktionen für maschinelles Lernen und Anomalieerkennung für eine erweiterte Bedrohungserkennung. Dies kann Ihrem Sicherheitsteam letztendlich dabei helfen, seine Effektivität zu steigern und die für die Durchführung von Sicherheitsvorgängen erforderlichen Ressourcen zu reduzieren – was in einer Zeit, in der es an Sicherheitskompetenzen mangelt und die Zahl der Warnungen ständig zunimmt, wichtig ist. 

Kurz gesagt ermöglicht SIEM IT-Teams, das Gesamtbild zu sehen, indem es Sicherheitsereignisdaten aus Unternehmensanwendungen, der Cloud und der Kerninfrastruktur sammelt, um genau zu erfahren, was im Unternehmen vor sich geht – und aus der Summe der Daten einen Wert zu schaffen, der viel mehr wert ist als die einzelnen Stücke. Eine einzelne Warnung eines Antivirenfilters allein löst möglicherweise keine Panik aus. Wenn sie jedoch mit anderen Anomalien korreliert, z. B. gleichzeitig von der Firewall, kann dies darauf hinweisen, dass eine schwerwiegende Sicherheitsverletzung vorliegt. 

Legacy vs. moderne SIEMs

Ältere SIEM-Lösungen sind mit den heute angebotenen nicht vergleichbar. Da die Menge der von Unternehmen produzierten und gesammelten Daten in den letzten Jahren sprunghaft angestiegen ist, benötigen Unternehmen Big-Data-Architekturen, die flexibel und skalierbar sind, damit sie sich anpassen und wachsen können, wenn sich das Unternehmen im Laufe der Zeit verändert. Dank der Fähigkeit, große und komplexe Implementierungen zu bewältigen, können moderne SIEM-Lösungen von heute entweder in physischen oder virtuellen Umgebungen sowie vor Ort oder in der Cloud bereitgestellt werden. Einige SIEMs bieten eine sehr kurze Implementierungszeit und geringe Wartungsressourcenanforderungen, was dazu führt, dass das SIEM innerhalb weniger Tage einen Mehrwert bietet.

SIEM-Tools müssen in der Lage sein, Daten aus allen Quellen – einschließlich Cloud- und On-Premise-Protokolldaten – in Echtzeit aufzunehmen, um potenzielle Bedrohungen effektiv zu überwachen, zu erkennen und darauf zu reagieren. Moderne SIEM-Lösungen sind nicht nur in der Lage, mehr Daten aufzunehmen und zu analysieren, sie profitieren auch davon. Je mehr Daten ein Unternehmen seinem SIEM zur Verfügung stellen kann, desto mehr Einblick haben Analysten in die Aktivitäten und desto effektiver können sie Bedrohungen erkennen und darauf reagieren.

Das moderne SIEM bietet eine Vielzahl von Vorteilen, beispielsweise eine bessere Erkennung und Reaktion auf Bedrohungen. Da Cyber-Bedrohungen weiter zunehmen und zunehmen, werden Unternehmen, die die Analyse von Sicherheitsereignissen schneller und genauer durchführen können, einen Wettbewerbsvorteil haben. Eine moderne SIEM-Lösung bietet Echtzeit-Datenanalyse, Früherkennung von Datenschutzverletzungen, Datenerfassung, sichere Datenspeicherung und genaue Datenberichte, um die Bedrohungserkennung und Reaktionszeiten zu verbessern. 

Moderne SIEM-Lösungen gehen über die grundlegende Sicherheitsüberwachung und -berichterstattung hinaus und bieten Analysten die Klarheit, die sie zur Verbesserung der Entscheidungs- und Reaktionszeiten benötigen. Mit neuen Möglichkeiten der Datenvisualisierung, die es Analysten ermöglichen, die Informationen aus den Daten besser zu interpretieren und darauf zu reagieren, werden die Reaktion und das Management von Vorfällen ausgefeilter. Bessere Analysen bedeuten, dass Teams Vorfälle genauer verwalten und ihre forensischen Untersuchungen verbessern können – alles über eine einzige Schnittstelle.

Automatisierung und maschinelles Lernen

Heutzutage sind IT-Teams zunehmend ressourcen- und zeitbeschränkt. Die verbesserte Automatisierung befreit Sicherheitsanalysten von zeitaufwändigen manuellen Aufgaben und ermöglicht es ihnen, Reaktionen auf Bedrohungen besser zu orchestrieren. Die besten modernen SIEM-Lösungen nutzen maschinelles Lernen und Benutzer- und Entitätsverhaltensanalysen (UEBA), um die Belastung überlasteter Sicherheitsanalysten zu verringern, indem sie die Bedrohungserkennung automatisieren, ein verbessertes Kontext- und Situationsbewusstsein bieten und das Benutzerverhalten nutzen, um bessere Erkenntnisse zu gewinnen. 

Darüber hinaus ermöglicht UEBA eine bessere Erkennung und Reaktion. Angreifer verlassen sich häufig auf kompromittierte Anmeldeinformationen oder zwingen Benutzer dazu, Aktionen auszuführen, die die Aktivitäten ihrer eigenen Organisation schädigen. Um diese Art von Angriffen schneller und genauer zu erkennen, kann UEBA verwendet werden, um sowohl verdächtiges Benutzerverhalten als auch Aktivitäten aus der Cloud, mobilen, lokalen Anwendungen, Endpunkten und Netzwerken sowie externen Bedrohungen zu überwachen.

Mit UEBA werden Unternehmen eine dramatische Steigerung der Fähigkeit ihres SIEM erleben, Bedrohungen zu verfolgen und zu identifizieren. Darüber hinaus eliminiert UEBA Fehlalarme, sodass Analysten ein besseres Situationsbewusstsein vor, während und nach dem Auftreten einer Bedrohung haben – was bedeutet, dass sie effektiver sind und ihre begrenzte Zeit auf Bedrohungen verwenden können, die tatsächlich Auswirkungen auf den Betrieb haben.

Kostenkontrolle

Eine moderne SIEM-Lösung mit einem einfachen und vorhersehbaren Lizenzmodell ermöglicht es Unternehmen außerdem, weniger Geld für die Sicherheit ihrer Daten auszugeben, unabhängig von der Datenmenge, über die sie verfügen, und der Anzahl der Quellen, aus denen Daten protokolliert werden. SIEM-Preismodelle, die auf der Datennutzung basieren, sind veraltet. Die Datenmengen nehmen ständig zu und Organisationen sollten dafür nicht bestraft werden. 

Moderne SIEM-Preismodelle sollten stattdessen auf der Anzahl der Geräte basieren, die Protokolle oder Entitäten senden, sodass Unternehmen sich keine Sorgen machen müssen, dass sich ihre Datennutzung auf die Kosten auswirkt, sondern sich stattdessen auf die Skalierung für zukünftige Geschäftsanforderungen konzentrieren können. Stellen Sie sicher, dass Sie die Gesamtbetriebskosten analysieren, auch wenn das SIEM skaliert werden muss – einige Anbieter haben zusätzliche Kosten verursacht, wenn sie die Hardwarefunktionen oder die Anzahl der Mitarbeiter erhöhen, die Zugriff auf das SIEM benötigen.

Ein weiterer Kostenaspekt ist die Erfüllung von Compliance-Anforderungen, obwohl Bußgelder, Anwaltskosten und Rufschädigung noch kostspieliger sein können. SIEM-Lösungen können die Datenerfassung automatisieren, Ereignisprotokolle speichern, die Identifizierung und Berichterstattung von Bedrohungen verbessern, den Datenzugriff einschränken und Richtlinien- und Compliance-Verstöße kennzeichnen, um sicherzustellen, dass Unternehmen ihre Compliance-Anforderungen erfüllen. 

Dies sind unbestrittene Vorteile, aber laut Gartner gibt es drei Hauptbereiche, in denen eine moderne SIEM-Lösung herausragende Leistungen erbringen sollte: 

1. Erweiterte Bedrohungserkennung

Mit einem modernen SIEM-Tool kann eine erweiterte Bedrohungserkennung in Echtzeit durchgeführt werden, sodass Unternehmen Trends sowie Benutzer- und Entitätsverhalten analysieren und darüber berichten können. Mit erweiterten Analysen sind Unternehmen in der Lage, den Datenzugriff und die Anwendungsaktivität zu überwachen und Advanced Persistent Threats (APT) proaktiv zu erkennen und zu kontrollieren.

Zu den Funktionen zur Bedrohungserkennung gehört die Anreicherung mit internen oder externen Kontextinformationen wie Bedrohungsinformationen, Benutzernamen oder zeitlichem Wissen. Dadurch können Sicherheitsanalysten schneller und effizienter arbeiten. Unternehmen sollten in SIEM-Lösungen investieren, die Zugriff auf effektive Ad-hoc-Abfragen, maschinelles Lernen und UEBA-Funktionen bieten, was zu einer effektiveren und effizienteren Bedrohungssuche führt.

2. Sicherheitsüberwachung

SIEM ist ein effektives Protokollverwaltungstool, das eine grundlegende Sicherheitsüberwachung ermöglicht und häufig für Compliance-Berichte und Echtzeitüberwachung von Sicherheitskontrollen verwendet wird. SIEM-Lösungen sollten grundlegende Anforderungen an die Bedrohungserkennung, Compliance-Überprüfung und Berichterstattung erfüllen. Durch die flexible und bequeme Erfassung und Speicherung von Protokollen kann auf die Bedürfnisse der Prüfer eingegangen werden, was die Compliance erheblich erleichtert.

Beliebte Anwendungsfälle bei Kunden für die grundlegende Sicherheitsüberwachung decken ein breites Spektrum an Sicherheitsquellen ab, darunter: Perimeter- und Netzwerkgeräte; Endpunktagenten; kritische Anwendungen; und andere Infrastrukturkomponenten.

3. Untersuchung und Reaktion auf Vorfälle

Die Visualisierung ist sehr wichtig, um Ihren Daten einen Sinn zu geben. Ein modernes SIEM kann Ihnen die nötige Klarheit verschaffen und neue Möglichkeiten zur Datenvisualisierung bieten, die es Ihnen erleichtern, die Daten zu interpretieren und darauf zu reagieren.

Die Reaktion und Verwaltung von Vorfällen sollte einfach, schnell und umsetzbar sein, damit Sie Vorfälle innerhalb Ihres Teams bequem verwalten und effektive forensische Untersuchungen ermöglichen können. Wenn nicht innerhalb des Tools selbst, ist es wichtig, erstklassige Integrationsmöglichkeiten für dedizierte Tools sowohl innerhalb als auch außerhalb von SOAR zu haben. Mit Geschäftskontext, Sicherheitsinformationen, Benutzerüberwachung, Datenüberwachung und Anwendungsüberwachung – alles über eine einzige Schnittstelle – werden Analysten effektiver und informierter.

Durch die Implementierung einer modernen SIEM-Lösung oder die Aufrüstung eines vorhandenen SIEM auf eine Lösung, die Analyse- und maschinelle Lernfunktionen bietet, können Unternehmen mit der wachsenden Bedrohungslandschaft von heute Schritt halten – ohne die steigenden Kosten, die mit hochqualifizierten Sicherheitsanalysten und dem Umgang mit veralteten Protokollvolumina verbunden sind und Preismodelle. Denken Sie auch daran, dass der Austausch eines SIEM nicht unbedingt den Verlust Ihrer aktuellen Investition bedeutet – einige SIEM-Anbieter unterstützen Sie bei einem nahtlosen Übergang, um sicherzustellen, dass der volle Wert erfasst und übertragen wird.

Ein Bild von , News, Kritische Funktionen des modernen SIEM

Nils Krumrey

Nils Krumrey ist Experte für Information Governance, Senior Presales Engineer und Architekt bei Logpoint. Mit Sitz im Vereinigten Königreich, aber gebürtiger Deutscher, verfügt Nils über 20 Jahre Branchenerfahrung und hat in ganz Europa mit einigen der größten Finanzinstitute an der Überwachung und Verbesserung ihrer Informationsverwaltung gearbeitet. Bei Logpoint ist er als technischer Spezialist an der Architektur, Dimensionierung und Definition von Anwendungsfällen für neue Logpoint-Kunden in Großbritannien, Irland und den Benelux-Ländern beteiligt und hat ein großes Interesse an modernen SaaS-Architekturen. Er hat einen BSc in Computer Vision von der Universität Koblenz und ist Certified Ethical Hacker (CEH).

KI-Ausrichtung: Technische menschliche Sprache lehren

Daniel Langkilde • 05. Februar 2024

Unter verkörperter KI versteht man jedoch Roboter, virtuelle Assistenten oder andere intelligente Systeme, die mit einer physischen Umgebung interagieren und daraus lernen können. Zu diesem Zweck sind sie mit Sensoren ausgestattet, die Daten aus ihrer Umgebung sammeln können. Außerdem verfügen sie über KI-Systeme, die ihnen helfen, die gesammelten Daten zu analysieren und letztendlich zu lernen ...

CARMA gibt Übernahme von mmi Analytics bekannt

Jason Weekes • 01. Februar 2024

CARMA gibt die Übernahme von mmi Analytics bekannt und erweitert damit sein Fachwissen in den Bereichen Schönheit, Mode und Lifestyle. Die kombinierte Organisation wird die Landschaft der Medienintelligenz neu definieren und PR-Experten und Vermarktern beispielloses Fachwissen und umfassende Einblicke in die aufregende Welt der Schönheit, Mode und bieten Lebensstil.

Umgang mit dem Risiko der Exposition privater Inhalte im Jahr 2024

Tim Freistein • 31. Januar 2024

Für Unternehmen wird es immer schwieriger, den Datenschutz und die Einhaltung sensibler Kommunikationsinhalte zu gewährleisten. Cyberkriminelle entwickeln ihre Vorgehensweisen ständig weiter, was es schwieriger denn je macht, böswillige Angriffe zu erkennen, zu stoppen und den Schaden zu begrenzen. Aber was sind die wichtigsten Probleme, auf die IT-Administratoren im Jahr 2024 achten müssen?

Revolutionierung der Bodenkriegsumgebung mit softwaregestützten gepanzerten Fahrzeugen

Wind River • 31. Januar 2024

Gepanzerte Fahrzeuge, die speziell für geschäftskritische Einsätze gebaut werden, sind auf Steuerungssysteme angewiesen, die deterministisches Verhalten bieten, um strenge Echtzeitanforderungen zu erfüllen, extreme Zuverlässigkeit zu bieten und strenge Sicherheitsanforderungen gegen sich entwickelnde Bedrohungen zu erfüllen. Wind River® verfügt über die Partner und das Fachwissen, ein bewährtes Echtzeitbetriebssystem (RTOS), Software-Lifecycle-Management-Techniken und eine umfangreiche Erfolgsbilanz...

Die Notwendigkeit, die Verantwortung für die Umwelt nachzuweisen

Matt Tormollen • 31. Januar 2024

Wir befinden uns derzeit mitten in einer der folgenreichsten Energiewende seit Beginn der Aufzeichnungen. Die zunehmende Verfügbarkeit sauberer Elektronen hat Unternehmen in Großbritannien und darüber hinaus dazu motiviert, umweltfreundlich zu denken. Und das aus gutem Grund. Umweltbewusstes Handeln zieht Kunden an, beruhigt die Regulierungsbehörden, bindet Mitarbeiter und kann sogar Zuwendungen von der Regierung einbringen. Der...

Förderung von Innovationen im Aftermarket

Jim Monaghan • 31. Januar 2024

Ein Teil des Kfz-Handels profitiert von der Lebenshaltungskostenkrise: Da die Verbraucher ihre Autos länger behalten, sind unabhängige Werkstätten sehr gefragt. Aber sie stehen auch unter Druck. Ältere Autos müssen häufiger repariert werden. Sie benötigen mehr Ersatzteile, Reifen und Flüssigkeiten. Da Autobesitzer auf der Suche nach einem guten Preis-Leistungs-Verhältnis und einer schnellen Abwicklung sind, sind Unabhängige...

23andMe regt zum Umdenken beim Schutz von Daten an

Markus Grindey • 31. Januar 2024

Kürzlich machte 23andMe, der beliebte DNA-Testdienst, ein überraschendes Eingeständnis: Hacker hatten sich unbefugten Zugriff auf die persönlichen Daten von 6.9 Millionen Benutzern verschafft, insbesondere auf die Daten ihrer „DNA-Verwandten“.

Die Rückkehr der fünftägigen Bürowoche

Virgin Media • 25. Januar 2024

Virgin Media O2 Business hat heute seinen ersten Annual Movers Index veröffentlicht, aus dem hervorgeht, dass vier von zehn Unternehmen trotz weit verbreiteter Reiseverzögerungen und Störungen wieder Vollzeit im Büro sind. 2023 wird sich die Krise der Lebenshaltungskosten, des Second-Hand-Shoppings und der Nutzung öffentlicher Verkehrsmittel verfestigen stieg sprunghaft an, da die Briten versuchten, Geld zu sparen. Mithilfe aggregierter und anonymisierter britischer...