Log Management vs. SIEM: Gemeinsamkeiten und Unterschiede

Log Daten enthalten Informationen, welche für Unternehmen sicherheitsrelevant sein können. Durch Korrelierung und nichttechnische Managementprozesse lassen sich diese Informationen und Ereignisse für Compliance und Thread-Awareness von Unternehmen nutzen. Diese Sicherheitsprozesse sind der eigentliche Mehrwert für die Cyber-Sicherheit eines Unternehmens.

SIEM – diese vier Buchstaben stehen für Security Information und Event Management. Die Grundlage für SIEM ist meist ein Log Management System, dessen Funktionsweise ich im Teil „Daten sammeln und analysieren“ beschrieben habe. Darauf möchte ich jetzt aufbauen und die praktischen Unterschiede zwischen Log Management und SIEM aufzeigen. Der Schwerpunkt liegt jetzt nicht mehr auf „Datenanalyse“ sondern auf „Sicherheit“.

Wer nutzt ein SIEM mit welchem Fokus?

Wer kauft und nutzt ein SIEM-System? Diese Frage hat großen Einfluss auf die Ausrichtung und das Ergebnis:

  • Technisches Fachpersonal

Administratoren, Programmierer oder technische Berater sind für den Betrieb der IT-Infrastruktur verantwortlich. Somit nutzen sie Log Management zur Fehlersuche und Optimierung der Technik.

Nutzen IT-Administratoren SIEM, so liegt der Schwerpunkt sicher auf einer Art Sicherheitsmonitoring: die gefundenen Ereignisse dienen als Grundlage, um eine gewisse operative Awareness zu haben, zum Beispiel welche Systeme noch einmal auf Viren geprüft werden müssen.

  • Chief Information Security Officer

Chief Information Security Officer (CISO) ist eine Managementposition in einem Unternehmen. Der Fokus liegt nicht so sehr auf technischen Details, sondern eher im Abwenden von Schaden und Kosten für das Unternehmen sowie Compliance. Somit also bei der Protokollierung und Überwachung von Sicherheitsrichtlinien.

  • Externer Compliance Auditor

Ein Auditor ist kein direkter Nutzer eines SIEM-Systems, sondern überprüft Sicherheitsstandards und -richtlinien, welche z.B. mittels eines SIEM erfüllt werden[1]. Somit bewertet ein Auditor den Reifegrad der implementierten IT-Sicherheitsprozesse und kann so erkennen, ob von einem Unternehmen Gefahr für andere Marktteilnehmer oder die Gesellschaft ausgehen könnte.

In der Praxis ergänzen sich die Sichtweise des IT-Administrators und des CISO bei der Nutzung von SIEM.

Welche Log Quellen werden für SIEM angebunden?

Wie schon geschrieben, liegt der Schwerpunkt eines Log Management-Projekts auf der Datenanalyse und Fehlersuche. Deshalb werden in der Praxis meist wenige Geräte eingebunden: ein paar Firewall-Cluster an verschiedenen Standorten, vielleicht die Domain Controller und noch ein bis zwei andere Geräte aus dem Perimeter- Bereich. Die Log Rate liegt effektiv bei 40, 70 oder 120 Logs pro Sekunde. Andererseits wird Log Management bei großen Internet-Portalen genutzt: die Log Quelle sind nur die Logs dieses einen Portals. Allerdings werden einige 1000 Logs pro Sekunde generiert, so dass die Auswertung oft in einem Cluster erfolgen muss!

Für SIEM liegt der Schwerpunkt auf sicherheitsrelevanten Informationen. Deswegen gibt es in einem mittelständischen Unternehmen „Standard Log Quellen“:

  • Firewalls
  • Perimetersecurity: E-Mail Security und Web-Proxy
  • Active Directory Domain Controller
  • Endpoint Security / Antivirus
  • VPN-Gateways
  • Alle System Logs essentieller Windows und Linux Server
    (z.B. E-Mail, Intranet/Sharepoint, Backup, Desktop-Management, Datenbank-Server)
  • Web Application Firewall (WAF)
  • Protokollierung von Anwendungen wie SQL-Datenbanken, Web-Server: z.B. Apache, Tomcat/Java Application, …

Nach diesem Kernbereich sind vielleicht auch noch folgende Daten relevant:

  • File Integrity Monitoring. Allgemein lässt sich das Lesen und Modifizieren oder Löschen von Dateien protokollieren. Werden Kreditkarten zum Bezahlen genutzt, ist ein solches Monitoring für bestimmte Dateien vorgeschrieben.
  • Monitoring von Nutzer- und Netzwerk-Aktivität auf Server und Workstation; Informationen über alle gestarteten Prozesse und Änderungen an der Registry.
  • Monitoring des Netzwerkverkehrs auf Metadaten-Ebene, also Quelle, Ziel, übertragenes Datenvolumen, TCP und UDP Portnummern.
  • Protokollierung von DNS-Requests, DHCP etc.

In einem SIEM-Projekt sind nicht nur die Log Quellen vielfältiger, auch das Datenvolumen ist größer. „Kleine“ SIEM-Installationen verarbeiten 350-800 Logs pro Sekunde und nach oben gibt es fast keine Grenze. Übrigens ist die Log Menge im SIEM von der Größe des Unternehmens und der Anzahl der IT-Arbeitsplätze abhängig.

Als ehemaliger System- & Netzwerk-Administrator finde ich noch Monitoring (z.B. Nagios, etc.)als Datenquelle interessant: In Log Daten finden sich Informationen zu Anmeldeereignissen, Fehlern (Hardware oder Software) sowie Entscheidungen (Firewall: Paket weiterleiten oder nicht), welche in einem Computer/Gerät vorgenommen wurden. Ein Monitoring-System prüft im Vergleich dazu die korrekte Funktionsweise eines Computers von außen. So gewinnt man als Administrator eine Gesamtsicht. Funktioniert ein Dienst nicht, ist es möglich in den Logs nach der Ursache zu suchen. Andererseits können die Statusereignisse des Monitorings als Logs weitergeleitet werden und so mit in die SIEM-Betrachtung einfließen.

Gibt es Unterschiede zur Technik im Log Management?

Die Grundlage für ein SIEM ist ein Log Management System wie im Teil „Daten sammeln und analysieren“ beschrieben. Für das Erkennen von Sicherheitsvorfällen wurde es optimiert:

  • Das höhere Log Volumen und der sicherheitsrelevante Verwendungszweck der Daten erfordern eine hohe Performance und Stabilität des verarbeitenden Systems gegenüber der projektbezogenen Analyse von Log Daten
  • Um auf Sicherheitsvorfälle angemessen reagieren zu können, müssen diese in Echtzeit erkannt werden. Aus diesem Grund werden Log Daten eventuell nur für kurze Zeit, wie zum Beispiel 20 Tage, live in einem SIEM System vorgehalten. Danach sind sie für die spätere forensische Analyse vielleicht nur noch im Archiv gespeichert.
  • Eventuell bietet ein SIEM die Möglichkeit, Log Informationen zu Sicherheitsvorfällen per Knopfdruck in eine weitere Datenbank zu kopieren.
  • Während im Log Management der Fokus darauf liegt, alle Logs eines Gerätes zu betrachten, liegt im SIEM der Schwerpunkt auf der Betrachtung besonders kritischer Ereignisse. Aus diesem Grund erfolgt eine strenge SIEM-bezogene Klassifizierung. Verschiedene Betriebssysteme loggen eine Anmeldung verschiedenartig, im SIEM interessieren uns nur folgende Informationen[2]:
    • Anmeldung
    • Positiv oder fehlerhaft
    • (Nutzername)
    • (Host/Rechnername/IP-Adresse)
  • SIEM erfordert eine strengere Normalisierung der Logdaten. D. h., über alle Logs hinweg müssen gleichwertige Informationen in einheitlichen Feldern/Variablen und in einem einheitlichen Format gespeichert werden, sodass die Daten vergleichbar werden. Dies betrifft insbesondere:
    • IP-Adresse des Senders
    • IP-Adresse des Empfängers
    • Nutzername
    • URLs
    • Zoneninformation wie z.B. Internet, DMZ, Intern

Durch diese strenge Normalisierung kann es sogar sein, dass es für kleine Details weniger Analysemöglichkeiten, als im Log Management gibt.

  • Da durch die Klassifizierung und Normalisierung die Logdaten auch in heterogenen Systemen vergleichbar werden, ist es jetzt möglich, Daten ganz unterschiedlicher Quellen zu korrelieren. Zum Lieferumfang eines SIEM-Systems gehört ein Regelwerk, welches vom Kunden erweitert werden kann. Solch ein Regelwerk definiert[3]:
    • Dashboards für Management und/oder Sicherheitsbeauftragte
    • Alarme
    • Vorlagen für PDF-Berichte
    • Dashboards und Suchen
    • Korrelieren von zusammengehörigen Ereignissen

Was sind typische Auswertungen im SIEM?

Verschiedene Normen wie ISO27001, PCI-DSS, aber auch Regierungsorganisationen wie das BSI beschreiben Mindeststandards im IT-Management, und somit indirekt, was durch ein SIEM überwacht werden soll. Sollen Compliance-Anforderungen erfüllt werden, sind viele Regeln direkt von einer solchen Norm/Standard abgeleitet. Ganz praktisch sollen erwähnt werden:

Protokollierung, z.B. mit PDF-Berichten:
  • Anlegen und Löschen von Nutzeraccounts, Ändern von Passwörtern
  • Berechtigungsvergabe, z.B. Aufnahme von Nutzer-Accounts in Gruppen
  • Installieren von Software
  • Config-Änderungen an Perimeter-Systemen (Firewall, Proxy)!
Suche nach Indizien:
  • Kommunizieren bestimmte Systeme im Netzwerk mit dem TOR-Netzwerk?
  • Kommunikation interner Systeme auf Port 7547[4]
Alarmierungen:
  • Malware-Ereignisse, gefolgt von Portscans vom gleichen System
  • Malware-Ereignisse, gefolgt von Kommunikation mit dem TOR-Netzwerk
  • Portscanning-Aktivitäten
  • Massenhaft fehlerhafte Anmeldeversuche

Welche organisatorischen Prozesse sind nötig?

Direkt nach der Einführung eines SIEM Systems werden einige Herausforderungen im eigenen Netzwerk auffallen. Die meisten Compliance Richtlinien erfordern, dass diese gemeistert werden! Manche Alarme werden aber auch als Fehlalarm bewertet und Ausnahmen müssen ins SIEM-Regelwerk eingearbeitet werden. Dieses Bewerten von Fehlern und/oder Alarmen kann in der ersten Zeit meist vom IT-Team bewertet und repariert werden.

Für bestimmte Ereignisse, wie zum Beispiel Malware-Ereignisse, gefolgt von Portscans vom gleichen System, lassen sich Prozesse definieren, die festlegen, welche Maßnahmen zu ergreifen sind:

  • Trennen des verdächtigen Computers vom Netzwerk
  • ein Scan mit Antiviren-Software bzw. sonstige Untersuchung auf verdächtige Software
  • temporäres Sperren des involvierten Nutzer Accounts und eventuell Ändern von Passwörtern

Diese Maßnahmen lassen sich teilweise technisch automatisieren.

Heute geht man davon aus, dass jedes Unternehmen erfolgreich angegriffen werden wird. Aus dieser Überlegung heraus ist es nur eine Frage der Zeit, bis ein SIEM System verdächtige Informationen finden wird, für die es keinen vollständigen Prozess gibt und welche folgende Fragen aufwerfen werden:

  • Ist ein Ereignis ein Zufall, Fehlalarm, ein Virus oder evtl. menschlich verursacht?
  • Wer kann diese Informationen forensisch bewerten? Gibt es Rahmenverträge mit Dienstleistern oder Security-Experten?
  • Welcher Schaden ist entstanden, wer muss informiert werden?
  • Welche Maßnahmen müssen sofort ergriffen werden?

Diese Fragen bringen IT-Administratoren eventuell schnell an die Grenzen, können aber vom CISO als Mitglied des Managements entschieden werden.

[1] https://blog.to.com/isms-und-siem-geht-eins-ohne-das-andere/

[2] Die Information Anmeldung positiv bzw. Anmeldung negativ ist die eigentliche Klassifizierung, während der Nutzername und Rechnername schon eher zur Normalisierung gehören

[3] Natürlich sind reguläre Ausdrücke für Log Parsing, Normalisierung und Klassifizierung auch Teil eines solchen Regelwerks.

[4] Dies wurde von der Mirai-Malware ausgenutzt:
https://www.heise.de/security/meldung/Telekom-Stoerung-BSI-warnt-vor-weltweitem-Hackerangriff-auf-DSL-Modems-3506556.html
https://de.wikipedia.org/wiki/Hackerangriff_auf_DSL-Router_am_27._November_2016

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *