SIEM – Security Information and Event Management
„Eine Million Log-Einträge pro Minute. Irgendwo darin versteckt sich der Angreifer. Viel Spaß beim Suchen."
Sinn & Zweck
SIEM ist das zentrale Nervensystem der Security-Überwachung. Es sammelt Logs und Events aus allen Ecken deiner Infrastruktur, korreliert sie, und versucht, aus dem Rauschen die echten Bedrohungen herauszufiltern.
Die Grundidee:
- Collect: Logs von überall sammeln
- Normalize: In einheitliches Format bringen
- Correlate: Zusammenhänge erkennen
- Analyze: Bedrohungen identifizieren
- Alert: Die richtigen Leute informieren
- Investigate: Vorfälle untersuchen
Ohne SIEM: "Wurde eingebrochen? Keine Ahnung, die Logs sind auf 47 verschiedenen Servern."
Architektur
┌─────────────────────────────────────────────────────────────────────────┐
│ Datenquellen │
├──────────┬──────────┬──────────┬──────────┬──────────┬──────────────────┤
│ Firewall │ IDS │ Endpoint │ Cloud │ Apps │ Identity │
│ Logs │ Alerts │ EDR │ (AWS,..) │ Logs │ (AD, LDAP) │
└────┬─────┴────┬─────┴────┬─────┴────┬─────┴────┬─────┴────────┬─────────┘
│ │ │ │ │ │
└──────────┴──────────┴─────┬────┴──────────┴──────────────┘
│
↓
┌────────────────────────┐
│ Log Collection │
│ (Agents, Syslog, API) │
└───────────┬────────────┘
│
↓
┌────────────────────────┐
│ Normalization & │
│ Parsing │
└───────────┬────────────┘
│
↓
┌────────────────────────┐
│ Correlation │
│ Engine/Rules │
└───────────┬────────────┘
│
↓
┌────────────────┴────────────────┐
│ │
↓ ↓
┌──────────────────┐ ┌──────────────────┐
│ Alerting │ │ Storage & │
│ (SOC, SOAR) │ │ Retention │
└──────────────────┘ └──────────────────┘
SIEM-Produkte
Enterprise
| Produkt | Stärken | Schwächen |
|---|---|---|
| Splunk | Mächtig, flexibel | Teuer (sehr) |
| Microsoft Sentinel | Azure-native, KI | Azure-zentriert |
| IBM QRadar | Etabliert, Compliance | Komplex |
| LogRhythm | Benutzerfreundlich | Weniger skalierbar |
| Exabeam | UEBA, Automatisierung | Newer |
Open Source / Cloud
| Produkt | Stärken | Schwächen |
|---|---|---|
| Elastic SIEM | Skalierbar, kostenlos | Expertise nötig |
| Wazuh | Open Source, Agents | Weniger Features |
| Graylog | Log Management | Weniger SIEM |
| OSSIM (AlienVault) | Kostenlos | Begrenzt |
Cloud-Native
| Produkt | Stärken | Schwächen |
|---|---|---|
| AWS Security Hub | AWS-Integration | Nur AWS |
| Google Chronicle | Skaliert massiv | Teuer |
| Sumo Logic | Cloud-first | Vendor Lock-in |
Datenquellen
Must-Have
essential_sources:
network:
- Firewall Logs
- IDS/IPS Alerts
- NetFlow/VPC Flow Logs
- Proxy Logs
- DNS Logs
identity:
- Active Directory
- SSO/SAML Logs
- VPN Logs
- MFA Events
endpoint:
- Antivirus/EDR
- OS Security Logs
- PowerShell Logs (Windows)
- Auditd (Linux)
cloud:
- AWS CloudTrail
- Azure Activity Log
- GCP Audit Logs
application:
- Web Server (Apache, Nginx)
- Authentication Logs
- Error Logs
Nice-to-Have
advanced_sources:
- Database Audit Logs
- Container/Kubernetes Logs
- Email Gateway
- DLP Events
- CASB Logs
- WAF Logs
- Physical Access Control
Detection Rules
Rule-Typen
Threshold Rules:
# Mehr als 10 fehlgeschlagene Logins in 5 Minuten
rule: brute_force_detection
condition:
event_type: login_failure
count: > 10
timeframe: 5m
group_by: source_ip
severity: high
Correlation Rules:
# Login Failure gefolgt von Success = Brute Force erfolgreich?
rule: brute_force_success
condition:
sequence:
- event_type: login_failure
count: > 5
- event_type: login_success
timeframe: 10m
same_field: username
severity: critical
Anomaly Detection:
# User loggt sich zu ungewöhnlicher Zeit ein
rule: unusual_login_time
condition:
event_type: login_success
anomaly:
field: login_hour
baseline: historical_user_behavior
deviation: > 3 sigma
severity: medium
MITRE ATT&CK Mapping
rule: powershell_encoded_command
condition:
process_name: powershell.exe
command_line: contains("-enc" OR "-EncodedCommand")
severity: high
mitre_attack:
tactic: execution
technique: T1059.001
subtechnique: PowerShell
Sigma Rules
Vendor-agnostisches Rule-Format:
title: Suspicious PowerShell Encoded Command
id: 7c4c1c3c-7e1c-4c1c-7e1c-4c1c7e1c4c1c
status: experimental
description: Detects PowerShell with encoded commands
author: Security Team
date: 2024/01/15
references:
- https://attack.mitre.org/techniques/T1059/001/
logsource:
category: process_creation
product: windows
detection:
selection:
Image|endswith: '\powershell.exe'
CommandLine|contains:
- '-enc'
- '-EncodedCommand'
condition: selection
falsepositives:
- Legitimate admin scripts
level: high
tags:
- attack.execution
- attack.t1059.001
Conversion für verschiedene SIEMs:
# Sigma zu Splunk
sigmac -t splunk rule.yml
# Sigma zu Elastic
sigmac -t es-qs rule.yml
# Sigma zu Microsoft Sentinel
sigmac -t ala rule.yml
Use Cases
Initial Access Detection
Indicators:
- VPN login from unusual country
- Login outside business hours
- First-time device
Rule Logic:
IF (vpn_login)
AND (geo_location NOT IN approved_countries)
AND (NOT business_hours)
THEN ALERT
Lateral Movement
Indicators:
- RDP/SSH to multiple hosts
- Pass-the-Hash patterns
- Service account misuse
Rule Logic:
IF (rdp_connection)
AND (source_host != jump_server)
AND (destination_count > 3 in 1 hour)
THEN ALERT
Data Exfiltration
Indicators:
- Large outbound transfers
- Connections to known bad IPs
- Unusual upload patterns
Rule Logic:
IF (outbound_bytes > threshold)
OR (destination_ip IN threat_intel)
OR (upload_ratio > 10x normal)
THEN ALERT
Privileged Access Abuse
Indicators:
- Admin login to non-admin system
- After-hours admin activity
- Bulk permission changes
Rule Logic:
IF (admin_group_member)
AND (login_to_non_admin_asset)
AND (NOT change_request_open)
THEN ALERT
SIEM Implementation
Phase 1: Foundation (Monat 1-3)
[ ] SIEM installieren/konfigurieren
[ ] Kritische Log-Quellen anbinden:
- Firewall
- Active Directory
- VPN
- Cloud (CloudTrail, etc.)
[ ] Basis-Regeln aktivieren
[ ] Alerting-Workflow definieren
Phase 2: Expansion (Monat 4-6)
[ ] Weitere Log-Quellen:
- Endpoints
- Applications
- Databases
[ ] Custom Detection Rules
[ ] MITRE ATT&CK Coverage analysieren
[ ] Runbooks erstellen
Phase 3: Optimization (Monat 7-12)
[ ] False Positive Tuning
[ ] Threat Intelligence Integration
[ ] SOAR Integration
[ ] KPIs & Reporting
[ ] Continuous Improvement
Metriken & KPIs
Detection Metrics
| Metrik | Beschreibung | Ziel |
|---|---|---|
| MTTD | Mean Time to Detect | < 1 Stunde |
| MTTR | Mean Time to Respond | < 4 Stunden |
| Detection Rate | % erkannter Incidents | > 90% |
| False Positive Rate | Fehlalarme | < 20% |
Operational Metrics
Daily Alert Volume: 1,247
├── Critical: 12 (all investigated)
├── High: 89 (78 investigated)
├── Medium: 456 (bulk processing)
└── Low: 690 (automated/ignored)
Alert Closure:
├── True Positive: 15%
├── False Positive: 35%
├── Benign: 45%
└── Inconclusive: 5%
Coverage Metrics
MITRE ATT&CK Coverage:
├── Initial Access: 78%
├── Execution: 65%
├── Persistence: 72%
├── Privilege Escalation: 58%
├── Defense Evasion: 45%
├── Credential Access: 82%
├── Discovery: 55%
├── Lateral Movement: 68%
├── Collection: 42%
├── Exfiltration: 71%
└── Impact: 88%
Risiken & Grenzen
Alert Fatigue
Day 1: "Oh, ein Alert! Sofort untersuchen!"
Day 30: "Nur 500 Alerts heute? Ruhiger Tag."
Day 365: *ignoriert alles*
Blind Spots
Was du nicht loggst, siehst du nicht:
- Encrypted Traffic
- Insider Threats (wenn keine Baseline)
- Cloud Shadow IT
- Zero-Days
Storage Explosion
Logs/Tag: 100 GB
Retention: 365 Tage
Total: 36 TB
Kosten: $$$
"Können wir nicht weniger loggen?"
"Kannst du vorhersagen, was du brauchst?"
"..."
Skilled Attackers
APTs wissen, wie SIEM funktioniert:
- Low and slow
- Living off the land
- Log tampering
Komplexität
SIEM Setup: 3 Monate
SIEM Mastery: 3 Jahre
SIEM perfekt konfiguriert: nie
Vorteile
Zentrale Sichtbarkeit
Alle Security-relevanten Events an einem Ort.
Korrelation
Event 1 (Firewall): Connection from 1.2.3.4
Event 2 (VPN): Login failure for "admin"
Event 3 (AD): Account lockout
Einzeln: Uninteressant
Korreliert: Brute Force Attack in Progress!
Forensik
Wenn etwas passiert, hast du die Daten:
- Was ist passiert?
- Wann?
- Wie?
- Was wurde kompromittiert?
Compliance
- Log Retention nachweisbar
- Audit Trail
- Reporting für Auditoren
Threat Intelligence
Integration mit IoC-Feeds:
Known Bad IP in Logs? → Sofort Alert
New Malware Hash? → Retroaktive Suche
Best Practices
1. Start Small
Schlecht: "Wir loggen alles von Anfang an!"
→ 10 TB/Tag, niemand schaut es an
Besser: "Wir starten mit kritischen Quellen"
→ AD, Firewall, VPN
→ Erweitern nach Bedarf
2. Use Case Driven
Nicht: "Was können wir mit den Logs machen?"
Sondern: "Welche Angriffe wollen wir erkennen?"
3. Tune Relentlessly
# Woche 1: Rule aktiviert
alerts_per_day: 500
false_positive_rate: 80%
# Woche 4: Nach Tuning
alerts_per_day: 50
false_positive_rate: 20%
4. Automate Response
Low-Priority Alert → Auto-Ticket
Medium-Priority Alert → Analyst Review
High-Priority Alert → Immediate Page + Auto-Containment
5. Test Your Detections
# Atomic Red Team - MITRE Tests
Invoke-AtomicTest T1059.001 # PowerShell Execution
# Wird der Alert ausgelöst?
# Wird er richtig priorisiert?
# Funktioniert der Runbook?
SIEM vs. XDR vs. SOAR
| Tool | Fokus | Stärke |
|---|---|---|
| SIEM | Log-Analyse, Korrelation | Breite Sichtbarkeit |
| XDR | Endpoint + Network | Tiefe Analyse |
| SOAR | Automation, Response | Orchestrierung |
Moderne Architektur: SIEM + XDR + SOAR integriert
Fazit
SIEM ist das Gehirn der Security Operations. Ohne SIEM fliegst du blind – mit SIEM ertrinkst du möglicherweise in Daten. Der Unterschied zwischen beiden Zuständen liegt im Tuning, in der Expertise und in der Bereitschaft, kontinuierlich zu verbessern.
Ein SIEM ohne Analyst ist wie ein Alarmsystem ohne Sicherheitsdienst: Es piept, aber niemand kommt.
Weiterführende Ressourcen: