Was ist SIEM und was ist es nicht?

Andre Fritsche
Dec 2 · 4 min read

Seit einigen Jahren schon werden SIEM Systeme als Allheilmittel der IT Sicherheit verkauft, aber irgendwie konnte ich dieser Behauptung nie wirklich zustimmen. Im Laufe der letzten Monate konnte ich viele Diskussionen und Auseinandersetzungen dazu miterleben. Der ausschlaggebende Punkt für die regelmäßigen Auseinandersetzungen war fast ausschließlich die absolute technische Sichtweise auf die Thematik und die oberflächlichere, strategisch, organisatorische Sichtweise. Folglich habe ich mir überlegt:

Wie kann ich das Problem ein für alle mal lösen und Klarheit schaffen?

In dem ich, zumindest aus meiner Sicht, beantworte: Was ist SIEM und was ist es nicht?

Was bedeutet SIEM und was macht es?

Das Akronym SIEM steht für Security Information and Event Management. Kurz gesagt handelt es sich dabei um eine Platform, die sehr ähnlich wie das klassische Monitoring funktioniert. Das heißt, es werden Logdaten aus unterschiedlichen Quellen gesammelt und für Analysezwecke in einer Zentrale gespeichert und verarbeitet. Die Abgrenzung zum Monitoring ist auf den ersten Blick nicht so schnell ersichtlich, denn die zu überwachenden Elemente beim klassischen Monitorings sind:

  • CPU Auslastung
  • Arbeitsspeicherauslastung
  • Freie Festplattenkapazität
  • Netzwerkauslastung
  • Erreichbarkeit von Systemen

Das Monitoring fokussiert sich stark auf einfache Symptome einer IT Landschaft. Liegt der CPU Level über ein definiertes Zeitintervall über 80%? Dann sollen die zuständigen Administratoren benachrichtigt werden. Dieses Konzept lässt sich auf alle anderen zu messenden Eigenschaften anwenden, mal mehr mal weniger kompliziert.

An dieser Stelle kommt eine Frage auf: Wo grenzt sich jetzt ein SIEM großartig ab?

Es sammelt nicht nur die typischen Monitoring Daten, sondern verarbeitet Logdaten. Möglichkeiten wären da Syslog oder Windows Eventlogs, und das aus vielen unterschiedlichen Quellen. Darunter:

  • Firewalls
  • Proxies
  • Switch
  • Server (Windows oder Linux)
  • Windows & Linux Clients
  • uvm.

Alles was Syslog spricht kann meistens eingebunden werden. Und jetzt kommt das, was das SIEM tatsächlich liefert:

  • Korrelation von Logs aus unterschiedlichsten Quellen mit dem Ziel Indicators of Compromise zu entdecken
  • Daten Präsentation: Alle Logs werden zentral an einer Stelle gesammelt und normalisiert, so dass sie analysierbar sind und in Form von Dashboards aufbereitet werden können
  • Datenbasis für Incident Response: Ein erfolgreicher IT Angriff ist ärgerlich, aber ein SIEM System hilft dabei die Überreste zu analysieren und die Lücke im System zu identifizeren, die geschlossen werden muss.
  • Compliance: ISO 27001, PCI-DSS und weitere Zertifizierungen fordern, dass ein SIEM-ähnliches System eingesetzt wird

Was kann SIEM nicht?

Die große Stärke des SIEM ist auch gleichzeitig seine Schwäche, denn die Korrelation von Informationen kann sehr kompliziert werden. Durch Überkonfiguration und falsche Annahmen befindet man sich schnell in der Situation hunderte Regeln aufgestellt zu haben, die teilweise nicht funktionieren oder zu viele Alarme schlagen.

Ein Allheilmittel ist SIEM jedenfalls nicht, denn nicht jeder Angriff ist ohne weiteres erkennbar. Die Arbeit, die man in die Ermittlung der richtigen Indicators of Compromise stecken muss, ist sehr umfangreich und langwierig. Angriffe verändern sich laufend und müssen neu analysiert werden. Ganz ohne Aufwand geht es dann nicht.

Zu aller letzt ist ein SIEM auch nur so gut, wie die dahinterliegende Datenbasis. Ohne genügend zuliefernde Systeme, die selbst bereits etwas erkennen können, ist ein SIEM nur ein teurer Speicher mit teils mehr oder weniger schönen Dashboards.

Und warum brauche ich das?

Unsere IT Infrastrukturen haben sich in den letzten 10 Jahren stark gewandelt und werden dies weiterhin. Gleichgültig wie sich die Netzwerke entwickelt haben bisher, die Komplexität stieg mit der Zeit. Damit stieg auch die Heterogenität und immer mehr unterschiedliche Systeme, von unterschiedlichen Herstellern finden Einzug in die IT Landschaft. Nicht zuletzt auch wegen der Spezialisierung der einzelnen Geräte und Systeme wird es immer darauf hinauslaufen, dass die passenden Lösungen in’s Haus kommen und keines ähnelt dem anderen.

SIEM Infrastruktur schematisch/vereinfacht
SIEM Infrastruktur schematisch/vereinfacht
SIEM Infrastruktur schematisch/vereinfacht

Was erzeugen die vielen Systeme nun? Logs! Und wo speichern sie diese? In der Regel lokal auf ihrer Platte in jeder möglichen Form. Datenbanken und Textdateien sind häufig anzutreffen. Wer kann diese Logs in so volatilen und komplexen Infrastrukturen laufend prüfen? Manuell niemand. Und deshalb holt man sich ein System an Bord, welches alle Logs zentralisiert speichert und vergleichbar macht.

Das läuft automatisch ab und niemand muss sich um den Betrieb intensiv kümmern. Lediglich der Erstinvest in Lizenzen, Ressourcen und die Einrichtung sind anfangs vorhanden. Und selbst das ist nicht unbedingt notwendig, wenn man sich für einen Managed Service entscheidet.

Folgendes wird von vielen Managed Services angeboten und hilft die Sorgen etwas los zu werden:

  • Unterstützung bei der Anbindung der Quellsysteme (Logs)
  • Bereitstellung von vielen Korrelationsregeln für einen schnellen Start
  • Anpassung von Korrelationsregeln an die Kundenanforderung
  • Betrieb und Bereitstellung der SIEM Infrastruktur

Gerade die Infrastruktur kann gewaltige Kosten verursachen. Unabhängig von teuren Lizenzen und Modellen wie Abrechnung per EPS (X Euro / Y Events pro Sekunde), müssen die Logs schnell durchsuchbar sein und benötigt werden, je nach Größe, einige TB an Speicher. Gerade das schnelle Durchsuchen benötigt zusätzlich Speichersysteme, wie sie ElasticSearch oder Hadoop liefern. Hier ist wiederum Spezialwissen aus dem Bereich Big Data notwendig. Schließlich sind die Anzahl der Shards eines Lucene Indizes weit entfernt vom eigentlichen Zweck eines SIEMs (um ein paar Begriffe aus dieser Welt einzuwerfen)

Es wird, je mehr man sich mit dem Thema beschäftigt, irgendwie nicht einfacher. Deshalb sind die Managed Services dieser Welt gar nicht so verkehrt :-)

Featured Image by on

Andre Fritsche — IT Sicherheit

Ein Blog und eine Meinung zu vielen Themen der IT Sicherheit

Andre Fritsche

Written by

Software Developer & Security Specialist

Andre Fritsche — IT Sicherheit

Ein Blog und eine Meinung zu vielen Themen der IT Sicherheit

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade