Security Operation Center im Einsatz

Die Sensorenebene entspricht hierbei dem Output der Security-Assets, also den Logfiles. Da diese von Asset zu Asset sowie in Inhalt, Format und Aussagekraft stark variieren, muss nach Empfang der Events in der SIM-Applikation erst einmal dafür gesorgt werden, dass die Daten normiert werden und revisionssicher im Urformat abgespeichert werden. Nach der Normierung der Daten werden irrelevante Informationen herausgefiltert und eliminiert, die Daten werden „entrauscht“. Danach müssen die Daten ein Regelwerk durchlaufen, das entscheidet, wann ein Alarm ausgelöst wird. Dies kann geschehen, wenn ein bestimmter Schwellwert überschritten wird, also zum Beispiel der Durchschnitt herausgefilterter Viren oder die Rate fehlerhafter Logins sprunghaft ansteigt (Brute Force Attack), prioritätsbehaftete Events auftreten (etwa IDS-Alarme höchster Priorität), bestimmte Aktivitäten verstärkt geblockt werden müssen (etwa Portscans) oder wenn eine Kombination von Ereignissen zu einem eigenen Event führt (beispielsweise Portscan plus IDS-Alarm).

Wissen schlägt Technik

Der Einsatz einer SIM-Applikation besteht aber nur zu 20 Prozent aus Technik, 80 Prozent sind Wissen, Analyse und Planung. Selbst mit der Erarbeitung eines noch so klugen Regelwerks ist es nicht getan, denn die SOC-Mitarbeiter müssen in die Lage versetzt werden, Ereignisse schnell zu erkennen und festzustellen, woher sie stammen. Zusatzinformationen, die für die Steuerung der Einsatzkräfte notwendig sind, sollten gleich mitgeliefert werden. Dies geschieht am besten durch Webportale, die grafisch den Sicherheitszustand und die Alarme wiedergeben. Nur so lassen sich auch unterschiedlichste Betrachtungsweisen für die unterschiedlichsten Rollen im Unternehmen darstellen:

Vorstand/Geschäftsführung: globale, vereinfachte Sicht,

CSO: Übersicht der Gesamtsituation mit Trends und Statistiken,

SOC-Firewall-Leitstand: Übersicht aller Firewalls,

SOC-Intrusion-Leitstand: Übersicht aller IPS/IDS,