Überblick zu SIEM, XDR, SOAR & Co.

Lesezeit
3 Minuten
Bis jetzt gelesen

Überblick zu SIEM, XDR, SOAR & Co.

29.01.2025 - 07:07
Veröffentlicht in:

In der zunehmend komplexen Cybersicherheitslandschaft wird es für Unternehmen schwerer, passende Abwehrmechanismen zu wählen. Die Auswahl an Tools wächst stetig. SIEM galt lange als Standard für das Sammeln und Analysieren sicherheitsrelevanter Daten. Moderne Technologien wie XDR, SOAR und Open XDR bieten heute jedoch die Möglichkeit, automatisierter und schneller auf Bedrohungen zu reagieren. Unser Fachartikel beleuchtet die Vor- und Nachteile der unterschiedlichen Ansätze.

Der Markt wird nahezu täglich von neuen Sicherheitstools durchdrängt. Den Überblick zu behalten, ist eine Herausforderung. Der bisherige Platzhirsch ist SIEM. Doch gibt es inzwischen zahlreiche weitere vielversprechende Ansätze und Technologien.

SIEM als Platzhirsch in der Cybersicherheit
Ein Security Information and Event Management (SIEM) ist seit Jahren fester Bestandteil einer fundamentalen Cybersicherheitsstrategie. Seine Funktion ist relativ simpel, aber dennoch galt SIEM bisher als sehr effektiv. Seine Hauptaufgabe besteht darin, Protokolldaten aus verschiedenen Systemen über Agenten, Syslog oder API-Calls zu sammeln, aufzubereiten und effizient durchsuchbar zu machen. Mithilfe von Detektionsregeln werden die Daten in Echtzeit oder retrospektiv auf Sicherheitsvorfälle analysiert. Im Fall eines Treffers kommt es zu einem einem Alarm. Dieser Ansatz ermöglicht es Securityteams, Bedrohungen zentral zu identifizieren und schnell darauf zu reagieren.

In der aktuellen Welt der Cybersicherheit, in der die einzusammelnden Daten immer mehr werden, bringt jedoch auch ein SIEM Herausforderungen mit sich. Damit ein SIEM mehrere TBytes an Daten pro Tag verarbeiten und speichern kann, sind oft eine Vielzahl an Servern nötig. Jedes einzelne System ist dabei auf seine eigene Rolle spezialisiert und teilweise sehr ressourcenhungrig. Sich um die einzelnen Server zu kümmern und das SIEM instand zu halten, kann mehrere Personen eines Securityteams in Vollzeit beschäftigen.

XDR: Erweiterte Bedrohungserkennung über alle Ebenen
XDR (Extended Detection and Response) bietet die Weiterentwicklung traditioneller Sicherheitssysteme. Dieser Ansatz für die Bedrohungserkennung und -abwehr zielt darauf ab, Sicherheitsvorfälle über verschiedenste IT-Systeme hinweg zu analysieren und mittels künstlicher Intelligenz und sogenannter "Cross-Korrelation" effizient und weniger anfällig für False Positives zu detektieren. Während bei einem SIEM die mitgelieferten Detektionsregeln oft umfangreiche manuelle Anpassungen erfordern, um effektiv zu funktionieren, bietet ein XDR direkt einsatzbereite Erkennungsmechanismen, die ohne zusätzlichen Aufwand genutzt werden können.

Außerdem ermöglicht XDR nicht nur die Erkennung von Bedrohungen, sondern auch deren unmittelbare und automatisierte Reaktion, wodurch sich Sicherheitsvorfälle meist schneller eindämmen und potenzielle Schäden effektiv minimieren lassen. Gerade bei sich schnell verbreitenden Bedrohungen kommt es auf Sekunden an – Sekunden, die bei der Verwendung eines SIEMs gegebenenfalls verloren gehen, da hier Securityteams manuell einschreiten und selbst bereinigen müssen.

SOAR: Automatisierung und Orchestrierung in der Cybersicherheit
SOAR (Security Orchestration, Automation, and Response) beschreibt eine Technologie, die speziell für die Automatisierung von Prozessen entwickelt wurde. Mittels SOAR lassen sich sogenannte Playbooks erstellen, die sich automatisch um die Reaktion auf Sicherheitsvorfälle kümmern. In einem Playbook wird definiert, unter welchen Umständen welche Aktivität automatisch zur Ausführung kommen soll. So kann beispielsweise ein Alarm aus einem SIEM ein Playbook in SOAR auslösen, das dann den betroffenen Host isoliert und vom Netzwerk abtrennt.

Damit dies möglich wird, sind Integrationen mit anderen Tools (XDR, Firewalls et cetera) notwendig. Die Herausforderung in SOAR besteht aktuell vor allem darin, geeignete Playbooks zu entwickeln, zu warten und regelmäßig zu überprüfen. Ein falsch entwickeltes Playbook kann schnell zur Isolation kompletter Netzwerke führen, auch wenn der eigentliche Alarm ein False Positive war.

Open XDR: Flexibilität und Offenheit als Wettbewerbsvorteil
Open XDR ist eine Weiterentwicklung des klassischen XDR, die herstellerunabhängig und flexibler gestaltet ist. Ein Vorteil besteht darin, Sicherheitssysteme nahtlos integrieren zu können, ohne diese vorher durch Produkte aus dem Portfolio des XDR-Herstellers ersetzen zu müssen. Ein zentraler Data Lake sammelt Protokolldaten, filtert diese und bereitet sie auf. Darauf aufbauend unterstützen Technologien wie EDR oder SOAR bei der Bedrohungserkennung und -reaktion. Dieser Vendor-agnostische Ansatz ermöglicht eine schnellere, kosteneffiziente Integration und erleichtert den Einstieg, ohne bestehende Systeme ersetzen zu müssen.

Bei mySOC handelt es sich um ein Open-XDR-Tool des europäischen Unternehmens aDvens.
Bei mySOC handelt es sich um ein Open-XDR-Tool des europäischen Unternehmens aDvens.
 

Darüber hinaus profitieren Unternehmen von einer besseren Kostenkontrolle. Durch die Verwendung von Open XDR können sie ihre bestehenden Sicherheitsinvestitionen besser nutzen und müssen nicht in umfassende XDR-Werkzeuge investieren, die oft nur mit Produkten eines bestimmten Herstellers kompatibel sind. Auch die Möglichkeit, verschiedene Datenquellen flexibel einzubinden, hilft, das Potenzial der bestehenden Sicherheitsinfrastruktur voll auszuschöpfen.

Stärken und Schwächen von SIEM im Vergleich
In der Diskussion über moderne Sicherheitsplattformen ist es nahezu unerlässlich, SIEM mitzubetrachten. Obwohl das Konzept jahrzehntelang als bewährte Methode für die Angriffserkennung galt, zeigen sich zunehmend Einschränkungen oder Nachteile gegenüber neueren Ansätzen. Neue Erkenntnisse in Sicherheitsstrategien zeigen, dass es klassische SIEMs aufgrund von hohem administrativem Aufwand und fehlender Out-of-the-Box-Experience als Stand-Alone-Produkten zunehmend schwerer haben werden. Neueste Richtlinien wie NIS2 setzen allerdings voraus, dass Protokolldaten zentral gespeichert und archiviert werden – die Königsklasse eines SIEMs.

SIEM-Systeme sind hervorragend dafür geeignet, Daten aus verschiedenen Quellen zu aggregieren, was eine umfassende Sicht auf sicherheitsrelevante Ereignisse ermöglicht. Sie sind außerdem in der Lage, große Mengen an Logdaten zu verarbeiten und historische Analysen durchzuführen, die für die Compliance und forensische Untersuchungen von großer Bedeutung sind. Zudem ist die Fähigkeit, Regeln für die Erkennung von Bedrohungen zu definieren, ein Vorteil von SIEM. Dies ermöglicht es, bestimmte Muster oder Verhaltensweisen zu identifizieren, die auf Sicherheitsvorfälle hinweisen könnten.

Sicherheitstechnologien im direkten Vergleich

Eine Herausforderung bei vielen SIEM-Wwerkzeugen ist jedoch die hohe Rate an False Positives, die die Analysten überfordern können. Diese Überflutung an Informationen führt oft zu "Alarmmüdigkeit", infolge derer echte Bedrohungen möglicherweise übersehen werden. Außerdem sind die Verarbeitung und Analyse von Daten in Echtzeit oft zu langsam, sodass sich Angriffe nicht rechtzeitig erkennen oder abwehren lassen. In einer Welt, in der Cyberangriffe immer schneller und raffinierter werden, ist dies ein erheblicher Nachteil.

Fazit
Technologien wie XDR, SOAR und Open XDR bieten sehr vielversprechende Ansätze. Dennoch bleibt SIEM für bestimmte Anwendungsfälle relevant, insbesondere wenn es um historische Analysen und Compliance-Anforderungen geht. Für eine zukunftssichere Sicherheitsstrategie ist es wohl der Mittelweg, auf das Zusammenspiel verschiedenster Sicherheitswerkzeuge zu setzen, um eine optimale Bedrohungserkennung und -reaktion gewährleisten zu können.

ln/Joachim Schuster, SOC Manager DACH bei aDvens

Ähnliche Beiträge

Cybersicherheit stärken mit SIEM-Use-Cases

Learning by Doing: Erst mit den passenden Use Cases lernt das Security Information and Event Management (SIEM) eines Unternehmens richtig laufen. Doch was gilt es bei der Auswahl zu beachten? Auf welche Weise erfolgt die Implementierung der Use Cases? Und welchen Qualitätssprung ermöglicht Machine Learning in Bezug auf die Cybersicherheit innerhalb der Organisation? Auf diese und weitere Fragen gibt der Gastbeitrag Antworten.

Mit ITAM aus der Cloud zu mehr Endpunkt-Sicherheit

Wer IT-Sicherheit ernst nimmt, braucht ein IT-Asset-Management. Denn es gewährleistet vollumfängliche Informationen zu sämtlichen Endpoints – vom Homeoffice über die Cloud bis hin zu on-premises. Der Betrieb eigener Plattformen ist jedoch gerade für mittelständische Unternehmen oft zu aufwendig. Eine einfache Alternative versprechen Managed Service Provider, die ITAM-Werkzeuge für ihre Kunden hosten und managen. Ist SaaS hier der beste Ansatz? Und was ist für erfolgreiche Einführungen zu beachten?

Webanwendungen schützen mit AWS Web Application Firewall und Shield (2)

Wer als Unternehmen eine Webseite oder -anwendung betreibt, muss sich meist früher als später mit Angriffen auseinandersetzen. Bei deren Abwehr spielen Schutzdienste auf Perimeter-Ebene eine entscheidende Rolle. AWS hat hierzu WAF und Shield im Portfolio. Im zweiten Teil erfahren Sie, wie Sie mit WAF Bots abwehren, Account Takeover verhindern und wie Best Practices aussehen könnten.