{"id":29138,"date":"2022-05-31T10:16:45","date_gmt":"2022-05-31T08:16:45","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=29138"},"modified":"2024-02-23T10:32:32","modified_gmt":"2024-02-23T09:32:32","slug":"was-ist-siem-use-case-management-und-worauf-kommt-es-dabei-an-5-faqs","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/was-ist-siem-use-case-management-und-worauf-kommt-es-dabei-an-5-faqs\/","title":{"rendered":"Was ist SIEM Use Case Management und worauf kommt es dabei an? 5 FAQs"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/was-ist-siem-use-case-management-und-worauf-kommt-es-dabei-an-5-faqs\/#Was_versteht_man_unter_einem_SIEM_Use_Case\" >Was versteht man unter einem SIEM Use Case?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/was-ist-siem-use-case-management-und-worauf-kommt-es-dabei-an-5-faqs\/#Wie_waehle_ich_fuer_mein_Unternehmen_die_passenden_Use_Cases_aus\" >Wie w\u00e4hle ich f\u00fcr mein Unternehmen die passenden Use Cases aus?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/was-ist-siem-use-case-management-und-worauf-kommt-es-dabei-an-5-faqs\/#Was_sind_die_wichtigsten_Frameworks_fuer_die_Entwicklung_von_SIEM_Use_Cases\" >Was sind die wichtigsten Frameworks f\u00fcr die Entwicklung von SIEM Use Cases? \u00a0<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/was-ist-siem-use-case-management-und-worauf-kommt-es-dabei-an-5-faqs\/#Welche_Kriterien_sind_fuer_die_SIEM_Use_Case_Auswahl_relevant\" >Welche Kriterien sind f\u00fcr die SIEM Use Case Auswahl relevant?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/was-ist-siem-use-case-management-und-worauf-kommt-es-dabei-an-5-faqs\/#Was_ist_wichtig_fuer_die_Entwicklung_und_Implementierung_von_SIEM_Use_Cases\" >Was ist wichtig f\u00fcr die Entwicklung und Implementierung von SIEM Use Cases?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/was-ist-siem-use-case-management-und-worauf-kommt-es-dabei-an-5-faqs\/#Fazit\" >Fazit<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Was_versteht_man_unter_einem_SIEM_Use_Case\"><\/span><strong>Was versteht man unter einem SIEM Use Case? <\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Unter einem Use Case wird in Bezug auf das Thema SIEM ein Gesamtpaket von Bestandteilen verstanden, welche es erlauben, ein konkretes Bedrohungsszenario zu identifizieren. Typische Bestandteile eines umf\u00e4nglichen Use Cases sind eine ausf\u00fchrliche Dokumentation vom Bedrohungsszenario, Anforderungen an die operative IT, Detektionsmechanismus, technische Anforderungen an das SIEM, eine Beschreibung der vorzunehmenden Normalisierungen sowie eine Assoziation des Use Cases mit abgedeckten Compliance-Anforderungen.<\/p>\n<p>Es ist sinnvoll, erg\u00e4nzend einen <strong>Testcase<\/strong> zu erstellen, welcher zur laufenden Validierung der Use Case Funktionalit\u00e4t genutzt werden kann. Der Einsatz derartiger Tests ist insbesondere im Falle von Betriebssystem-Updates und zur Abdeckung von Compliance-Anforderungen sinnvoll, um eine fortw\u00e4hrende Funktionalit\u00e4t des Use Case zu gew\u00e4hrleisten.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Wie_waehle_ich_fuer_mein_Unternehmen_die_passenden_Use_Cases_aus\"><\/span><strong>Wie w\u00e4hle ich f\u00fcr mein Unternehmen die passenden Use Cases aus? <\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>\u00a0<\/strong>Eine Herausforderung bei der Auswahl passender Use Cases ist, gerade initial, die fehlende \u00dcbersicht \u00fcber potentielle Threats (Bedrohungen), die es zu erkennen gilt. Bei der Aufstellung einer umf\u00e4nglichen \u00dcbersicht ist es deshalb ratsam, sich auf <strong>etablierte Frameworks<\/strong> zu verlassen, um ohne gro\u00dfen Ressourcenaufwand und dennoch mit hoher Qualit\u00e4t in die Planungsphase eintreten zu k\u00f6nnen. Dabei empfiehlt SECUINFRA die Verwendung technisch und zugleich praktisch ausgerichteter Frameworks.<\/p>\n<p>Compliance Frameworks sind als Orientierungshilfe f\u00fcr die Auswahl konkreter Use Cases eher ungeeignet, da diese in der Regel nur vage Handlungsanweisungen und Empfehlungen formulieren, aus denen sich keine konkreten Detektionsmechanismen ableiten lassen. Da Compliance Frameworks und Anforderungen jedoch in der Auditierung oft ein hohes Ma\u00df an Wichtigkeit aufweisen, sollten die identifizierten Use Cases anschlie\u00dfend den erf\u00fcllten Anforderungen aus der Compliance zugeordnet werden.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Was_sind_die_wichtigsten_Frameworks_fuer_die_Entwicklung_von_SIEM_Use_Cases\"><\/span><strong>Was sind die wichtigsten Frameworks f\u00fcr die Entwicklung von SIEM Use Cases? <\/strong><strong>\u00a0<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Es existiert mittlerweile eine Vielzahl verschiedener Frameworks, die bei der Identifikation relevanter Threats sehr hilfreich sein k\u00f6nnen. Im Folgenden werden die Frameworks genannt, welche sich f\u00fcr die Ableitung von Threats und Use Cases als bseonders geeignet erwiesen haben. <strong>Hierzu z\u00e4hlen beispielsweise das ATT&amp;CK Framework von MITRE, die Microsoft Security Monitoring Recommendations, das CIS (Center for Internet Security) Top 20 sowie OWASP (Open Web Application Security Project).<\/strong><\/p>\n<div id='gallery-1' class='gallery galleryid-29138 gallery-columns-3 gallery-size-thumbnail'><figure class='gallery-item'>\n\t\t\t<div class='gallery-icon landscape'>\n\t\t\t\t<a href='https:\/\/testing.secuinfra.com\/wp-content\/uploads\/mitre.png'><img decoding=\"async\" width=\"150\" height=\"150\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/mitre-150x150.png\" class=\"attachment-thumbnail size-thumbnail\" alt=\"\" aria-describedby=\"gallery-1-27432\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mitre-150x150.png 150w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mitre-60x60.png 60w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mitre-450x450.png 450w\" sizes=\"(max-width: 150px) 100vw, 150px\" \/><\/a>\n\t\t\t<\/div>\n\t\t\t\t<figcaption class='wp-caption-text gallery-caption' id='gallery-1-27432'>\n\t\t\t\t1. MITRE&#8217;s ATT&#038;CK Framework (klick to enlarge)\n\t\t\t\t<\/figcaption><\/figure>\n\t\t<\/div>\n\n<p>Das <strong>ATT&amp;CK Framework von MITRE<\/strong> ist die umfangreichste Sammlung von systembezogenen Angriffstechniken, die frei verf\u00fcgbar ist. Die Angriffstechniken werden dabei einer oder mehreren Taktiken (Kategorien) zugeordnet, die dem typischen Ablauf eines Angriffs entsprechen und stark an die Killchain erinnern.<\/p>\n<p><strong>Dabei enth\u00e4lt jeder Eintrag des Frameworks<\/strong><\/p>\n<p>&#8211; eine Beschreibung des Angriffs<\/p>\n<p>&#8211; eine Auflistung der APT (Advanced Persistent Threats) , die daf\u00fcr bekannt sind, diese Technik einzusetzen<\/p>\n<p>&#8211; Empfehlungen, um den erfolgreichen Einsatz der Technik zu verhindern sowie<\/p>\n<p>&#8211; Methoden der Detektion.<\/p>\n<p>Da relevante Frameworks sehr umfassend sind, ist es gerade im Zuge der Einf\u00fchrung eines SIEM Systems nicht sinnvoll, eine komplette Abdeckung erreichen zu wollen. Stattdessen empfiehlt sich eine geschickte Streuung der Use Case Auswahl auf die Bereiche von Angreiferverhalten, welche besonders eindeutig detektierbar sind und h\u00e4ufig Anwendung finden. Lesen Sie hierzu auch unseren TechTalk Beitrag: <a href=\"https:\/\/testing.secuinfra.com\/techtalk\/wie-mitre-attck-zur-auswahl-von-siem-use-cases-genutzt-werden-kann-teil-1-2\/\"><strong>Wie MITRE ATT&amp;CK zur Auswahl von SIEM Use Cases genutzt werden kann<\/strong><\/a><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Welche_Kriterien_sind_fuer_die_SIEM_Use_Case_Auswahl_relevant\"><\/span><strong>Welche Kriterien sind f\u00fcr die SIEM Use Case Auswahl relevant? <\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Zur Beurteilung potenzieller Use Cases sollten wenigstens die folgenden Kriterien in Betracht gezogen werden:<\/p>\n<p><strong>1. Potenzieller Impact im Falle des Eintretens<\/strong><\/p>\n<ul>\n<li>Auf das betroffene Asset<\/li>\n<li>Auf die betroffenen Nutzer<\/li>\n<li>Auf die betroffene Organisationseinheit<\/li>\n<li>Auf die Gesch\u00e4ftsprozesse<\/li>\n<\/ul>\n<p><strong>2. Wahrscheinlichkeit des Eintritts<\/strong><\/p>\n<ul>\n<li>H\u00e4ufigkeit des Auftretens im Allgemeinen<\/li>\n<li>Faktorierung durch die IT-Landschaft (Wie anf\u00e4llig ist mein Unternehmen f\u00fcr einen solchen Angriff?)<\/li>\n<li>Wahrscheinlichkeit der Mitigation durch bestehende Sicherheitsmechanismen<\/li>\n<\/ul>\n<p><strong>3. Qualit\u00e4t des Erkennungsmechanismus <\/strong><\/p>\n<p>Mindestens unterteilt in folgende Qualit\u00e4tsstufen:<\/p>\n<ul>\n<li>Erkennt spezifische Tools, welche die Technik ausnutzen k\u00f6nnen<\/li>\n<li>Erkennt IoC, welche auf die Technik hinweisen<\/li>\n<li>Erkennt die Technik selbst<\/li>\n<\/ul>\n<p><strong>4. Gesch\u00e4tzte Komplexit\u00e4t des Use Cases<\/strong><\/p>\n<ul>\n<li>Administrativer Aufwand (u.a. Anpassung von Audit Logs, Installation zus\u00e4tzlicher Software, Anbindung neuer Logquellen, notwendige Firewallfreischaltungen)<\/li>\n<li>Prozessualer Aufwand (z.B. Anpassung von Runbooks, R\u00fccksprache mit Betriebsrat und\/oder Datenschutzbeauftragtem, Erstellung neuer Prozesse u.a.m.)<\/li>\n<li>Use Case Logik (z.B. technische Komplexit\u00e4t der Thematik, Anzahl zu ber\u00fccksichtigender Datenquellen, Nutzung von Speichermechanismen, Notwendigkeit neuer Extraktionen sowie Notwendigkeit weiterer Datenanreicherung)<\/li>\n<li>Visibility Anforderungen (z.B. Notwendigkeit Benutzerlisten zu pflegen, Einordnung von Netzwerksegmenten sowie Anbindung weiterer, sekund\u00e4rer Datenquellen)<\/li>\n<\/ul>\n<p><strong>5. Gesch\u00e4tzte Wahrscheinlichkeit der Erkennung durch das eingesetzte SIEM System\u00a0<\/strong><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Was_ist_wichtig_fuer_die_Entwicklung_und_Implementierung_von_SIEM_Use_Cases\"><\/span><strong>Was ist wichtig f\u00fcr die Entwicklung und Implementierung von SIEM Use Cases? <\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<h3><strong>Die Entwicklung von Use Cases <\/strong><\/h3>\n<p>Ziel der Entwicklung sollte es sein, den bzw. die optimalen Detektionsmechanismen zur Abdeckung eines Threats herauszuarbeiten, welcher unter den gegebenen Bedingungen umsetzbar erscheinen. Die Entwicklung von Use Cases sollte m\u00f6glichst in einer separaten Testumgebung stattfinden, welche jedoch vom Aufbau her nah an der Produktivumgebung zu halten ist. Ein einfacher Weg, dies zu erreichen besteht darin, die Events aus der Produktivinstanz oder \u00fcber den Message Streaming Dienst an die Testinstanz des SIEM Systems weiterzuleiten. Um Synergien zwischen Entwicklung und Implementierung zu schaffen, sollte bereits im Zuge der Entwicklungsphase eine minimalistische Dokumentation stattfinden.<\/p>\n<p><strong>Diese Dokumentation sollte zumindest folgende Punkte umfassen:<\/strong><\/p>\n<ol>\n<li>Betroffene Logquellen<\/li>\n<li>Begr\u00fcndung der Wahl des Ansatzes\n<ul>\n<li>Formlose Beschreibung m\u00f6glicher Detektionsans\u00e4tze<\/li>\n<li>Beurteilung der beschriebenen Detektionsans\u00e4tze auf Basis praktischer Erfahrungen<\/li>\n<li>Erl\u00e4uterung der Entscheidungsfindung-Beschreibung der Anforderungen an die Logquelle<\/li>\n<\/ul>\n<\/li>\n<li>Beschreibung der Anforderungen an das SIEM System\n<ul>\n<li>Normalisierung von Events<\/li>\n<li>Anreicherung von Events<\/li>\n<li>Erg\u00e4nzung um Eigenentwicklungen<\/li>\n<\/ul>\n<\/li>\n<li>Beschreibung der Regellogik<\/li>\n<li>Beschreibung potenzieller False-Positives und False-Negatives<\/li>\n<li>Beschreibung potenzieller Problemstellungen bei der Implementierung<\/li>\n<\/ol>\n<h3><strong>Die Implementierung von Use Cases <\/strong><\/h3>\n<p>Ziel der Implementierung sollte es sein, den fertigen Detektionsansatz in das produktive SIEM-System so zu portieren, dass er performant und zuverl\u00e4ssig betrieben werden kann. Hierzu m\u00fcssen st\u00e4rker als in der Entwicklungsphase die Eigenheiten des SIEM-Systems und der IT-Landschaft ber\u00fccksichtigt werden. Die Dokumentation der Implementierungsphase erfordert besondere Sorgfalt und Akribie, da diese Unterlage h\u00e4ufig Gegenstand der \u00dcberpr\u00fcfung durch externe Auditoren ist.<\/p>\n<p><strong>Sie sollte wenigstens die folgenden Punkte, erg\u00e4nzend zu den zuvor bereits erfassten Informationen, beinhalten:<\/strong><\/p>\n<p><strong>Implementierte Anforderungen an das SIEM<\/strong><\/p>\n<ol>\n<li>Normalisierung von Events\n<ul>\n<li>Art der Normalisierung<\/li>\n<li>Technische Beschreibung (Regul\u00e4rer Ausdruck, XPath oder \u00e4hnliches)<\/li>\n<li>Begr\u00fcndung f\u00fcr Abweichungen gegen\u00fcber der Entwicklung<\/li>\n<\/ul>\n<\/li>\n<li>Anreicherung von Events\n<ul>\n<li>Beschreibung des technischen Mechanismus zur Anreicherung<\/li>\n<li>Datenquelle f\u00fcr Anreicherung<\/li>\n<li>Zyklus f\u00fcr Aktualisierung der Daten<\/li>\n<\/ul>\n<\/li>\n<li>Erg\u00e4nzung um Eigenentwicklung\n<ul>\n<li>Beschreibung der erg\u00e4nzten Funktionalit\u00e4t<\/li>\n<li>Name und Kontaktdaten des Entwicklers<\/li>\n<li>Verweis auf Dokumentation der Eigenentwicklung<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<p><strong>Implementierte Regellogik<\/strong><\/p>\n<ol>\n<li>Abweichungen gegen\u00fcber der Entwicklung\/ Begr\u00fcndung dieser Abweichungen<\/li>\n<li>Anpassungen im Zuge des Regeltunings\n<ul>\n<li>Beschreibung pro Anpassungsanlass<\/li>\n<\/ul>\n<\/li>\n<li>Dokumentation der Testphase\n<ul>\n<li>Dauer der Testphase<\/li>\n<li>Anzahl Regelausl\u00f6sungen<\/li>\n<li>Interpretation der Testphase<\/li>\n<\/ul>\n<\/li>\n<li>Zeitpunkt der produktiven Aktivierung des Use Cases\n<ul>\n<li>Abnahme durch Leitung SOC<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<div class=\"fazit\"><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Fazit\"><\/span><strong>Fazit <\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Eine besondere Bedeutung beim Aufbau eines SIEM erlangen die sogenannten Use Cases. Sie definieren unterschiedliche Angriffserkennungslogiken. In eine SIEM-Lo\u0308sung implementiert, helfen sie, tatsa\u0308chliche Angriffe auf die u\u0308berwachte IT-Infrastruktur zu erkennen. Die Entwicklung wirtschaftlicher und wirkungsvoller Use Cases ist eine komplexe Aufgabenstellung, fu\u0308r die tiefes Expertenwissen unabdingbar ist. Seit unserer Unternehmensgru\u0308ndung 2010 hat unser SIEM Experts Team bereits u\u0308ber 120 SIEM-Projekte erfolgreich umgesetzt. Ein Ergebnis aus der jahrelangen Begleitung von SIEM-Projekten ist unsere eigene Use-Case Library mit derzeit mehr als 200 Use-Cases.<\/p>\n<p><strong>Haben Sie Fragen zum Thema SIEM Use Cases oder w\u00fcnschen Sie eine Beratung?\u00a0 <a href=\"https:\/\/testing.secuinfra.com\/contact\/\"><u>Kontaktieren Sie uns gerne!<\/u><\/a><\/strong><\/p>\n<p><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Worauf kommt es bei der Entwicklung von Use Cases an? Unser SIEM Experts Team beantwortet die 5 h\u00e4ufigsten Fragen zu diesem Thema.\u00a0\u00a0<\/p>\n","protected":false},"author":11,"featured_media":29140,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[67,66],"tags":[],"dpc_coauthors":[],"class_list":["post-29138","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-siem","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/29138","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=29138"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/29138\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/29140"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=29138"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=29138"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=29138"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=29138"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}