IT-Sicherheit mit einem SIEM-System

Inhaltsverzeichnis

1 Einleitung

1.1 Zielsetzung

1.2 Gliederung der Arbeit

2 International Organization for Standardization

3 Plan-Do-Check-Act-Modell in der IT-Sicherheit

4 IT-Strukturanalyse

4.1 IT-Anwendungen und IT-Systeme

4.2 Schutzbedarfsfeststellung

4.3 Schwachstellenanalyse

4.3.1 Bedrohungsmatrix

4.3.2 Bedrohungsbaum

5 IT-Monitoring

5.1 Security Information and Event Management

5.2 Datenquellen für das SIEM-System

6 Splunk als Security Information and Event Management System

6.1 Splunk-Komponenten

6.2 Splunk-Topologien

6.3 Datenverarbeitung in Splunk

6.4 Splunk-Suche und -Berichte

6.5 Splunk-Alarmierung

6.6 Splunk-Apps und Add-Ons

6.7 Zugriffsrollen in Splunk

7 Vulnerability Management und Patch Management

8 Use Cases

8.1 Use Case – IT-Anwendungen

8.1.1 Mailserver

8.1.2 Antivirensoftware

8.1.3 Microsoft WSUS

8.1.4 Nessus

8.1.5 Datensicherung

8.1.6 Splunk Forwarder und Server

8.2 Use Case – IT-Systeme

8.2.1 Firewall-Systeme

8.2.2 Switches

8.2.3 E-Mail-Gateways

8.2.4 Active Directory

8.2.5 DNS-Server

8.2.6 Windows- und Linux-Server

9 Fazit

Zielsetzung & Themen

Die vorliegende Arbeit zielt darauf ab, eine Methodik für die systematische Sicherheitsanalyse von IT-Infrastrukturen zu entwickeln, wobei der Fokus auf der automatisierten Auswertung von Loginformationen mittels eines SIEM-Systems (Splunk) liegt.

• Entwicklung eines Vorgehensmodells für die SIEM-Integration basierend auf dem PDCA-Zyklus.
• Durchführung einer IT-Strukturanalyse zur Identifikation schutzbedürftiger Anwendungen und Systeme.
• Erstellung von Use Cases zur Überwachung spezifischer Bedrohungsszenarien.
• Integration von Vulnerability Management zur proaktiven Schwachstellenerkennung.
• Analyse von Zugriffsrollen und Berechtigungskonzepten innerhalb einer Splunk-Umgebung.

Auszug aus dem Buch

Zusammenfassung der Kapitel

1 Einleitung: Diese Einleitung beleuchtet die steigende Bedeutung der IT-Sicherheit und die Zunahme von Schwachstellen in Unternehmensnetzwerken.

2 International Organization for Standardization: Ein Überblick über die ISO 27000-Reihe sowie die Bedeutung des IT-Grundschutzes für die Informationssicherheit.

3 Plan-Do-Check-Act-Modell in der IT-Sicherheit: Erläuterung des PDCA-Zyklus als kontinuierlicher Verbesserungsprozess innerhalb der IT-Sicherheitsstrategie.

4 IT-Strukturanalyse: Detaillierte Erfassung und Kategorisierung von IT-Systemen und Anwendungen sowie deren Schutzbedarf, unter Verwendung von Bedrohungsanalysen.

5 IT-Monitoring: Beschreibung der Ziele des Monitorings und Einführung in Security Information and Event Management (SIEM) sowie die Nutzung von RSS-Feeds und Twitter als Datenquellen.

6 Splunk als Security Information and Event Management System: Umfassende Darstellung des Splunk-Konzepts, inklusive Komponenten, Suchsprache (SPL), Alarmierung und Konfigurationsmöglichkeiten.

7 Vulnerability Management und Patch Management: Erläuterung der Bedeutung von Schwachstellen-Scans mittels Nessus und der Dokumentation fehlender Sicherheits-Updates.

8 Use Cases: Konkrete Anwendungsfälle zur Überwachung verschiedener IT-Komponenten, wie Mailserver, Firewall-Systeme oder Active Directory.

9 Fazit: Zusammenfassende Bewertung der vorgestellten Methodik und Ausblick auf die Notwendigkeit automatisierter SIEM-Analysen.

Schlüsselwörter

IT-Sicherheit, SIEM, Splunk, IT-Monitoring, Schwachstellenanalyse, Vulnerability Management, Patch Management, PDCA-Modell, Bedrohungsbaum, IT-Strukturanalyse, Log-Analyse, Informationssicherheit, ISO 27000, Netzwerkanalyse, Use Cases

Häufig gestellte Fragen

Worum geht es in dieser Bachelorarbeit grundsätzlich?

Die Arbeit beschäftigt sich mit dem Aufbau und der Implementierung einer Methodik zur Sicherheitsanalyse von IT-Infrastrukturen unter Nutzung eines SIEM-Systems.

Welches SIEM-System wird als Beispiel verwendet?

Als praktisches Beispiel für die Umsetzung der SIEM-Methodik wird die Software Splunk verwendet.

Was ist das Ziel des vorgestellten Vorgehensmodells?

Das Ziel ist es, eine Struktur zu schaffen, mit der IT-Systeme kontinuierlich überwacht, Schwachstellen erkannt und Sicherheitsvorfälle durch gezielte Use Cases identifiziert werden können.

Welche wissenschaftliche Methode wird zur Analyse herangezogen?

Die Autorin nutzt das PDCA-Modell (Plan-Do-Check-Act) als Basis, um einen kontinuierlichen Verbesserungsprozess für die IT-Sicherheit zu etablieren.

Welche Rolle spielen Bedrohungsbäume?

Bedrohungsbäume dienen der Modellierung potenzieller Angriffsvektoren, um daraus die notwendigen Überwachungsmaßnahmen für spezifische IT-Systeme abzuleiten.

Warum ist die IT-Strukturanalyse notwendig?

Sie bildet die Basis, um alle relevanten Systeme zu erfassen und deren Schutzbedarf festzulegen, was für die spätere Priorisierung im SIEM-System entscheidend ist.

Wie werden externe Informationen in die Sicherheitsüberwachung eingebunden?

Durch die Einbindung von RSS-Feeds (z. B. von Herstellern oder CERT-Stellen) und Twitter-Meldungen kann das System aktuelle Sicherheitswarnungen proaktiv verarbeiten.

Wie regelt Splunk den Zugriff auf die gesammelten Daten?

Der Zugriff wird über verschiedene Benutzerrollen (z. B. Admin, Power, User) gesteuert, um sicherzustellen, dass nur autorisierte Personen Zugriff auf sensible Informationen haben.

Wie unterstützt Nessus den Sicherheitsstatus?

Nessus wird als Vulnerability-Scanner eingesetzt, um regelmäßig Schwachstellen und fehlende Patches auf den IT-Systemen zu identifizieren und an das SIEM-System zu melden.

Was bedeutet das "Maximumprinzip" im Kontext der Schutzbedarfsfeststellung?

Das Maximumprinzip besagt, dass sich der Schutzbedarf eines IT-Systems nach demjenigen Schaden richtet, der die schwerwiegendsten Auswirkungen bei einer Beeinträchtigung hätte.