Es ist immer wieder irritierend, warum bei einer SIEM Strategie, bzw. Projekten der Scope lediglich auf Logdaten-Management gesetzt wird! Das scheint ja nur die Spitze des Eisbergs zu sein..
KRITIS-Betreiber müssen künftig IT-Sicherheitsvorfälle und Cyberangriffe in ihren KRITIS-Anlagen erkennen. Der Einsatz eines SIEM ist mit dem IT-Sicherheitsgesetz 2.0 ab Mai 2023 explizit verpflichtend und muss nachgewiesen werden.
Dazu sind technische und vor allem organisatorische Maßnahmen erforderlich..
SIEM-Lösungen und -Anbieter gibt es inzwischen einige. Eine geeignete SIEM Lösung auszuwählen ist eine Herausforderung. Egal ob OpenSource oder proprietäres System. Alle haben Vor- und Nachteile. Der SIEM Prozess ist komplex und die SIEM Lösung sollte optimal dazu passen!
Die Frage lautet also eher: "Was gibt es bei einem SIEM Auswahlverfahren zu berücksichtigen?"
„Jeder kennt das Problem: im SIEM werden Alarme angezeigt aber keiner schaut drauf!" Da ist es gut, wenn man eine Email sendet an den Admin seines Vertrauens. Dafür gibt es in QRadar eine Regel die lediglich aktiviert werden muß:
One of the frequently asked questions that was placed to me during the last weeks was, "how to transfer QRadar custom rules from a test box to a production box"? To mark this current concern, i want to share one of my apparent favorite secrets of qradar how to achieve this. It's just that easy!
During the course of my troubleshooting experience i had to be aware of some “utility changes” regarding to app extension management and monitoring. According to the applied Release of QRadar and deployment scenario (AiO / Apphost as a managed host), you’ll have to keep in mind some improvements/changes of available “support utilities” or CLI commands.
SIEM Use-Case-Strategie zentral an nur einer Stelle agil verwalten, planen und dokumentieren! Klingt zu schön, um wahr zu sein?
Falls Sie noch zu viele Tools und Ressourcen zur Verwaltung der Use-Case-Strategie einsetzen und mit der Aktualisierung von Dokumenten zeitlich nicht hinterher kommen, dann sollten Sie weiterlesen...
Als SIEM-Experte werde ich häufig gefragt, wie eine “einfache” SIEM Use-Case Strategie aussieht. Durch langjährige Projekterfahrungen verfüge ich inzwischen über ein breites Spektrum an Hands-On. Im folgenden Beitrag liegt mein Bestreben darin, aus diesen Erfahrungen eine relativ “kurze” Antwort auf diese “vermeintlich einfach klingende” Frage zu geben.
Eine SIEM360 Architektur (QRadar SIEM) mit aktuellem Release und erweitert mit Apps, wie User Analytics und Content Packages (aktuelle Use-Cases), enthält zeitgemäße Regelwerke (Techniken und Taktiken) zur Erkennung von möglichen IT-Sicherheitsvorfällen...
QRadar DNS Analyzer unterstützt Einblicke in den lokalen DNS Traffic und hilft heimtückische Aktivitäten zu identifizieren. Hier ein Praxisbeispiel (Use-Case) auf Basis von Microsoft DNS Debug Logs...
