In diesem Blogpost zeigen wir eine Herausforderung auf, mit der sich viele Unternehmen heute konfrontiert sehen: Das Sammeln und Speichern von Protokolldateien. Wir erklären, warum dies notwendig ist und wie Ihr Unternehmen die Herausforderung mit der Einführung von Log-Management und SIEM bewältigen kann. Sie erfahren, was die Systeme alles können und wie sie in Ihrem Unternehmen dazu beitragen werden, einen besseren Überblick über Ihre IT-Systeme zu schaffen.
Ihr Betrieb hat vielleicht eine unentdeckte Sicherheitslücke
Unternehmen können manchmal nur schwer beurteilen, ob Daten verloren gegangen sind oder die Sicherheit beeinträchtigt worden ist, da sie nicht wissen, wohin sie schauen müssen. Firewalls, Antiviren- und Backup-Verfahren sind gute Vorkehrungen, aber die Erfahrung zeigt, dass diese allein nicht ausreichen.
Wenn eine Sicherheitslücke vorliegt, kann es sehr schwierig sein, diese zu identifizieren und darauf zu reagieren. Solche Vorfälle konnen entweder auf externe Parteien, die in die Systeme eines Unternehmens eindringen, oder auf unangemessenes Verhalten innerhalb eines Unternehmens zurückzuführen sein.
Ihre Server protokollieren nicht alles
Der Grund für diese Unsicherheit ist, dass die meisten Unternehmen keine Kontrolle darüber haben, wie sie ihre Protokolldateien sammeln und speichern. Ein häufiges Missverständnis, das in vielen Betrieben vorliegt, ist zu glauben, dass die Server alles protokollieren, sodass sie bei Bedarf einfach zurückgehen und sich die Protokolle ansehen können. Dies ist jedoch nicht der Fall. Einige Unternehmen denken möglicherweise sogar, dass unsere Informationen für sie unnötig sind, da sie nie Probleme hatten.
Minimieren Sie die das Risiko einer Datenpanne
Es gibt stets neue Wege, wie jemand außerhalb Ihres Sicherheitsbereiches auf Ihre Daten zugreifen kann. Deshalb sollten Sicherheitslücken und weitere Bedrohungen stets untersucht werden. So wissen Sie genau, auf welche möglichen Warnhinweise Sie achten müssen.
Die Auswertung von Protokolldateien mit einem Fokus auf Sicherheit bringt jede Organisation weiter. Es ermöglicht einen hilfreichen Einblick in ihre Sicherheit, ihre bewusste Wahrnehmung und fördert das Verständnis des eigenen Netzwerkes. Es muss aber auch gesagt werden, dass so etwas Zeit und Wartungsarbeiten benötigt.
Bei der Implementierung sollte man sowohl technische als auch nicht-technische Spezialisten hinzuziehen. Deswegen empfehlen wir, dass Experten Sie bei Ihrem Projekt unterstützen.
Wenden Sie Log-Management an, um eine Kommunikationskarte zu erhalten
Im Kontext von IT wird automatisch eine Protokolldatei erstellt, also eine zeitgestempelte Dokumentation von Ereignissen, die in einem System, einer Anwendung oder einem Asset (z.B. einem Server) auftreten. Fast jedes IT System erstellt Protokolldateien.
Protokolldateien sind für Unternehmen sehr wertvoll, weil sie Verläufe von Aktionen und Verhalten eines Systems, eines Assets oder einer Anwendung dokumentieren.
"Falls es einen Cyberangriff gibt, können die Protokolldateien genutztwerden, um den Ursprung des Angriffs zu finden und dessenEffekte auf die IT-Infrastrukturzuanalysieren."
Beim Log-Management geht es darum, relevante Protokolle von den wichtigsten Systemen und Assets innerhalb eines Unternehmens zu sammeln. Danach werden die Protokolldateien an einem einzigen Ort gespeichert. Dort können die Daten von der IT-Abteilung geprüft werden. Dadurch, dass die Protokolldateien gesammelt und gelesen werden, weiß die IT-Abteilung, wie das System normalerweise funktioniert, was bedeutet, dass reagiert werden kann, sobald etwas Ungewöhnliches bemerkt wird.
Haben Sie eine Log-Management-Richtlinie
Damit Sie Protokolldateien bezüglich Ihrer Sicherheit auswerten können, ist es entscheidend, dass Sie verstehen, was außerhalb von SIEM liegt. Dazu gehören Fragen wie:
-
Welche Inspektionen sollen durchgeführt werden?
-
Wie bekommt man einen PowerShell Protokolldatei?
-
Welche Ereignisse können aussortiert werden?
-
Welche Richtlinien und Standards gelten im Unternehmen?
-
Wer sollte auf die Alarme antworten?
-
Wer sollte mit Personalevaluationen umgehen?
-
Wie sollte das Team informiert werden?
-
Wie sollen wir den Maßstab auf eine technische Weise festlegen.
-
Wer ist dafür verantwortlich die beste Lösung zu finden?
-
Und vieles, vieles mehr...
Die Auswertung der Protokolldateien ist jedoch häufig eine manuelle Aufgabe, die meist sehr zeitaufwendig ist, wobei Details leicht übersehen werden können. Darüber hinaus erfolgt die Analyse normalerweise, nachdem das Ereignis schon aufgetreten ist, sodass die Bedrohung erst im Nachhinein angegangen werden kann. Ein SIEM-System kann hierfür die Lösung sein.
Sie brauchen Log Management vor der Implementierung von SIEM
Es ist wichtig zu wissen, dass der Bedarf nach Log-Management oder SIEM von Unternehmen zu Unternehmen variiert. Wenn Ihre Organisation nur ein System benötigt, welches alle Protokolldateien an einem Ort sammelt, empfehlen wir ein Log-Management-System. Wenn Sie Protokolldateien nutzen, um Ihre Datensicherheit zu verwalten, raten wir Ihnen ebenfalls ein SIEM-System zu implementieren.
Dabei müssen Sie beachten, dass Log-Management vor einem SIEM-System implementiert werden muss.
Log-Management ist für das Datensammeln – SIEM für Sicherheit
Beide Systeme unterscheiden sich in zwei wesentlichen Aspekten. Log-Management wird hauptsächlich für das Sammeln von Protokolldateien verwendet, wobei SIEM meist für Sicherheit verantwortlich ist. Ein Log-Management-System kann zwar auch für Sicherheit genutzt werden, es ist jedoch sehr kompliziert und zeitaufwendig. Der Vorteil von SIEM ist, dass im Gegensatz zu Log-Management Echtzeitauswertungen durchführt. Trotzdem bedeutet es nicht, dass SIEM keine Nachteile hat. Da das IT-System einer Organisation kontinuierlich aktualisiert oder verändert wird, kann es viele Fehlalarme geben. Solche Fehlalarme müssen alle untersucht werden, damit die realen Bedrohungen identifiziert werden können. Dies wird einiges an Arbeit für die am System arbeitenden Personen bedeuten.
Aufgrund dessen muss die IT-Abteilung reguläre und ungewöhnliche Ereignisse beim Log-Management voneinander unterscheiden können. In anderen Worten, man muss den Fokus vorab darauflegen, was auf dem Netzwerk ist, bevor man sich auf das konzentrieren kann, was da nicht reingehört. Nur wenn man weiß, wie normale Aktivitäten aussehen, kann man ungewöhnliche Aktivitäten bemerken. Alleinstehen kann SIEM nicht viel bieten. Man könnte sagen, dass Log-Management der Kuchen und SIEM die Glasur ist.
SIEM ist Ihr automatisiertes Alarmsystem
Wenn Sie die Daten aus dem Log-Management-System gesammelt haben, ist es wichtig zu wissen, wie man Wert und Erkenntnisse aus den Daten gewinnt. Security Information und Event Management (SIEM), hat sich aus Log-Management entwickelt.
SIEM kombiniert die Technologie aus Security-Event-Management mit Security-Information-Management. SIEM identifiziert, kategorisiert und analysiert die in den Protokolldateien entdecken Vorfälle und Ereignisse.
Ein SIEM-System kann Ihre IT-Abteilung mit Sicherheitsberichten versorgen, beispielsweise zu erfolgreichen und gescheiterten Anmeldeversuchen. Es kann ebenfalls Alarme senden, wenn es ein laufendes Ereignis im System gibt, welches gegen die vorgegebenen Regeln verstößt und ein potentielles Sicherheitsproblem darstellt.
Alle Daten im Netzwerk, welche sich außerhalb des Rahmens befinden, müssen entfernt werden. Dies betrifft alles von Systemkonten, die mit AD (Active Directory) bombardiert werden, bis hin zu Nutzern mit Hola VPN, Geräten mit unerlaubtem Netzwerkzugriff, und weiteren Fehlermeldungen.
Eines der Nachteile von SIEM ist der ressourcenintensive Prozess. Wegen der benötigten Zeit und Gelder, ist SIEM für viele Organisationen unzugänglich. Zusätzlich benötigt SIEM kontinuierliche Instandhaltung des Systems, welches weitere Ressourcen und bestimmte Qualifikationen benötigt.
SIEM von CyberPilot– Eine komplette Log-Management und SIEM Lösung
Bei CyberPilot haben wir diese Herausforderung anerkannt und daraufhin CyberPilot Log-Management entwickelt, ein Produkt, das jede Organisation einführen kann. CyperPilot SIEM ist eine komplette Log-Management und SIEM Lösung, die aber auch Ihre existierende SIEM Lösung unterstützen kann.
Nutzung von Log-Management/SIEM zur Einhaltung der DSGVO
Wenn Ihr Unternehmen Sicherheitsvorfälle registrieren, verhindern und auf sie antworten will, sind Log-Management und SIEM stark zu empfehlen.
Ein guter Grund beide einzuführen ist, dass sie Ihnen bei der Einhaltung der DSVO helfen. Da beide Systeme Ihnen Informationen zur Nutzung des internen IT-Sicherheitssystems bereitstellen, erhalten Sie einen Bericht mit allen Personen, welche auf personenbezogene Daten zugreifen.