{"id":28855,"date":"2022-05-18T11:44:21","date_gmt":"2022-05-18T09:44:21","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=28855"},"modified":"2023-12-13T14:27:48","modified_gmt":"2023-12-13T13:27:48","slug":"secuinfra-job-insights-meine-aufgaben-als-siem-use-case-entwickler","status":"publish","type":"post","link":"https:\/\/www.secuinfra.com\/de\/techtalk\/secuinfra-job-insights-meine-aufgaben-als-siem-use-case-entwickler\/","title":{"rendered":"SECUINFRA Job Insights: Meine Aufgaben als SIEM Use Case Entwickler"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_84 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/secuinfra-job-insights-meine-aufgaben-als-siem-use-case-entwickler\/#Wie_wuerdest_du_deinen_Job_in_wenigen_Saetzen_beschreiben\" >Wie w\u00fcrdest du deinen Job in wenigen S\u00e4tzen beschreiben?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/secuinfra-job-insights-meine-aufgaben-als-siem-use-case-entwickler\/#Welche_Rolle_spielt_die_SIEM_Use_Case_Entwicklung_in_deinem_Job\" >Welche Rolle spielt die SIEM Use Case Entwicklung in deinem Job?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/secuinfra-job-insights-meine-aufgaben-als-siem-use-case-entwickler\/#Was_sind_die_einzelnen_Phasen_deiner_Use_Case_Entwicklung\" >Was sind die einzelnen Phasen deiner Use Case Entwicklung?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/secuinfra-job-insights-meine-aufgaben-als-siem-use-case-entwickler\/#Wie_lange_dauert_die_Entwicklung_eines_SIEM_Use_Cases\" >Wie lange dauert die Entwicklung eines SIEM Use Cases?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/secuinfra-job-insights-meine-aufgaben-als-siem-use-case-entwickler\/#Gut_zu_wissen_Was_sind_Use_Cases_und_wozu_braucht_man_sie\" >Gut zu wissen: Was sind Use Cases und wozu braucht man sie?<\/a><\/li><\/ul><\/nav><\/div>\n<p>SIEM Use Case Entwickler \u00fcbernehmen eine zentrale Position im Cyber Defense Team. Sie entwickeln Detektionslogiken, koordinieren Gegenma\u00dfnahmen bei IT-Sicherheitsvorf\u00e4llen und beraten Kunden bei anstehenden strategischen Entscheidungen rund um die Cybersicherheit ihres Unternehmens. Doch was genau verbirgt sich eigentlich hinter dem Aufgabenbereich der SIEM Use Case Entwicklung? Wir haben bei einem unserer Cyber Defense Consultants genauer nachgefragt.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Wie_wuerdest_du_deinen_Job_in_wenigen_Saetzen_beschreiben\"><\/span>Wie w\u00fcrdest du deinen Job in wenigen S\u00e4tzen beschreiben?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Wenn du mich nach einem Attribut fragst, das meinen Job als Cyber Defense Consultant am besten beschreibt, dann kann die Antwort nur lauten: abwechslungsreich! Denn als Cyber Defense Consultant bin ich in eine \u00fcberaus vielf\u00e4ltige Aufgabenstruktur eingebunden. Meine Aufgaben umfassen unter anderem die Entwicklung von Detektionslogiken f\u00fcr die SIEM-Systeme unserer Kunden, die Entwicklung und Koordination von Gegenma\u00dfnahmen bei akuten IT-Sicherheitsvorf\u00e4llen und nat\u00fcrlich auch die Beratung der Kunden bei wichtigen, strategischen Entscheidungen. Kurz gesagt: Kein Tag gleicht hier dem anderen \u2013 und selten wei\u00df ich bei Arbeitsbeginn, was mich im Laufe des Tages erwarten wird. Das macht meinen Job ziemlich herausfordernd und extrem spannend.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Welche_Rolle_spielt_die_SIEM_Use_Case_Entwicklung_in_deinem_Job\"><\/span><strong>Welche Rolle spielt die SIEM Use Case Entwicklung in deinem Job?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Wenn du mit der Aufgabenstellung der SIEM Use Case Entwicklung zun\u00e4chst nichts anfangen kannst, geht es dir wie vielen Menschen in meinem Umfeld. Use Cases, als logisches Element zur Erkennung von Angriffen bzw. deren Detektionsregeln als technische Umsetzung der Logik, sind das Herzst\u00fcck eines SIEM-Systems. Daher gehe ich auf diesen besonders spannenden und herausfordernden Bereich meines Berufes im Folgenden detaillierter ein und versuche, die Aufgabe etwas greifbarer darzustellen.<\/p>\n<p><strong>Unsere Kunden werden t\u00e4glich mit den unterschiedlichsten Bedrohungsszenarien konfrontiert.<\/strong> Denn im gleichen Ma\u00dfe, wie sich die IT Security weiterentwickelt, setzen auch Cyberkriminelle neue Methoden und Taktiken ein. Zur Verdeutlichung der SIEM Use Case Entwicklung m\u00f6chte ich gerne ein derzeit h\u00e4ufig vorkommendes Bedrohungsszenario auff\u00fchren, das in MITRE ATT&amp;CK <strong>\u201eRemote Services\u201c<\/strong> genannt wird. Remote Services stammt aus dem Bereich des \u201eLateral Movements\u201c, einer Vorgehensweise, bei der sich ein Angreifer innerhalb des Unternehmensnetzwerkes von einem System zum anderen bewegt. Das Ziel des oder der Angreifer ist entweder eine maximale Ausbreitung im Netzwerk des Opfers (wenn es beispielsweise um den Einsatz von Ransomware geht) oder das Auffinden und Exfiltrieren spezifischer Daten im Rahmen von Industriespionage.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Was_sind_die_einzelnen_Phasen_deiner_Use_Case_Entwicklung\"><\/span><strong>Was sind die einzelnen Phasen deiner Use Case Entwicklung? <\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die Grundlage f\u00fcr alle weiteren Ma\u00dfnahmen ist zun\u00e4chst, dass ich das Angriffsszenario verstehe, damit wir unsere Kunden mit einem SIEM-System vor der Bedrohung durch Remote Services wirkungsvoll sch\u00fctzen k\u00f6nnen. In der Regel ist das <a href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/wie-mitre-attck-zur-auswahl-von-siem-use-cases-genutzt-werden-kann-teil-1-2\/\"><strong>MITRE ATT&amp;CK Framework<\/strong><\/a> mein Ausgangspunkt, um ein theoretisches Verst\u00e4ndnis f\u00fcr das Vorgehen der Angreifer, deren Methoden und Besonderheiten zu entwickeln. Bei den meisten Angriffsszenarien habe ich bereits eine grobe Vorstellung \u2013 es geht im ersten Schritt also prim\u00e4r darum, meine Vorstellungen von dem Angriff zu konkretisieren.<\/p>\n<p>Anschlie\u00dfend begebe ich mich auf Recherche. In Blogs und Foren oder in Whitepapers suche ich nach m\u00f6glichst konkreten Beispielen f\u00fcr Angriffe. So verschaffe ich mir zus\u00e4tzlich zum sehr theoretischen MITRE ATT&amp;CK Framework noch eine \u00dcbersicht \u201eaus der Praxis\u201c. Ich versuche in diesem Schritt, mir alle Einzelheiten rund um den typischen Ablauf eines Angriffs zurechtzulegen. Je konkreter ich den Aufbau und Ablauf des Angriffs verstehe, desto pr\u00e4ziser werden die Ergebnisse des nun folgenden Schrittes.<\/p>\n<p><strong>Nach der \u201eGrundlagenarbeit\u201c muss ich praktische Erfahrung zum Ablauf des Angriffs sammeln.<\/strong> Hierzu steht mir eine Testumgebung zur Verf\u00fcgung, in der ich die Angriffe m\u00f6glichst \u201ewirklichkeitsgetreu\u201c durchf\u00fchre. Sehr h\u00e4ufig fallen hier deutliche Unterschiede zwischen der beschriebenen Theorie und der gelebten Praxis auf. Diese kleinen Details sind immens wichtig und werden dokumentiert. St\u00fcck f\u00fcr St\u00fcck ergibt sich so ein Bild des Angriffsablaufs. Ich erkenne durch die Simulationen, auf welche Arten und Weisen sich Angreifer typischerweise von einem System zum anderen bewegen. Nutzen sie daf\u00fcr SMB, RPC oder WinRM \u2013 oder ist RDP doch der bevorzugte Weg?<\/p>\n<p><strong>Wei\u00df ich, wie sich die Angreifer durch die Systeme bewegen, suche ich nach einer M\u00f6glichkeit, die Bewegungen und Muster m\u00f6glichst fehlerfrei zu erkennen.<\/strong> Hierzu gibt es zumeist frei verf\u00fcgbare Informationen im Netz \u2013 die ich gerne unterst\u00fctzend verwende. Allerdings pr\u00fcfe ich jede der Informationen gr\u00fcndlich und genau auch in der Praxis, denn neben veralteten Infos sind leider auch immer viele falsche oder fehlerhafte Informationen dabei. Die Simulationen in unserer Testumgebung sind dabei mein wirkungsvollster \u201eFilter\u201c.<\/p>\n<p>Sobald ich einen m\u00f6glichst zuverl\u00e4ssigen Ansatz zur Erkennung der Bedrohung gefunden habe, implementiere ich diesen in einem der SIEM-Systeme in unserer Testumgebung und f\u00fchre anschlie\u00dfend den Angriff erneut durch \u2013 auf unterschiedlichste Weisen. Dadurch bin ich in der Lage, das Regelwerk praktisch zu verifizieren. Parallel dokumentiere ich die Vor- und Nachteile unterschiedlicher Erkennungsans\u00e4tze.<\/p>\n<p>Abschlie\u00dfend wird der so erstellte Use Case mit einem erfahreneren Mitarbeiter besprochen. Das <strong>\u201e4-Augen-Prinzip\u201c<\/strong> stellt die Qualit\u00e4tssicherung dar \u2013 und die erfahrenen Kollegen k\u00f6nnen mir bei Bedarf noch Input geben, was m\u00f6gliche Alternativen bei den L\u00f6sungsans\u00e4tzen anbelangt. Falls es notwendig ist, findet auch nochmal eine Anpassung der Erkennungsans\u00e4tze statt.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Wie_lange_dauert_die_Entwicklung_eines_SIEM_Use_Cases\"><\/span><strong>Wie lange dauert die Entwicklung eines SIEM Use Cases? <\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die Erstellung eines Use Cases ist eine komplexe Angelegenheit. Entsprechend viel Zeit nimmt der gesamte Prozess in Anspruch. Wir rechnen in der Regel mit etwa 2 \u2013 4 Tagen pro Use Case, immer abh\u00e4ngig von der Komplexit\u00e4t des Szenarios. Da kaum ein Use Case dem anderen gleicht, k\u00f6nnen wir den Arbeitsaufwand im Vorfeld immer nur sch\u00e4tzen. Aber genau das ist es, was ich an meinem Job so mag. Ich kenne zun\u00e4chst nur ein grobes Bedrohungsszenario und arbeite mich dann St\u00fcck f\u00fcr St\u00fcck in die Feinheiten ein \u2013 ohne am Anfang genau zu wissen, mit welchen Ergebnissen ich am Ende das SIEM-System unserer Kunden erweitern kann.<\/p>\n<p><b><div class=\"fazit\"><\/b><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Gut_zu_wissen_Was_sind_Use_Cases_und_wozu_braucht_man_sie\"><\/span><strong>Gut zu wissen: Was sind Use Cases und wozu braucht man sie? <\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Use Cases, als logisches Element zur Erkennung von Angriffen bzw. deren Detektionsregeln als technische Umsetzung der Logik, sind das Herzst\u00fcck eines SIEM-Systems. Bei fast allen Anbietern von SIEM-L\u00f6sungen sind mitgelieferte Use Cases als praktische \u201eOut-of-the-Box\u201c-L\u00f6sungen\u00a0das\u00a0Verkaufsargument. Aus mehreren Gr\u00fcnden bringen die vorgefertigten Regeln jedoch zumeist nur geringen Mehrwert.<\/p>\n<p>Diese Detektionsregeln sind meist sehr generisch gehalten und somit kaum zu jeweiligen IT-Landschaft oder der Bedrohungslage passen. Meist fehlen den Use Cases sowohl die Angaben, welche Logs\/Events von dem IT-System ben\u00f6tigt werden als auch Handlungsanweisungen f\u00fcr die Cyber Defense Analysten. Des Weiteren wird eine Vielzahl von Regeln bereitgestellt, die entweder die SIEM-Analysten massiv \u00fcberfordern, wenn sie alle aktiviert werden oder vorab sinnvoll ausgew\u00e4hlt werden m\u00fcssen. Unter anderem ist sowohl f\u00fcr diesen Auswahlprozess als auch f\u00fcr die sp\u00e4tere Bearbeitung der Alarme aus den Use Cases wichtig, dass diese einen direkten Bezug zu bekannten IT Security-Frameworks wie z.B. MITRE ATT&amp;CK haben. Damit und mit entsprechendem Expertenwissen kann das wesentlichste Ziel der Use Case-Auswahl &#8211; mit einer m\u00f6glichst geringen Anzahl an qualitativ hochwertigen Use Cases die maximale Abdeckung bekannter Angriffsvektoren zu erhalten &#8211; erreicht werden. <\/div><\/p>\n<h3><strong>Klingt spannend? Ist es auch! Wenn auch du Teil unseres Cyber Defense Teams werden m\u00f6chtest und an neuen SIEM Use Cases t\u00fcfteln willst, bewirb dich bei uns: <a href=\"mailto:karriere@secuinfra.com\">karriere@secuinfra.com<\/a>\u00a0<\/strong><\/h3>\n","protected":false},"excerpt":{"rendered":"<p>SIEM Use Case Entwickler \u00fcbernehmen eine zentrale Position im Cyber Defense Team. Doch was genau verbirgt sich eigentlich hinter dem Aufgabenbereich der SIEM Use Case Entwicklung? Wir haben bei einem unserer Cyber Defense Consultants genauer nachgefragt.<\/p>\n","protected":false},"author":17,"featured_media":28861,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[245,66],"tags":[],"dpc_coauthors":[],"class_list":["post-28855","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security-karriere","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/28855","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/17"}],"replies":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=28855"}],"version-history":[{"count":0,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/28855\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/28861"}],"wp:attachment":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=28855"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=28855"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=28855"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=28855"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}