Inhalt
Was versteht man unter einem SIEM Use Case?
Unter einem Use Case wird in Bezug auf das Thema SIEM ein Gesamtpaket von Bestandteilen verstanden, welche es erlauben, ein konkretes Bedrohungsszenario zu identifizieren. Typische Bestandteile eines umfänglichen Use Cases sind eine ausführliche Dokumentation vom Bedrohungsszenario, Anforderungen an die operative IT, Detektionsmechanismus, technische Anforderungen an das SIEM, eine Beschreibung der vorzunehmenden Normalisierungen sowie eine Assoziation des Use Cases mit abgedeckten Compliance-Anforderungen.
Es ist sinnvoll, ergänzend einen Testcase zu erstellen, welcher zur laufenden Validierung der Use Case Funktionalität genutzt werden kann. Der Einsatz derartiger Tests ist insbesondere im Falle von Betriebssystem-Updates und zur Abdeckung von Compliance-Anforderungen sinnvoll, um eine fortwährende Funktionalität des Use Case zu gewährleisten.
Wie wähle ich für mein Unternehmen die passenden Use Cases aus?
Eine Herausforderung bei der Auswahl passender Use Cases ist, gerade initial, die fehlende Übersicht über potentielle Threats (Bedrohungen), die es zu erkennen gilt. Bei der Aufstellung einer umfänglichen Übersicht ist es deshalb ratsam, sich auf etablierte Frameworks zu verlassen, um ohne großen Ressourcenaufwand und dennoch mit hoher Qualität in die Planungsphase eintreten zu können. Dabei empfiehlt SECUINFRA die Verwendung technisch und zugleich praktisch ausgerichteter Frameworks.
Compliance Frameworks sind als Orientierungshilfe für die Auswahl konkreter Use Cases eher ungeeignet, da diese in der Regel nur vage Handlungsanweisungen und Empfehlungen formulieren, aus denen sich keine konkreten Detektionsmechanismen ableiten lassen. Da Compliance Frameworks und Anforderungen jedoch in der Auditierung oft ein hohes Maß an Wichtigkeit aufweisen, sollten die identifizierten Use Cases anschließend den erfüllten Anforderungen aus der Compliance zugeordnet werden.
Was sind die wichtigsten Frameworks für die Entwicklung von SIEM Use Cases?
Es existiert mittlerweile eine Vielzahl verschiedener Frameworks, die bei der Identifikation relevanter Threats sehr hilfreich sein können. Im Folgenden werden die Frameworks genannt, welche sich für die Ableitung von Threats und Use Cases als bseonders geeignet erwiesen haben. Hierzu zählen beispielsweise das ATT&CK Framework von MITRE, die Microsoft Security Monitoring Recommendations, das CIS (Center for Internet Security) Top 20 sowie OWASP (Open Web Application Security Project).
Das ATT&CK Framework von MITRE ist die umfangreichste Sammlung von systembezogenen Angriffstechniken, die frei verfügbar ist. Die Angriffstechniken werden dabei einer oder mehreren Taktiken (Kategorien) zugeordnet, die dem typischen Ablauf eines Angriffs entsprechen und stark an die Killchain erinnern.
Dabei enthält jeder Eintrag des Frameworks
– eine Beschreibung des Angriffs
– eine Auflistung der APT (Advanced Persistent Threats) , die dafür bekannt sind, diese Technik einzusetzen
– Empfehlungen, um den erfolgreichen Einsatz der Technik zu verhindern sowie
– Methoden der Detektion.
Da relevante Frameworks sehr umfassend sind, ist es gerade im Zuge der Einführung eines SIEM Systems nicht sinnvoll, eine komplette Abdeckung erreichen zu wollen. Stattdessen empfiehlt sich eine geschickte Streuung der Use Case Auswahl auf die Bereiche von Angreiferverhalten, welche besonders eindeutig detektierbar sind und häufig Anwendung finden. Lesen Sie hierzu auch unseren TechTalk Beitrag: Wie MITRE ATT&CK zur Auswahl von SIEM Use Cases genutzt werden kann
Welche Kriterien sind für die SIEM Use Case Auswahl relevant?
Zur Beurteilung potenzieller Use Cases sollten wenigstens die folgenden Kriterien in Betracht gezogen werden:
1. Potenzieller Impact im Falle des Eintretens
- Auf das betroffene Asset
- Auf die betroffenen Nutzer
- Auf die betroffene Organisationseinheit
- Auf die Geschäftsprozesse
2. Wahrscheinlichkeit des Eintritts
- Häufigkeit des Auftretens im Allgemeinen
- Faktorierung durch die IT-Landschaft (Wie anfällig ist mein Unternehmen für einen solchen Angriff?)
- Wahrscheinlichkeit der Mitigation durch bestehende Sicherheitsmechanismen
3. Qualität des Erkennungsmechanismus
Mindestens unterteilt in folgende Qualitätsstufen:
- Erkennt spezifische Tools, welche die Technik ausnutzen können
- Erkennt IoC, welche auf die Technik hinweisen
- Erkennt die Technik selbst
4. Geschätzte Komplexität des Use Cases
- Administrativer Aufwand (u.a. Anpassung von Audit Logs, Installation zusätzlicher Software, Anbindung neuer Logquellen, notwendige Firewallfreischaltungen)
- Prozessualer Aufwand (z.B. Anpassung von Runbooks, Rücksprache mit Betriebsrat und/oder Datenschutzbeauftragtem, Erstellung neuer Prozesse u.a.m.)
- Use Case Logik (z.B. technische Komplexität der Thematik, Anzahl zu berücksichtigender Datenquellen, Nutzung von Speichermechanismen, Notwendigkeit neuer Extraktionen sowie Notwendigkeit weiterer Datenanreicherung)
- Visibility Anforderungen (z.B. Notwendigkeit Benutzerlisten zu pflegen, Einordnung von Netzwerksegmenten sowie Anbindung weiterer, sekundärer Datenquellen)
5. Geschätzte Wahrscheinlichkeit der Erkennung durch das eingesetzte SIEM System
Was ist wichtig für die Entwicklung und Implementierung von SIEM Use Cases?
Die Entwicklung von Use Cases
Ziel der Entwicklung sollte es sein, den bzw. die optimalen Detektionsmechanismen zur Abdeckung eines Threats herauszuarbeiten, welcher unter den gegebenen Bedingungen umsetzbar erscheinen. Die Entwicklung von Use Cases sollte möglichst in einer separaten Testumgebung stattfinden, welche jedoch vom Aufbau her nah an der Produktivumgebung zu halten ist. Ein einfacher Weg, dies zu erreichen besteht darin, die Events aus der Produktivinstanz oder über den Message Streaming Dienst an die Testinstanz des SIEM Systems weiterzuleiten. Um Synergien zwischen Entwicklung und Implementierung zu schaffen, sollte bereits im Zuge der Entwicklungsphase eine minimalistische Dokumentation stattfinden.
Diese Dokumentation sollte zumindest folgende Punkte umfassen:
- Betroffene Logquellen
- Begründung der Wahl des Ansatzes
- Formlose Beschreibung möglicher Detektionsansätze
- Beurteilung der beschriebenen Detektionsansätze auf Basis praktischer Erfahrungen
- Erläuterung der Entscheidungsfindung-Beschreibung der Anforderungen an die Logquelle
- Beschreibung der Anforderungen an das SIEM System
- Normalisierung von Events
- Anreicherung von Events
- Ergänzung um Eigenentwicklungen
- Beschreibung der Regellogik
- Beschreibung potenzieller False-Positives und False-Negatives
- Beschreibung potenzieller Problemstellungen bei der Implementierung
Die Implementierung von Use Cases
Ziel der Implementierung sollte es sein, den fertigen Detektionsansatz in das produktive SIEM-System so zu portieren, dass er performant und zuverlässig betrieben werden kann. Hierzu müssen stärker als in der Entwicklungsphase die Eigenheiten des SIEM-Systems und der IT-Landschaft berücksichtigt werden. Die Dokumentation der Implementierungsphase erfordert besondere Sorgfalt und Akribie, da diese Unterlage häufig Gegenstand der Überprüfung durch externe Auditoren ist.
Sie sollte wenigstens die folgenden Punkte, ergänzend zu den zuvor bereits erfassten Informationen, beinhalten:
Implementierte Anforderungen an das SIEM
- Normalisierung von Events
- Art der Normalisierung
- Technische Beschreibung (Regulärer Ausdruck, XPath oder ähnliches)
- Begründung für Abweichungen gegenüber der Entwicklung
- Anreicherung von Events
- Beschreibung des technischen Mechanismus zur Anreicherung
- Datenquelle für Anreicherung
- Zyklus für Aktualisierung der Daten
- Ergänzung um Eigenentwicklung
- Beschreibung der ergänzten Funktionalität
- Name und Kontaktdaten des Entwicklers
- Verweis auf Dokumentation der Eigenentwicklung
Implementierte Regellogik
- Abweichungen gegenüber der Entwicklung/ Begründung dieser Abweichungen
- Anpassungen im Zuge des Regeltunings
- Beschreibung pro Anpassungsanlass
- Dokumentation der Testphase
- Dauer der Testphase
- Anzahl Regelauslösungen
- Interpretation der Testphase
- Zeitpunkt der produktiven Aktivierung des Use Cases
- Abnahme durch Leitung SOC
Fazit
Eine besondere Bedeutung beim Aufbau eines SIEM erlangen die sogenannten Use Cases. Sie definieren unterschiedliche Angriffserkennungslogiken. In eine SIEM-Lösung implementiert, helfen sie, tatsächliche Angriffe auf die überwachte IT-Infrastruktur zu erkennen. Die Entwicklung wirtschaftlicher und wirkungsvoller Use Cases ist eine komplexe Aufgabenstellung, für die tiefes Expertenwissen unabdingbar ist. Seit unserer Unternehmensgründung 2010 hat unser SIEM Experts Team bereits über 120 SIEM-Projekte erfolgreich umgesetzt. Ein Ergebnis aus der jahrelangen Begleitung von SIEM-Projekten ist unsere eigene Use-Case Library mit derzeit mehr als 200 Use-Cases.
Haben Sie Fragen zum Thema SIEM Use Cases oder wünschen Sie eine Beratung? Kontaktieren Sie uns gerne!