Was ist ein Co-Managed SIEM und für wen eignet sich dieser Ansatz?

Die Digitalisierung aller Unternehmenszweige schreitet unaufhaltsam voran. Im gleichen Maße, wie digitale Arbeitsabläufe in ein Unternehmen integriert werden, steigt aber auch die Wahrscheinlichkeit von IT-Sicherheitsbedrohungen. Cyberkriminelle suchen unaufhörlich nach bestehenden Sicherheitslücken in IT-Systemen und Netzwerken, um wertvolle Daten, sensible Firmeninternas oder vertrauliche Informationen zu Technologien abzugreifen.

SIEM-Systeme liefern einen entscheidenden Mehrwert für die Informationssicherheit eines Unternehmens. Mit einer SIEM-Lösung werden Unternehmen in die Lage versetzt, umfassend sicherheitsrelevante Daten zu sammeln, sie in einem zentralisierten Repository zusammenzuführen und anhand vorher definierter Use Cases automatisiert Auffälligkeiten und Regelverstöße zu erkennen. Dadurch bietet der Einsatz eines SIEM-Systems den unternehmensinternen IT-Sicherheitsteams einen entscheidenden Vorteil – denn die Zeit, die bis zur Identifizierung einer akuten Bedrohung benötigt wird (Meantime to Detect), lässt sich durch ein SIEM deutlich reduzieren. Gerade bei kritischen Angriffen auf die IT-Infrastruktur stellt dies in vielen Fällen den entscheidenden Zeitvorteil dar.

Was aber, wenn Unternehmen relevante Ressourcen fehlen, die für den Aufbau und die Pflege eines SIEM unabdingbar sind? Hierzu gehören beispielsweise fachliche Expertise in bestimmten SIEM Disziplinen, technische Voraussetzungen oder die entsprechende Manpower – Ressourcen, die aktuell in vielen Unternehmen nicht ausreichend verfügbar sind. Der Co-Managed SIEM Ansatz kann hier eine passende Lösung darstellen. Was genau ein Co-Managed SIEM ist und welche Vorteile sich durch den Einsatz ergeben, erfahren Sie in diesem Beitrag.

Wofür steht der Ansatz „Co-Managed SIEM“?

Mithilfe eines SIEM ist es möglich, Eventlogdaten aus verschiedensten Quellen an einem zentralen Ort zu sammeln und in diesen Daten anhand vorher definierter Use-Cases Auffälligkeiten und Regelverstöße automatisiert zu erkennen und zu melden. SIEM steht für Security Information and Event Management und versetzt Anwender in die Lage, in Echtzeit auf Cyberbedrohungen aller Art zu reagieren. Vollständig inhouse umgesetzt, bedeutet ein SIEM für Unternehmen einen kosten- und ressourcenintensiven Einsatz und verlangt eine komplexe Verwaltung. Hinzu kommen immense Datenmengen, die von den internen IT Security-Spezialisten täglich ausgewertet und verwaltet werden müssen. Mit Managed SIEM-Systemen werden die anfallenden Arbeiten an einen externen Dienstleister ausgelagert. Der Dienstleister übernimmt die Überwachung der SIEM-Meldungen, aktualisiert die Lösung mit Patches und stellt Berichte und Protokolle bereit.

Für Unternehmen, die nicht gleich alle, sondern flexibel nur ausgewählte SIEM-Leistungen extern auslagern wollen, eignet sich ein Co-Managed SIEM Ansatz. Ein entsprechendes Co-Managed SIEM Dienstleistungsportfolio ist idealerweise modular aufgebaut und kann flexibel auf nahezu jede Kundenanforderung angepasst werden. Sie entscheiden als Kunde, welche Kompetenzen Sie im Hause aufbauen wollen, und welche Serviceleistungen Sie extern managen lassen.

Was sind die Vorteile gemanagter SIEM Services?

Ein teilweises – oder auch vollständig – extern gemanagtes SIEM bietet zahlreiche Vorteile, so z.B.:

  • Proaktive Bedrohungserkennung durch SIEM Expertenteam

Je mehr Daten innerhalb eines Unternehmens generiert werden, desto komplexer und umfangreicher gestaltet sich die Erkennung von aktuellen Bedrohungen. Damit ein SIEM wirkungsvoll eingesetzt werden kann, müssen die Nutzer des Systems – in der Regel SOC Analysten – Angriffsszenarien und -alarme verstehen und natürlich wissen, wie angemessen zu reagieren ist. Die SIEM-Lösungen übernehmen zwar die repetitive Arbeit, die Analysten müssen jedoch die daraus entstehenden Alarme in den jeweiligen Kontext setzen und das „Große Ganze“ erkennen. Hierzu müssen sie Warnmeldungen überwachen, bewerten und auf tatsächliche Bedrohungen angemessen reagieren. Sind diese Voraussetzungen in Ihrem Unternehmen gegeben? Wenn nicht, sollten Sie sich an dieser Stelle Expertenunterstützung durch erfahrene Cyber Defense Analysten holen, die Angriffsmuster und komplexe Zusammenhänge zuverlässig erkennen.

  • Netzwerküberwachung rund um die Uhr  

Damit eine SIEM-Lösung effizient und wirkungsvoll eingesetzt werden kann, müssen Netzwerke und Systeme rund um die Uhr und an 365 Tagen im Jahr kontinuierlich überwacht werden. Gerade in Unternehmen, die über ein nur kleines IT-Sicherheitsteam verfügen, birgt ein internes SIEM-System die Gefahr von Kapazitätsengpässen. Mit einem Managed SIEM lässt sich die 24/7 Netzwerküberwachung auslagern. Die IT Security-Experten der Dienstleister überwachen dann dauerhaft Ihre IT-Infrastruktur, identifizieren, analysieren und bearbeiten IT-Sicherheitsvorfälle und ergreifen im Ernstfall alle erforderlichen Maßnahmen, um die Bedrohung auszuschalten. Das eigene IT Security-Team hat dadurch genügend Freiraum, schnell und effizient auf akute Probleme zu reagieren.

  • Flexiblerer Einsatz des IT Security-Budgets

Ein internes SIEM-System kann je nach Unternehmensgröße Kosten im sechsstelligen Bereich produzieren. Mit der Anschaffung der SIEM-Lösung allein ist es nicht getan – danach muss das SIEM zeitnah in der IT-Architektur des Unternehmens implementiert werden (Roll-out Phase). Zusätzliche Zeit und Kosten müssen für Schulungen und Trainings aufgewendet werden, bis das eigene IT-Sicherheitsteam die Verwendung des SIEM verinnerlicht und alle Details verstanden hat. Läuft das SIEM, muss u.a. der stabile Betrieb (Überwachung und Auslastung) aller SIEM Komponenten sowie deren Wartung durch entsprechende Mitarbeiter sichergestellt werden.

Mit einem extern gemanagten SIEM werden diese initialen Kosten hingegen gering gehalten. Gegen eine monatliche Servicegebühr stehen die für Ihr Unternehmen erforderlichen Leistungen des SIEM-Systems umgehend zur Verfügung. Kosten für Schulungen, Trainings oder Wartung bzw. Sicherheitspatches entfallen vollständig.

Was zeichnet das Co-Managed SIEM von SECUINFRA aus?

Damit ein SIEM effizient und wirkungsvoll aktuellen und zukünftigen Cyberbedrohungen entgegenwirken kann, müssen innerhalb des SIEM Systems verschiedene Rollen mit unterschiedlichen Skills besetzt sein. Von der Überwachung von Logquellen über die Entwicklung von SIEM Content bis hin zu Incident Response und Threat Hunting funktioniert die Technologie nur dann, wenn alle Rollen perfekt besetzt sind und, einem Zahnrad gleich, ineinandergreifen. Genau hier setzt SECUINFRA mit dem hybriden, modularen und flexiblen Co-Managed SIEM Ansatz an: Ganz individuell kann hier entschieden werden, welche Dienstleistungen aus dem SIEM Baukasten Sie als Unternehmen in Anspruch nehmen möchten und welche bei Ihnen intern verbleiben. In enger Zusammenarbeit entsteht so ein erstklassiges SIEM-System – ohne versteckte Kosten und Abhängigkeiten. Von der Übernahme einzelner Rollen bis hin zum kompletten Betrieb eines SIEM kann der Co-Managed SIEM Ansatz der SECUINFRA gezielt auf die Bedürfnisse und Prozesse Ihres Unternehmens angepasst werden. Das hybrid aufgestellte Angebot ermöglicht es, dass die Services entweder vor Ort oder remote aus einem der SECUINFRA Cyber Defense Center erbracht werden. Der Datenschutz ist dabei jederzeit gewährleistet. Die Daten verlassen nicht Ihr Unternehmen und der Zugriff darauf erfolgt ausschließlich aus Deutschland heraus. Ein weiterer großer Vorteil des SECUINFRA Co-Managed SIEM Ansatzes ist das durch langjährige Erfahrung erworbene Wissen der Cybersecurity-Experten. Durch den Betrieb zweier Cyber Defense Center sowie mehr als 120 erfolgreiche Projektabschlüsse im Bereich SIEM Consulting und -Services seit 2010 bringen die SECUINFRA-Experten großes Fachwissen in die angebotenen Dienstleistungen ein.

Welche Services und Module beinhaltet der Co-Managed SIEM Ansatz von SECUINFRA?

Der Co-Managed SIEM Ansatz basiert darauf, dass jedes SIEM-System und die benötigten Komponenten innerhalb des Kundennetzwerkes von SECUINFRA installiert und betrieben werden können. Kundenseitig wird hierfür die Betriebssystemplattform zur Verfügung gestellt, auf der SECUINFRA mittels Remote-Zugriff das SIEM-System installiert, konfiguriert und betreibt. Alternativ ist es auch möglich, dass Sie als Kunde die SIEM-Plattform eigenständig betreiben und durch die SECUINFRA mit einzelnen Bausteinen aus dem Co-Managed SIEM-Portfolio unterstützt werden.

Folgende Module können einzeln oder als Gesamtpaket in Anspruch genommen werden:

Security Monitoring

Im Rahmen des Security Monitoring übernehmen die SECUINFRA Cyber Defense Experten die nachhaltige Analyse von IT-Sicherheitsvorfällen, führen eine genaue Qualifizierung der Vorfälle durch und liefern Vorschläge für Gegenmaßnahmen.

Das Security Monitoring untergliedert sich maßgeblich in:

Threat Hunting

Im Rahmen des Threat Hunting Moduls führt die SECUINFRA Logdatenanalysen auf Grund von internen oder externen Vorkommnissen durch oder basierend auf neu bekannt gewordenen IOCs und erkannten Angriffen bei anderen SECUINFRA-Kunden. Weiterhin werden klare Handlungsempfehlungen für das Incident Response-Team im Falle von detektierten Security Incidents ausgesprochen.

Level-1 Analyse

  • Triage und Erstanalyse von SIEM-Alarmen
  • Eliminierung von False-Positive- und Doppelmeldungen
  • Eskalation relevanter Vorkommnisse an die Level-2 Analyse

Level-2 Analyse

  • Detaillierte Analyse und Bewertung relevanter Vorkommnisse
  • Rücksprache mit betroffenen Benutzern und Verantwortlichen zur klaren Bewertung relevanter Vorkommnisse
  • Klare Handlungsempfehlungen für das Incident Response-Team im Falle von Security Incidents

SIEM Content-Entwicklung und -Pflege

Die SECUINFRA Cyber Defense Experten legen größten Wert auf eine stark fokussierte SIEM Content-Entwicklung und -Pflege. So entwickelten die Cybersecurity-Spezialisten bis dato mehr als 200 Use-Cases, die sie u.a. auf Basis des MITRE ATT&CK Frameworks selbst erarbeitet haben. Als Alleinstellungsmerkmal erstellt SECUINFRA nicht nur die SIEM-Regeln für die einzelnen Use-Cases, sondern liefert auch die nötigen Vorgaben für die Log-Policy, Testroutinen und Runbooks. Mit der initialen Erstellung des Contents ist es jedoch nicht getan – die Cyber Defense Experten arbeiten kontinuierlich daran, den Bestand zu pflegen, d.h. zu optimieren und zu ergänzen.

Die Leistungen im Modul SIEM Content Entwicklung und Pflege umfassen im Detail:

  • Definition der benötigten Use-Cases basierend auf Ihrem Sicherheitsbedarf
  • Auswahl dieser Use-Cases aus der SECUINFRA Use-Case-Library oder
  • Umfängliche kundenindividuelle Entwicklung von Use-Cases mit Log-Policy, SIEMRegel/n, Testroutinen und Runbook
  • Implementierung und kontinuierliche Optimierung der „End-to-End-SIEM Use-Cases“
  • Initiales und regelmäßiges Testen der Use-Cases
  • Kontinuierliche Pflege und Optimierung der LogPolicies, SIEM Regeln, Testroutinen und Runbooks

SIEM Plattformbetrieb und Logquellen Überwachung 

Der SIEM Plattformbetrieb sowie die Logquellen Überwachung stellen die Basis für den reibungslosen SIEM Betrieb.

SIEM Plattformbetrieb

Der SIEM-Plattformbetrieb wird durch Administratoren der SECUINFRA sichergestellt. Zu dem Aufgabenspektrum gehören:

  • Release-Planungen (z.B. Aktualisierungen testen und einspielen)
  • Kontrolle der Verfügbarkeit der SIEM-Infrastruktur
  • Fehlerbehebung bei Softwareproblemen der SIEM-Infrastrukturkomponenten
  • Regelmäßige Kontrolle des Lizenzvolumens, ggf. rechtzeitige Anzeige von Überschreitungen der Volumina

Logquellen Überwachung

Mit diesem Modul stellt SECUINFRA die Überwachung der Verfügbarkeit und die Qualität der angebundenen Logdaten sicher. Gegebenenfalls werden Anpassungen der Log-Policy durchgeführt oder die Eskalation an den Logquellen-Verantwortlichen übernommen. So wird sichergestellt, dass die für das SIEM notwendigen Logdaten stets in der notwendigen Qualität im SIEM vorliegen.

Optional: Incident Response

SECUINFRA bietet optional einen DFIR-Rahmenvertrag mit festen SLAs kostenlos zum Co-Managed SIEM-Service dazu. So erhalten Unternehmen jederzeit die Möglichkeit, die SECUINFRA Compromise Assessment- und Forensik-Spezialisten sowie Incident-Responder optional beauftragen zu können. Das Modul beeinhaltet:

  • Durchführung von Compromise Assessments (COMPASS) zur Identifizierung kompromittierter
    IT-Systeme
  • Durchführung forensischer Analysen zur Aufklärung des Tathergangs und zur Beweissicherung
  • Unterstützung im Bereich Incident Response zur schnellstmöglichen Wiederherstellung des IT-Betriebs

Fazit

Mit einem SIEM-System sind Unternehmen in der Lage, die Zeit bis zur Entdeckung eines IT-Sicherheitsvorfalls maßgeblich zu verkürzen. So möchten immer mehr Unternehmen ihre Cybersicherheit durch ein SIEM erhöhen – was allerdings gerade bei kleinen Budgets oder fehlenden Inhouse-IT-Security-Experten schwierig bis unmöglich wird. Mit dem flexiblen, hybriden Co-Managed SIEM-Ansatz der SECUINFRA erhalten Unternehmen die Möglichkeit, ihr individuelles SIEM nach Baukastenprinzip zu realisieren. Der modulare Aufbau ermöglicht es jedem Unternehmen, ganz individuell über eigene Leistungen und externe Unterstützung zu entscheiden. Fehlen für bestimmte Bereiche Ressourcen, Expertise oder Fachkräfte, können diese Lücken mit Hilfe des Co-Managed SIEM Ansatzes der SECUINFRA geschlossen werden.

Sie haben Interesse an einem flexiblen und hybrid aufgebauten Co-Managed SIEM? Kontaktieren Sie uns via E-Mail oder telefonisch unter: +49 30 5557021 11– wir beraten Sie gerne!  

Beitrag teilen auf:

XING
Twitter
LinkedIn

SECUINFRA SIEM Experts Team • Autor

Managed SIEM & Co-Managed SIEM Experten

Das SECUINFRA SIEM Experts Team ist auf die Bereiche “Managed SIEM” und “Co-Managed SIEM” spezialisiert. Dabei führt das Team nicht nur die klassischen operativen SOC Tätigkeiten wie das Analysieren und Bewerten von SIEM Alarmen oder dem Threat Hunting durch, sondern konzeptioniert, implementiert und betreibt die SIEM-Umgebungen.

> alle Artikel
Cookie Consent mit Real Cookie Banner