Bei der Auswahl eines Security Information and Event Managements (SIEM) ist es ähnlich wie bei der Bestellung eines Eisbechers in der Gelateria. Die einen mögen es fruchtig, die anderen cremig, wieder andere vegan. Die persönlichen Vorlieben sind vielfältig. Aber fast alle haben eine Lieblingssorte, zu der sie im Zweifelsfall greifen.
So ist es oft auch beim Thema SIEM: Die erste Lösung, die nach Marktanalyse, Funktionsvergleich und Proof of Concept sorgfältig eingeführt wurde, gilt in der Regel als Referenz. Und doch findet nach einigen Jahren ein zweites oder drittes SIEM den Weg ins Unternehmen. Wie kommt es zu solchen Multi-SIEM-Szenarien?
Nach langjähriger Erfahrung als SIEM-Berater und unzähligen Kundengesprächen habe ich den Eindruck gewonnen, dass es bei der Kaufentscheidung nicht nur um Preis und Features geht, sondern auch um das Bauchgefühl bezüglich Produkt und Hersteller. Das kenn ich auch. Nach meiner SIEM-Erfahrung mit QRadar hielt ich die 2011 von IBM übernommene Lösung für das Nonplusultra. Mit diesem Tool, das damals ganz oben rechts im SIEM-Quadranten von Gartner stand, fühlte ich mich wie ein James Bond, der mit den Gadgets seines Quartiermeisters »Q« erfolgreich gegen die Goldfingers und Blofelds der IT-Welt kämpfte. Meine Mitwirkung an einem der größten QRadar-Projekte in Europa festigte diese Einstellung. Noch bis vor zwei Jahren konnten daran auch einzelne Berührungen mit anderen SIEM-Systemen wie ArcSight, FortiNet oder Splunk nichts ändern.
Von klassisch-funktionalem bis zu topmodernem Design. Seither sind zusätzlich FortiSIEM und Elastic auf der Bildfläche erschienen, und mein Blick hat sich geweitet. Warum? Im Rahmen von Penetrationstests konnte ich beobachten, wie die Verteidiger ihr SIEM auswählten. Für diese gruppendynamischen Entscheidung waren nicht allein die passenden Features, sondern das Bauchgefühl des Teams maßgeblich. Dabei fiel mir auf, dass eine Gruppe von durchschnittlich 15 Jahre jüngeren Pentestern für ihr Projekt das SIEM von Elastic wählte. Für einen eingefleischten QRadar-User, der die seit rund zehn Jahren nahezu unveränderte Benutzeroberfläche und Command Line nutzt, mag das vielleicht schwer nachvollziehbar sein. Für weniger eingefahrene Analysten kann diese oder eine andere Lösung aber womöglich schneller, einfacher und komfortabler zum Ziel führen.
Aus heutiger Sicht gibt es nicht mehr das eine, allumfassende SIEM. Jede Version hat mit ihren individuellen Ausprägungen ihre Berechtigung.
Auch in Unternehmen hängt die SIEM-Auswahl von den dortigen Sicherheitsexperten ab. In einem relativ jungen IT- oder Sicherheitsteam kann ein Produkt wie QRadar, das Kontinuität und Tradition ausstrahlt, weniger erfolgreich sein als ein System mit dem Look & Feel von Google und Co. Auch die Handhabung ist letztlich Geschmackssache, denn hier gibt es ähnliche Lager wie bei Windows und Linux. So kommt -FortiSIEM bei Analysten gut an, die mit einer grafischen Oberfläche und schnell erlernbarer Bedienung viele integrierte Funktionen einfach steuern wollen. Wer häufig umfangreiche oder SIEM-übergreifende Abfragen (Stichwort: Sigma Rules) durchführen möchte, wird vermutlich Lösungen mit einer oder mehreren Abfragesprachen sowie umfangreichen Kommandozeilen- und API-Schnittstellen bevorzugen. Dies ist wiederum bei QRadar und Elastic der Fall.
Fazit: Für jeden das passende SIEM. Aus heutiger Sicht gibt es nicht mehr das eine, allumfassende SIEM. Jede Version hat mit ihren individuellen Ausprägungen ihre Berechtigung. Und so haben auch Multi-SIEM-Szenarien den Vorteil, dass sie die Security-Analysten optimal unterstützen und sie nach individuellem Gusto möglichst schnell und effektiv arbeiten können. Bei der Auswahl sollte man sich jedoch einen Partner suchen, der eine breite Auswahl an Geschmacksrichtungen unterstützt. Schließlich geht man ja auch nicht zu einer Eisdiele, die nur Schokolade und Vanille hat. Ich für meinen Teil freue mich jedenfalls darauf, künftig noch mehr Geschmacksrichtungen für meinen Erfahrungseisbecher zu bekommen und im nächsten SIEM-Sommer noch individueller beraten zu können.
Martin Schmitt ist Senior Cyber Defense Consultant bei SecuInfra. Seine Erfahrung umfasst 23 Jahre in der IT und zehn Jahre in der IT-Sicherheit, davon sechs mit Fokus auf SIEM-Themen. Martin Schmitt kümmert sich um Installation und Administration, entwickelt Use Cases und unterstützt beim Aufbau von SOCs, Incident Response Teams sowie Proof of Concepts in großen und mittelständischen Unternehmen mit Fokus auf Österreich und Deutschland. Das Branchenspektrum seiner Projekte reicht von der Landesverteidigung über Bankenfusionen bis hin zur Industrie.
https://www.secuinfra.com/de/solutions/siem/