Maßgeschneiderte SIEM-Lösung von der Stange – Veni, vidi, vici

Security Alarming & Reporting – innerhalb einer Woche live mit der Controlware CESAR App.

Spätestens nach dem Vorspann wird der fachkundige Leser sagen – absolut unmöglich. Bevor Sie erfahren, wie es machbar ist, ein Security Alarming & Reporting System innerhalb von nur einer Woche mit einer App in den Live-Betrieb zu nehmen, schauen wir uns zunächst an, wie und warum diese App überhaupt entstanden ist.

Basierend auf unserer jahrelangen Erfahrung aus unzähligen Kundenprojekten, hatten wir beschlossen, eine eigene Lösung für unsere Kunden zu entwickeln, die diesen hilft, ihre Sicherheit im Unternehmen zu erhöhen, die sich schnell implementieren lässt und auch mit wechselnden Bedürfnissen mitwachsen kann. Die Anforderungen an eine solche Lösung waren relativ schnell definiert. Sie sollte Incident und IOC (Indicator of Compromise) Handling erfüllen, natürlich alarmieren, reporten und Dashboards zur Verfügung stellen und am Ende noch flexibel und anpassbar sein – einfach, oder?

Da wir uns bereits sehr früh bei Controlware für Splunk Enterprise als Analytics-Plattform entschieden haben, fiel die Auswahl des Tools nicht schwer. Gerade das einheitliche und flexible Plattform- und App-Konzept hat uns an dieser Stelle weitergeholfen.

Wenn es um die Daten ging, die betrachtet werden sollten, hat sich herausgestellt, dass es sich nahezu immer um identische Daten handelt, die für unsere Kunden relevant sind. Angefangen von Informationen aus dem Active Directory, den Firewalls über die Proxys bis hin zu Mail-Daten. Gerade in letzter Zeit wurden diese klassischen Datenquellen dann noch um Cloud-Daten aus Microsoft 365 erweitert.

Bei klassischer Vorgehensweise stellte sich für unsere Kunden das eigentliche Problem allerdings erst im nächsten Schritt dar – die gesammelten Daten zu sichten, auszuwerten und Use Cases zu definieren. Gerade bei mittelständischen Unternehmen hat sich gezeigt, dass sich die Bewertung der Daten und die Definition von Use Cases aufgrund von Personalengpässen, Zeitmangel und fehlender Erfahrung oftmals als äußerst schwierig gestaltet. Auch der anschließende Schritt, geeignete Apps zu sichten und zu integrieren, erfordert Erfahrung und Know-how.

Um unsere Kunden hier zu unterstützen, haben wir, wie bereits erwähnt, eine eigene Lösung entwickelt – die CESAR-App. Um was genau handelt es sich eigentlich dabei? CESAR ist natürlich eine Abkürzung und bedeutet »Controlware Essential Security and Reporting« – und könnte durchaus auch als SIEM bezeichnet werden. Der entscheidende Vorteil der CESAR-App liegt darin, dass der komplette Sichtungsprozess, die Use-Case-Entwicklung, die App-Auswahl, die Integration, die Alarmdefinitionen und auch die Report- und Dashboard-Erstellung für den Kunden komplett entfallen.

 

 

Die CESAR-Lösung beinhaltet ein sehr umfangreiches Funktionspaket, wie die folgende Auflistung verdeutlicht:

  • Dashboards
  • Reports
  • Threat Intelligence Feeds
  • Alarm Management
  • Monitoring
  • Rechte und Rollen
  • Vordefinierte Use Cases
  • Anpassbar für Custom Use Cases

Aus den Bereichen AD, Server, M365, Firewall, Proxy und Mail existieren bereits 26 vordefinierte Use Cases – und es werden kontinuierlich mehr. Diese Use Cases versetzen unsere Kunden in die Lage, branchenübergreifende Richtlinien wie ISO 27001 oder branchenspezifische Richtlinien (beispielsweise TISAX) umzusetzen und in Audits zu dokumentieren. Die Visualisierung und Benachrichtigung erfolgt über Dashboards, Reports und Alarmmeldungen. Das anpassbare und flexible Konzept hilft beim Monitoring, bei Rechte- und Rollenkonzepten sowie natürlich bei individuellen Kunden-Use-Cases.

Dass diese Lösung permanent weiterentwickelt wird, versteht sich von selbst. Ohne Frage wird zukünftig dem Bereich IT-Operations eine immer größere Bedeutung zukommen, mit der Folge, dass Unternehmen Unterstützung benötigen, um hier effizienter zu werden und Incidents schneller beheben zu können. Zudem befindet sich derzeit ein automatisiertes Asset Management in der Entwicklung, mit dem es möglich ist, angebundene Geräte im Operations-Bereich abzubilden.

Und nun zur alles entscheidenden Frage: 

Wie lässt sich ein solches Projekt in so kurzer Zeit realisieren? 

Als Systemintegrator und Managed Service Provider betreuen wir unsere Kunden in allen Projektschritten – von der Beratung über die Planung bis hin zur Realisierung. In der Regel bildet ein initialer Workshop die Grundlage für den Projektstart. Hier werden zunächst alle notwendigen Rahmenparameter festgelegt: Wer hat wie, was und wann zu tun. Außerdem ermitteln wir die Größe der Softwarelizenz und somit auch die Dimensionierung der Infrastruktur. Von Kundenseite sind die erforderlichen Zugänge zu gewährleisten und die Logs anzuliefern, was in der Regel keine große Herausforderung darstellt. Falls doch, unterstützen wir auch hier. Zusätzlich hat der Kunde die Wahl, eine passende Infrastruktur (physikalisch oder virtuell) zur Verfügung zu stellen – oder er entscheidet sich für die Splunk-Cloud-Lizenz. Fällt die Entscheidung auf die Splunk-Cloud-Lizenz muss keine Hardware zur Verfügung gestellt werden – und es sind auch keine Ressourcen für den Betrieb der Plattform notwendig. Durch diese Lizenzform kann der Start in spätestens zwei Tagen nach Beauftragung erfolgen und wird durch eine hochverfügbare Umgebung komplettiert. Ab diesem Zeitpunkt implementieren wir die Lösung und halten den Kunden über alle Projektschritte auf dem Laufenden. Dies geschieht nun tatsächlich innerhalb einer Woche bis zur Betriebsübergabe an den Kunden.

Fazit. Mit diesem Lösungspaket aus Standardsoftware, CESAR-App und Dienstleistung erhält der Kunde quasi einen Maßanzug von der Stange, der im Kosten-Nutzen-Faktor seines gleichen sucht. Auch die Skalierbarkeit und Flexibilität ist hervorzuheben. Je nachdem welche Erfordernisse vorliegen, kann der Kunde neue Use Cases ergänzen und alte anpassen oder uns bei Bedarf hinzuziehen.

Folglich erhöhen Unternehmen ihre Security- und Auditierungs-Level in kürzester Zeit um ein Vielfaches – bei sehr geringem Ressourcen-Aufwand und sind somit perfekt gerüstet für die Zukunft. Auch zukünftige Szenarien aus den Bereichen IT-Operations, Security, IoT oder Business Intelligence sind problemlos, schnell und flexibel umsetzbar, da die Plattform bereits in Betrieb ist und nur um die notwendigen Datenquellen erweitert werden muss.

Ave CESAR

 


Reiner Altegger,
Senior Business Consultant Analytics, Controlware GmbH
www.controlware.de
blog.controlware.de

 

Illustration: © Bubica/shutterstock.com