siem - files.messe.defiles.messe.de/abstracts/63684_di_15_00_hock.pdf · 2 siem –wenn sie...
TRANSCRIPT
![Page 1: SIEM - files.messe.defiles.messe.de/abstracts/63684_di_15_00_hock.pdf · 2 SIEM –Wenn Sie wüssten, was Ihre Systeme wissen… SIEM –was ist das? Security Information Event Monitoring](https://reader031.vdocuments.pub/reader031/viewer/2022020214/5a9dde217f8b9abd0a8e3751/html5/thumbnails/1.jpg)
SIEMWenn Sie wüssten, was Ihre Systeme wissen…
Marcus Hock, Consultant, CISSP
![Page 2: SIEM - files.messe.defiles.messe.de/abstracts/63684_di_15_00_hock.pdf · 2 SIEM –Wenn Sie wüssten, was Ihre Systeme wissen… SIEM –was ist das? Security Information Event Monitoring](https://reader031.vdocuments.pub/reader031/viewer/2022020214/5a9dde217f8b9abd0a8e3751/html5/thumbnails/2.jpg)
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…2
SIEM – was ist das?
Security
Information
Event
Monitoring
„System zur Echtzeitanalyse von Ereignissen, die durch Hardware- oder
Software-Komponenten erzeugt werden“
![Page 3: SIEM - files.messe.defiles.messe.de/abstracts/63684_di_15_00_hock.pdf · 2 SIEM –Wenn Sie wüssten, was Ihre Systeme wissen… SIEM –was ist das? Security Information Event Monitoring](https://reader031.vdocuments.pub/reader031/viewer/2022020214/5a9dde217f8b9abd0a8e3751/html5/thumbnails/3.jpg)
3
Ihre IT Infrastruktur
WLANcontroller
VPN
MailserverActive DirectoryDHCPDNSRADIUS
Firewall IPS
Access Point
Proxy
Antivirus
Webserver Load BalancerWeb Application Firewall
Mail Gateway
FileServer DBApplication Server
SoftwareverteilungClient-Management
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
![Page 4: SIEM - files.messe.defiles.messe.de/abstracts/63684_di_15_00_hock.pdf · 2 SIEM –Wenn Sie wüssten, was Ihre Systeme wissen… SIEM –was ist das? Security Information Event Monitoring](https://reader031.vdocuments.pub/reader031/viewer/2022020214/5a9dde217f8b9abd0a8e3751/html5/thumbnails/4.jpg)
4
Logging
Verteiltes Loggen
• Jede Komponente speichert Logs lokal
• Nur lokale Sicht auf globale Ereignisse
• Veränderbar
• Verloren, wenn System kompromittiert
Zentrales Loggen
• Alle Komponenten loggen auf einen zentralen Server
• Vorhalten von Logs unabhängig von der Quelle
• Manuelles Durchsuchen möglich
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
![Page 5: SIEM - files.messe.defiles.messe.de/abstracts/63684_di_15_00_hock.pdf · 2 SIEM –Wenn Sie wüssten, was Ihre Systeme wissen… SIEM –was ist das? Security Information Event Monitoring](https://reader031.vdocuments.pub/reader031/viewer/2022020214/5a9dde217f8b9abd0a8e3751/html5/thumbnails/5.jpg)
5
SIEM – Funktionsweise
Global threat intelligence
• Automatische
Datensammlung, Geräte-
Erkennung, Profiling
• Echtzeit-Analyse
• Daten-Reduktion
• Baselining, Anomalie-
Erkennung
• Regeln und Vorlagen
Integrierte Intelligenz
Angriffe
Automatisierte
Angriffs-
erkennung
Security Infrastruktur
Server / Mainframes
Netzwerkaktivität
Datenzugriffe
Anwendungen
Konfigurations-Information
Schwachstellen-Analyse
Benutzer / Identitäten
Global threat intelligence
Vielfältige Datenquellen… … Validierte Auffälligkeiten
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
![Page 6: SIEM - files.messe.defiles.messe.de/abstracts/63684_di_15_00_hock.pdf · 2 SIEM –Wenn Sie wüssten, was Ihre Systeme wissen… SIEM –was ist das? Security Information Event Monitoring](https://reader031.vdocuments.pub/reader031/viewer/2022020214/5a9dde217f8b9abd0a8e3751/html5/thumbnails/6.jpg)
6
SIEM – Vorteile
SECURITY
• Systemübergreifende
Korrelation
• Echtzeit-Analyse
• APT / Zero-Day Erkennung
• Innentäter-Erkennung
COMPLIANCE
• Zentrales Logging
• Integrierte Auswertung
• Erkennen von Compliance-
Verstößen
FORENSICS
• Zentrale Informationsbasis
• Schnelle Aufbereitung
• Zugriff auf Netzwerkdaten
OPERATIONS
• „Single Pane Of Glass“
• Daten-Konsolidierung
• Erkennen von
Fehlkonfigurationen
• Fehler-Früherkennung
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
![Page 7: SIEM - files.messe.defiles.messe.de/abstracts/63684_di_15_00_hock.pdf · 2 SIEM –Wenn Sie wüssten, was Ihre Systeme wissen… SIEM –was ist das? Security Information Event Monitoring](https://reader031.vdocuments.pub/reader031/viewer/2022020214/5a9dde217f8b9abd0a8e3751/html5/thumbnails/7.jpg)
7
APT
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
WLANcontroller
VPN
MailserverActive DirectoryDHCPDNSRADIUS
Firewall IPS
Access Point
Proxy
Antivirus
Webserver Load BalancerWeb Application Firewall
Mail Gateway
FileServer DBApplication Server
SoftwareverteilungClient-Management
1. Spearphishing Mail
2. Malicious Code
Download
3. Command + Control
4. Privilege Escalation
5. Data Gathering
Access to known malware URL
from…
Known C+C,
Suspicous Network Activity
Hidden Channel
Multiple Login Attempts
New User Created from Src X
User added to Group Y
Direct DB Access from Client X
Large copy of data
Access to sensible data
![Page 8: SIEM - files.messe.defiles.messe.de/abstracts/63684_di_15_00_hock.pdf · 2 SIEM –Wenn Sie wüssten, was Ihre Systeme wissen… SIEM –was ist das? Security Information Event Monitoring](https://reader031.vdocuments.pub/reader031/viewer/2022020214/5a9dde217f8b9abd0a8e3751/html5/thumbnails/8.jpg)
8
SIEM
Art des Angriffs
Wer war beteiligt?
Wie viele und
welche Ziele sind
betroffen?
Schweregrad
Wo ist er?
Sind sie
angreifbar?
Wie wichtig sind
die Systeme für
uns?
Was sind die
Beweise?
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
![Page 9: SIEM - files.messe.defiles.messe.de/abstracts/63684_di_15_00_hock.pdf · 2 SIEM –Wenn Sie wüssten, was Ihre Systeme wissen… SIEM –was ist das? Security Information Event Monitoring](https://reader031.vdocuments.pub/reader031/viewer/2022020214/5a9dde217f8b9abd0a8e3751/html5/thumbnails/9.jpg)
9
Projektierung
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
SIEM Einführung
Betrieb
Beteiligte
Ziele • „Was will ich wissen?“
• Beteiligte Systeme
• Vorhaltezeiten
• Erwarteter Output: Dashboards,
Alerts, Reports, …
• Governance / Risk / Compliance
• IT-Abteilung
• Fachabteilungen
• Datenschutz-/Sicherheitsbeauftragter
• Beteiligte Personen
• SLAs, Reaktionen, Tuning
• Pflege: Onboarding für neue Systeme
![Page 10: SIEM - files.messe.defiles.messe.de/abstracts/63684_di_15_00_hock.pdf · 2 SIEM –Wenn Sie wüssten, was Ihre Systeme wissen… SIEM –was ist das? Security Information Event Monitoring](https://reader031.vdocuments.pub/reader031/viewer/2022020214/5a9dde217f8b9abd0a8e3751/html5/thumbnails/10.jpg)
10 SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
![Page 11: SIEM - files.messe.defiles.messe.de/abstracts/63684_di_15_00_hock.pdf · 2 SIEM –Wenn Sie wüssten, was Ihre Systeme wissen… SIEM –was ist das? Security Information Event Monitoring](https://reader031.vdocuments.pub/reader031/viewer/2022020214/5a9dde217f8b9abd0a8e3751/html5/thumbnails/11.jpg)
11
PROFI AG
PROFI ist Spezialist für Konzeption, Aufbau und
Pflege von plattformunabhängigen Data Center
Lösungen.
Unsere Lösungsbausteine umfassen:
• Virtualisierung & Automation
• Systemmanagement
• Netzwerke & Security
• Hochverfügbarkeit
• Speicherlösungen
• Backup & Recovery
Darmstadt (GS)
HamburgBremenBerlinBochumKölnChemnitzDarmstadt (Zentrale)
WeidenMannheimNürnbergKarlsruheStuttgartMünchen
SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…
![Page 12: SIEM - files.messe.defiles.messe.de/abstracts/63684_di_15_00_hock.pdf · 2 SIEM –Wenn Sie wüssten, was Ihre Systeme wissen… SIEM –was ist das? Security Information Event Monitoring](https://reader031.vdocuments.pub/reader031/viewer/2022020214/5a9dde217f8b9abd0a8e3751/html5/thumbnails/12.jpg)
Marcus Hock
Consultant, CISSP
Vielen Dank für Ihre Aufmerksamkeit!
PROFI Engineering Systems AG
Zentrale
Otto-Röhm-Straße 18
64293 Darmstadt
Telefon +49 6151 8290-0
www.profi-ag.de