SIEM - files.messe.defiles.messe.de/abstracts/63684_di_15_00_hock.pdf · 2 SIEM –Wenn Sie...

SIEMWenn Sie wüssten, was Ihre Systeme wissen…

Marcus Hock, Consultant, CISSP

SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…2

SIEM – was ist das?

Security

Information

Event

Monitoring

„System zur Echtzeitanalyse von Ereignissen, die durch Hardware- oder

Software-Komponenten erzeugt werden“

3

Ihre IT Infrastruktur

WLANcontroller

VPN

MailserverActive DirectoryDHCPDNSRADIUS

Firewall IPS

Access Point

Proxy

Antivirus

Webserver Load BalancerWeb Application Firewall

Mail Gateway

FileServer DBApplication Server

SoftwareverteilungClient-Management

SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…

4

Logging

Verteiltes Loggen

• Jede Komponente speichert Logs lokal

• Nur lokale Sicht auf globale Ereignisse

• Veränderbar

• Verloren, wenn System kompromittiert

Zentrales Loggen

• Alle Komponenten loggen auf einen zentralen Server

• Vorhalten von Logs unabhängig von der Quelle

• Manuelles Durchsuchen möglich


5

SIEM – Funktionsweise

Global threat intelligence

• Automatische

Datensammlung, Geräte-

Erkennung, Profiling

• Echtzeit-Analyse

• Daten-Reduktion

• Baselining, Anomalie-

Erkennung

• Regeln und Vorlagen

Integrierte Intelligenz

Angriffe

Automatisierte

Angriffs-

erkennung

Security Infrastruktur

Server / Mainframes

Netzwerkaktivität

Datenzugriffe

Anwendungen

Konfigurations-Information

Schwachstellen-Analyse

Benutzer / Identitäten

Global threat intelligence

Vielfältige Datenquellen… … Validierte Auffälligkeiten


6

SIEM – Vorteile

SECURITY

• Systemübergreifende

Korrelation

• Echtzeit-Analyse

• APT / Zero-Day Erkennung

• Innentäter-Erkennung

COMPLIANCE

• Zentrales Logging

• Integrierte Auswertung

• Erkennen von Compliance-

Verstößen

FORENSICS

• Zentrale Informationsbasis

• Schnelle Aufbereitung

• Zugriff auf Netzwerkdaten

OPERATIONS

• „Single Pane Of Glass“

• Daten-Konsolidierung

• Erkennen von

Fehlkonfigurationen

• Fehler-Früherkennung


7

APT


WLANcontroller

VPN

MailserverActive DirectoryDHCPDNSRADIUS

Firewall IPS

Access Point

Proxy

Antivirus

Webserver Load BalancerWeb Application Firewall

Mail Gateway

FileServer DBApplication Server

SoftwareverteilungClient-Management

1. Spearphishing Mail

2. Malicious Code

Download

3. Command + Control

4. Privilege Escalation

5. Data Gathering

Access to known malware URL

from…

Known C+C,

Suspicous Network Activity

Hidden Channel

Multiple Login Attempts

New User Created from Src X

User added to Group Y

Direct DB Access from Client X

Large copy of data

Access to sensible data

8

SIEM

Art des Angriffs

Wer war beteiligt?

Wie viele und

welche Ziele sind

betroffen?

Schweregrad

Wo ist er?

Sind sie

angreifbar?

Wie wichtig sind

die Systeme für

uns?

Was sind die

Beweise?


9

Projektierung


SIEM Einführung

Betrieb

Beteiligte

Ziele • „Was will ich wissen?“

• Beteiligte Systeme

• Vorhaltezeiten

• Erwarteter Output: Dashboards,

Alerts, Reports, …

• Governance / Risk / Compliance

• IT-Abteilung

• Fachabteilungen

• Datenschutz-/Sicherheitsbeauftragter

• Beteiligte Personen

• SLAs, Reaktionen, Tuning

• Pflege: Onboarding für neue Systeme

10 SIEM – Wenn Sie wüssten, was Ihre Systeme wissen…

11

PROFI AG

PROFI ist Spezialist für Konzeption, Aufbau und

Pflege von plattformunabhängigen Data Center

Lösungen.

Unsere Lösungsbausteine umfassen:

• Virtualisierung & Automation

• Systemmanagement

• Netzwerke & Security

• Hochverfügbarkeit

• Speicherlösungen

• Backup & Recovery

Darmstadt (GS)

HamburgBremenBerlinBochumKölnChemnitzDarmstadt (Zentrale)

WeidenMannheimNürnbergKarlsruheStuttgartMünchen


Marcus Hock

Consultant, CISSP

[email protected]

Vielen Dank für Ihre Aufmerksamkeit!

PROFI Engineering Systems AG

Zentrale

Otto-Röhm-Straße 18

64293 Darmstadt

Telefon +49 6151 8290-0

www.profi-ag.de

SIEM - files.messe.defiles.messe.de/abstracts/63684_di_15_00_hock.pdf · 2 SIEM –Wenn Sie...

Documents

Transcript of SIEM - files.messe.defiles.messe.de/abstracts/63684_di_15_00_hock.pdf · 2 SIEM –Wenn Sie...