SIEM-Lösungen liefern wertvolle Informationen für die Erkennung und Untersuchung sicherheitsrelevanter Vorfälle. Dieses Whitepaper stellt drei Varianten vor, wie SIEM in ein Managed Security Operations Center (SOC) eingebunden werden kann und gibt Tipps Tipps für die Auswahl des richtigen Partners.
Inhalt:
Die kontinuierliche Überwachung aller sicherheitsrelevanten Vorgänge im Unternehmen ist wesentlicher Bestandteil einer ganzheitlichen IT-Security-Strategie. Unternehmen, die in den Bereich der kritischen Infrastruktur-(KRITIS) gehören, sind dazu sogar gesetzlich verpflichtet. Laut dem IT-Sicherheitsgesetz 2.0 (ITSIG), das 2021 in Kraft trat und seit Mai 2023 wirksam ist, müssen betroffene Betriebe Systeme zur Angriffserkennung einsetzen, die „geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten“.
Diese Aufgabe erfüllt typischerweise ein Security Operations Center (SOC), das die notwendigen Informationen unter anderem aus einer SIEM-Lösung (Security Information and Event Management) erhält. Ein eigenes SOC zu betreiben, ist jedoch für meisten Mittelständler zu kostspielig und aufwendig. Die Nachfrage nach externen, von einem Provider gemanagten SOC-Angeboten steigt daher kontinuierlich.
Dieses Whitepaper zeigt Ihnen, wie Sie SIEM-Systeme am besten mit einem Managed SOC kombinieren. Es stellt Ihnen drei Varianten vor und leistet Hilfestellung bei der Entscheidung für eine der Versionen.
Lesen Sie:
- Welche Vor- und Nachteile der Aufbau einer eigenen SIEM-Lösung hat.
- Was Sie beim Einsatz einer SIEM-Lösung Ihres Managed-SOC-Anbieters beachten müssen.
- Was passieren kann, wenn Sie keinen Zugriff auf das SIEM des Managed-SOC-Providers haben.
Originalauszug aus dem Dokument:
Variante a) Aufbau einer eigenen SIEM-Lösung
Viele Unternehmen entschließen sich trotz des hohen Aufwands für den Aufbau einer eigenen SIEM- Lösung. Dabei können sie die Lösung entweder selbst oder mithilfe von Partnern im Unternehmen umsetzen und mit eigenen Ressourcen betreiben. Sie können auch ein „Managed SIEM“ einkaufen – dabei übernimmt ein Partner dann Implementierung und Betrieb. Diese Variante ist dann aber meist nur noch wenig von einem Managed SOC entfernt, bei dem dann zusätzlich die Security-Alarme analysiert werden.
Vorteile
- Nutzung für umfangreiche Anwendungsfälle, über die reine Angriffserkennung hinaus
- SIEM-Tools können Funktionen enthalten, um spezifische Anforderungen durch Standards und Regulatorik nachzuverfolgen. Ein Beispiel ist das klassische Log-Management: Die Daten können genutzt werden, um die Einhaltung von Compliance-Vorgaben zu überprüfen, Risiken einzuschätzen und bei möglichen Audits Transparenz herzustellen.
- Geringer Aufwand beim Wechsel des Managed-SOC-Partners
Eine unabhängige SIEM-Lösung in eigener Verantwortung ermöglicht den Wechsel des Managed-SOC-Anbieters, ohne die Implementierung wieder von vorne zu starten. Ein gut laufendes SIEM-System benötigt üblicherweise einige Monate, bis das Finetuning abgeschlossen ist. Allerdings legt ein Managed-SOC-Anbieter seine Security-Konfigurationen meist nicht offen und zieht sie als Intellectual Property am Ende der Vertragslaufzeit wieder ab.