SIEMWenn Sie wüssten, was Ihre Systeme wissen…
Marcus Hock, Consultant, CISSP
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…2
SIEM – was ist das?
Security
Information
Event
Monitoring
„System zur Echtzeitanalyse von Ereignissen, die durch Hardware- oder
Software-Komponenten erzeugt werden“
3
Ihre IT Infrastruktur
WLANcontroller
VPN
MailserverActive DirectoryDHCPDNSRADIUS
Firewall IPS
Access Point
Proxy
Antivirus
Webserver Load BalancerWeb Application Firewall
Mail Gateway
FileServer DBApplication Server
SoftwareverteilungClient-Management
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
4
Logging
Verteiltes Loggen
• Jede Komponente speichert Logs lokal
• Nur lokale Sicht auf globale Ereignisse
• Veränderbar
• Verloren, wenn System kompromittiert
Zentrales Loggen
• Alle Komponenten loggen auf einen zentralen Server
• Vorhalten von Logs unabhängig von der Quelle
• Manuelles Durchsuchen möglich
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
5
SIEM – Funktionsweise
Global threat intelligence
• Automatische
Datensammlung, Geräte-
Erkennung, Profiling
• Echtzeit-Analyse
• Daten-Reduktion
• Baselining, Anomalie-
Erkennung
• Regeln und Vorlagen
Integrierte Intelligenz
Angriffe
Automatisierte
Angriffs-
erkennung
Security Infrastruktur
Server / Mainframes
Netzwerkaktivität
Datenzugriffe
Anwendungen
Konfigurations-Information
Schwachstellen-Analyse
Benutzer / Identitäten
Global threat intelligence
Vielfältige Datenquellen… … Validierte Auffälligkeiten
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
6
SIEM – Vorteile
SECURITY
• Systemübergreifende
Korrelation
• Echtzeit-Analyse
• APT / Zero-Day Erkennung
• Innentäter-Erkennung
COMPLIANCE
• Zentrales Logging
• Integrierte Auswertung
• Erkennen von Compliance-
Verstößen
FORENSICS
• Zentrale Informationsbasis
• Schnelle Aufbereitung
• Zugriff auf Netzwerkdaten
OPERATIONS
• „Single Pane Of Glass“
• Daten-Konsolidierung
• Erkennen von
Fehlkonfigurationen
• Fehler-Früherkennung
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
7
APT
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
WLANcontroller
VPN
MailserverActive DirectoryDHCPDNSRADIUS
Firewall IPS
Access Point
Proxy
Antivirus
Webserver Load BalancerWeb Application Firewall
Mail Gateway
FileServer DBApplication Server
SoftwareverteilungClient-Management
1. Spearphishing Mail
2. Malicious Code
Download
3. Command + Control
4. Privilege Escalation
5. Data Gathering
Access to known malware URL
from…
Known C+C,
Suspicous Network Activity
Hidden Channel
Multiple Login Attempts
New User Created from Src X
User added to Group Y
Direct DB Access from Client X
Large copy of data
Access to sensible data
8
SIEM
Art des Angriffs
Wer war beteiligt?
Wie viele und
welche Ziele sind
betroffen?
Schweregrad
Wo ist er?
Sind sie
angreifbar?
Wie wichtig sind
die Systeme für
uns?
Was sind die
Beweise?
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
9
Projektierung
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
SIEM Einführung
Betrieb
Beteiligte
Ziele • „Was will ich wissen?“
• Beteiligte Systeme
• Vorhaltezeiten
• Erwarteter Output: Dashboards,
Alerts, Reports, …
• Governance / Risk / Compliance
• IT-Abteilung
• Fachabteilungen
• Datenschutz-/Sicherheitsbeauftragter
• Beteiligte Personen
• SLAs, Reaktionen, Tuning
• Pflege: Onboarding für neue Systeme
10 SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
11
PROFI AG
PROFI ist Spezialist für Konzeption, Aufbau und
Pflege von plattformunabhängigen Data Center
Lösungen.
Unsere Lösungsbausteine umfassen:
• Virtualisierung & Automation
• Systemmanagement
• Netzwerke & Security
• Hochverfügbarkeit
• Speicherlösungen
• Backup & Recovery
Darmstadt (GS)
HamburgBremenBerlinBochumKölnChemnitzDarmstadt (Zentrale)
WeidenMannheimNürnbergKarlsruheStuttgartMünchen
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
Marcus Hock
Consultant, CISSP
Vielen Dank für Ihre Aufmerksamkeit!
PROFI Engineering Systems AG
Zentrale
Otto-Röhm-Straße 18
64293 Darmstadt
Telefon +49 6151 8290-0
www.profi-ag.de