26.07.2021

Was genau machen Log Management & SIEM?

Logmanagement.jpg

Bevor wir darauf eingehen, welchen Nutzen Logmanagement und SIEM bringen, müssen wir erst klären, wie die beiden Technologien definiert werden und worin sie sich unterscheiden.

Was ist Log Management (LM)?

Eine Log Management-Lösung sammelt Log-Daten, die von mehreren Endpunkten eingehen, und stellt einen zentralen Speicherort für diese zur Verfügung. Dieser zentrale Speicherort erleichtert Sicherheitsanalysten den Zugriff und die Analyse von Logs bei Bedarf.

Ein Log Management-System speichert nicht nur grosse Mengen an Log-Daten, sondern ermöglicht auch das Durchsuchen der internen Datenbank, sodass die benötigten Informationen schnell gefunden werden können.

Log Management-Systeme können für eine Vielzahl von Funktionen verwendet werden, einschliesslich: Sammeln, zentrales Aggregieren, Speichern und Aufbewahren sowie Analysieren von Logs.

Allerdings hat Log-Management auch seine Tücken. Da permanent viele Daten anfallen, können Engpässe bei der Speicherung von Rohdaten ein Problem darstellen.

Log Management-Systeme werden am besten durch die folgenden Merkmale definiert:

  • Prüfverfahren (Audit), die mit den gängigen Regulatorien konform sind
  • Die Möglichkeit, verschiedene Arten von Berichten zu erstellen, je nach Situation und Bedürfnissen
  • Grafische Darstellungen in Form von Diagrammen und Tabellen. Praktisch, um einen klaren visuellen Anhaltspunkt für Probleme zu erhalten und Ergebnisse zur Bewertung dem oberen Management in einem entsprechenden Format zu präsentieren
  • Eine Applikation, um den Überblick über alle verschiedenen System- und Ereignisprotokolle zu behalten
  • Archivierung der Logs für längere oder vorgegebene Zeiträume (Retention Time)
  • Die Möglichkeit, festzulegen, wann diese Logs von dem System oder den Servern gelöscht werden sollen, um Speicherplatz zu sparen

Und was sind Logs?

Logs (Protokolle, auch Ereignisprotokolle oder Events genannt) sind detaillierte, textbasierte Aufzeichnungen über alles, was in einem Betrieb vor sich geht. Dabei wird sowohl die Gegenwart, als auch die Vergangenheit in Logs protokolliert. Logs können von allen Arten von Soft- und Hardware stammen. Dazu zählen unter anderem folgende:

  • Clients: Desktop, Notebook
  • Infrastruktur Geräte: Router, Switches, Access Points
  • Security-Geräte: Firewall, Gateway
  • Server: Linux, Windows
  • Authentifizierungs-Server: Active Directory, LDAP
  • Anwendungen: alle Arten von Applikationen

Logs sind somit eine Quelle für Informationen über die Netzwerk-, Anwendungs- und Serversysteme eines Unternehmens.

Was ist ein SIEM?

Die Grundidee eines SIEM (Security Information and Event Management) ist alle für die IT-Sicherheit relevanten Daten an einer zentralen Stelle zu sammeln und durch Analysen Muster und Trends zu erkennen, die auf gefährliche Aktivitäten schliessen lassen.

Wie auch das Log Management, wird ein SIEM mit Log Daten gefüttert, weshalb in jedem SIEM auch Log Management als Komponente enthalten ist. Einige SIEM-Lösungen nutzen auch Flow-Daten u. a. Netzwerk-Informationen, um auch die Kommunikation zwischen den Systemen «im Auge zu behalten».

Das Sammeln und die Interpretation der Daten erfolgen in Echtzeit. Das SIEM sorgt für die Normalisierung und Strukturierung aller gesammelten Daten. Durch das Korrelieren der Datensätze ist es beispielsweise möglich, Angriffsversuche durch fehlerhafte Anmeldeversuche und/oder unerlaubte Zugriffe auf die Firewall zu erkennen.
Auf Basis der gewonnenen Erkenntnisse können Unternehmen schnell und präzise auf Bedrohungen reagieren. Ein SIEM nutzt Verfahren des Machine Learnings und der Künstlichen Intelligenz (KI) um Verbindungen zwischen scheinbar unzusammenhängenden Ereignissen (Events) herzustellen, die auf einen Sicherheitsverstoss hindeuten könnten.

SIEM-Systeme werden am besten durch die folgenden Merkmale definiert:

  • Sichtbarkeit: Eingebaute Dashboards geben einen Überblick über das Netzwerk und ermöglichen den Zugriff auf historische Log-Daten.
  • Konsolidierung: Logs aus dem gesamten Unternehmen und kontextbezogene Informationen, die für die Logs relevant sind, werden an einem Ort gesammelt und gespeichert. Optional: Flowdaten aus dem Netzwerk-Traffic
  • Organisation: Die gesammelten Protokolle werden in ein einheitliches Format konvertiert und in Kategorien organisiert, um ein einfaches Nachschlagen und Abrufen zu ermöglichen.
  • Korrelation: Ereignisprotokolle werden mithilfe von maschinellem Lernen, Algorithmen, Regeln, Statistiken und Echtzeitdaten verglichen.
  • Warnungen: Betreiber erhalten E-Mail-, SMS- und SNMP-Nachrichten, sobald eine potenzielle Bedrohung erkannt wird.
  • Prioritätensetzung: Potenzielle Sicherheitsbedrohungen werden nach ihrer Wichtigkeit eingestuft.
  • Berichterstellung: Berichte, die auf der SIEM-Protokollierung basieren, werden automatisch für Compliance-Zwecke erstellt.

Was ist Korrelation?

Wenn wir von Korrelation im Zusammenhang mit SIEM sprechen, ist damit der Prozess des Abgleichs von Ereignissen (Logs und Events oder auch Flows) aus verschiedenen Systemen/Netzwerken gemeint.

Die Events & Flows werden kombiniert und miteinander verglichen, um Verhaltensmuster zu identifizieren, die für einzelne Systeme unsichtbar sind. Korrelation ermöglicht die Erkennung von Aktivitäten zu automatisieren, die in Ihrem Netzwerk unerwünscht sind.

Log Korrelation ist der Unterschied zwischen:

“14:10 6/5/2021 User PBaumann Successful Auth to
10.100.52.105 from 10.10.8.22”

und

Ein zur Sales-Abteilung gehörender Benutzer, hat sich an einem Wochenende, von einem Büro-Desktop aus, in ein Informatik-System eingeloggt.

Worin liegen die Unterschiede der beiden Technologien?

SIEM-Systeme sind in erster Linie Sicherheitsanwendungen, während Log Management-Systeme in erster Linie zum Sammeln von Log-Daten gedacht sind (zum Beispiel für Audits).

Ein Log-Management-System kann für Sicherheitszwecke verwendet werden, der hohe (manuelle) Aufwand, zum Beispiel für die Korrelation von Events, rechtfertig aber meist den Nutzen nicht.

Ein weiterer wichtiger Unterschied ist, dass SIEM im Gegensatz zu Log Management ein vollautomatisches System ist. SIEM bietet ausserdem eine Echtzeit-Bedrohungsanalyse, die nicht im Log Management enthalten ist.

Vorteile eines SIEM

Wie beim Log-Management ist das Ziel von SIEM die Sicherheit - und es ist nur so gut wie die Daten, auf die es zugreift. Die Vorteile eines SIEM-Ansatzes sind jedoch die Echtzeit-Analyse und die Verbindung unterschiedlicher Systeme, um die Informationen in einer Konsole zu vereinen.

Durch den Einsatz des Security Information and Event Managements ergeben sich zahlreiche Vorteile. Zu diesen Vorteilen zählen:

  • schnelle und zuverlässige Erkennung von Bedrohungen
  • schnelle und angemessene Reaktion auf sicherheitsrelevante Ereignisse
  • Einhaltung von gesetzlichen Vorgaben und Compliance-Regularien
  • Nachträglicher Nachweis von Sicherheitsereignissen
  • manipulations- und revisionssichere Speicherung aller sicherheitsrelevanten Ereignisse

Fazit

Wenn Sie ein Tool wollen, das Ihnen hilft, alle Ihre Logs an einem Ort zu sammeln, wählen Sie Log Management. Dies kann der Fall sein, wenn Sie Ihre Logs zu Compliance-Zwecken sammeln müssen.  

Wenn Sie Logs für das Sicherheitsmanagement einsetzen möchten, wählen Sie ein SIEM-System.

 

Gerne unterstützen wir Sie bei der Evaluierung der für Sie optimalen Lösung mit unseren Consulting-Services.

 

Quellen:

https://blog.to.com/log-management-vs-siem-gemeinsamkeiten-und-unterschiede/
https://www.n-able.com/blog/siem-vs-log-management
https://www.bmc.com/blogs/siem-vs-log-management-whats-the-difference/
https://www.novell.com/docrep/documents/9x1wixnqhd/Log_Event_Mgmt_WP_DrAntonChuvakin_March2010_Single_en.pdf
https://de.wikipedia.org/wiki/Security_Information_and_Event_Management
https://www.security-insider.de/was-ist-ein-siem-a-772821/
https://jaxenter.de/security-log-management-best-practices-83904
https://www.graylog.org/post/must-have-features-for-your-log-management-software
https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html

 

Die letzten Beiträge:

bw digitronik in Liquidation / wichtige Informationen für Kunden / important information for customers
Incident Response Retainer vs. Incident Support Service
Inside bw digitronik - Heute: Toby

bw digitronik ag | Uster West 30 | CH-8610 Uster
Telefon +41 44 905 48 48 | Fax +41 44 905 48 88 | Mail

Unsere verlässlichen Partner:

bw-digitronik – IT-Security Lösungen für die Schweiz

Anmelden

Datenschutz

powered by webpresso