zurück zur Übersicht

SIEM in action: Dynamic Reporting

photocasebzqxbzjn53817851_himberry photocase.com_BearbeitetDie IT-Infrastruktur in Organisationen unterschiedlicher Branchen und deren Überwachung ist ein immer komplexer werdendes Thema. Immer größeres Wissen und breit gefächerte Expertise ist von Nöten, um die meist heterogene Infrastruktur zu warten, Probleme zu erkennen, Richtlinien durchzusetzen und zeitnah auf Vorfälle reagieren zu können. Ein SIEM System (Security Information and Event Management) ist in der Lage hier zu unterstützen. Es stellt die zentrale Sammelstelle für eine Vielzahl von Informationen in der IT-Infrastruktur dar. So können dort z.B. Informationen der Firewalls oder Proxys gesammelt und auf Anomalien hin untersucht werden. Etwaige Auffälligkeiten werden sofort an die zuständige Stelle weitergeleitet.

Ein Szenario wäre zum Beispiel das Alarmieren und/oder Berichten über kritische Bedrohungen (hier in Form von Viren). Die exemplarische Umsetzung eines solchen Szenarios wird anhand des SIEM Systems „HPE ArcSight ESM“ erklärt.

Szenario Dynamic Reporting/Alarming

Nicht jede Abteilung in einer Organisation hat die nötige Expertise oder nötigen Rechte, um auf ein SIEM-System zuzugreifen und Inhalte zu erstellen. Das SIEM-System fungiert als eine Art Black Box an welche häufig wechselnde Anforderungen gestellt und bestimmte Resultate erwartet werden.

Es ist möglich das Verhalten von bestimmten Regeln in dem SIEM-System dynamisch zu gestalten ohne direkten Zugriff auf das System zu haben. So möchte eine Abteilung beim Eintritt eines bestimmten Ereignisses alarmiert werden und über andere Ereignisse einen Bericht erhalten. Die Anforderungen an diese Ereignisse können z.B. in einem Spreadsheet definiert sein und die Inhalte in „HPE ArcSight ESM“ passen sich dynamisch an.

Critical Threat Reporting (Beispiel AV)

Um das Szenario zu realisieren, können verschiedene Quellen nötig sein, die an das SIEM-System angebunden werden müssen. Exemplarisch werden hier Anti-Virus Events (bspw. Sophos Endpoint Protection) in Betracht gezogen.

Beispiel

Das AV-Team (Anti-Virus Team) möchte beim Auftreten von bestimmten Viren alarmiert werden und einen Bericht erhalten, der bestimmte Virenereignisse beinhaltet. Diese Anforderung könnte wie folgt in einem Spreadsheet definiert werden:

Virus Alarmierung Bericht Kritikalität
Troj/MsilInj-CO True True 6

 

Schritt 1:

Es wird eine Active List in “HPE ArcSight ESM” definiert, die die nötigen Informationen/Anforderungen beinhaltet (Abbildung 1)

dynamicreporting1
Abbildung 1: Active List

Schritt 2:

Die Information, die von dem Team zur Verfügung gestellt wird, wird in regelmäßigen Abständen in HPE ArcSight ESM über einen HPE ArcSight FlexConnector importiert und in der in Schritt 1 definierten Active List abgelegt.

Schritt 3:

dynamicreporting2
Abbildung 2: HPE ArcSight Regel

Es wird eine Regel definiert (Abbildung 2), die die Anti-Virus Events analysiert und alarmiert, falls die Events mit den Einträgen in der Active List übereinstimmen.

Bei bestimmten Ereignissen kann das AV-Team nun benachrichtigt werden, z.B. per Alarmierung in einem „Active Channel“ (Abbildung 3) der auch die Kritikalität des Ereignisses widerspiegelt.

dynamicreporting3
Abbildung 3: Active Channel

Schritt 4:

Ein abschließender Bericht, der täglich an das AV-Team gesendet wird, wird in dem SIEM-System erstellt. Der Bericht (Abbildung 4), beinhaltet nur die Ereignisse, über die das AV-Team informiert werden möchte (Active List Schritt 1, Report = True). Nachdem der Bericht auf dem SIEM-System generiert worden ist, wird er automatisiert an das AV-Team per Email gesendet.

dynamicreporting4
Abbildung 4: Report

FAZIT

Use Cases sind die Inhalte, die ein SIEM System zum Leben bringen und den Mehrwert eines solchen Systems herauskristallisieren. Wohldefinierte Security Use Cases, effiziente Implementierungen und Eskalationsprozesse sorgen für schnelle Reaktionszeiten bei der Bearbeitung von Vorfällen und helfen die IT-Sicherheit einer Organisation zu stärken.

 

Schreibe einen Kommentar