SIEM: Top 10 Fehler bei der Umsetzung.

Ein SIEM ist hochkomplex, ohne ein sehr tiefes Wissen über die Log-Quellen, deren Inhalt und dem Können, auch ohne "Hersteller Lösungen" die teils absurd komplizierten Datenströme mit eigenen Decodern zu parsen und entsprechende Regeln zu kreieren, lassen SIEM Projekte oftmals scheitern. Doch auch mit einem intensiven Wissen zu den Daten-Quellen, lässt sich ein SIEM oft nicht realisieren, wenn ein umfangreiches Asset-Management fehlt.

Meine Top-10 Fehler bei einem SIEM Projekt sollen einen Überblick geben, worauf besonders zu achten ist.

1. Kein Asset-Management bzw. kein vollständiges Inventar
   Was man nicht kennt und nicht einordnen kann, lässt sich auch nicht überwachen.
2. Kein Wissen über die Log-Quellen und deren Inhalt
   Selbst das beste SIEM kann einem nicht weiterhelfen, wenn die Fachabteilungen den Inhalt der Logs und Datenströme nicht kennt. Doch dieses Wissen muss „sprudeln“ und ins kleinste Detail bekannt und dokumentiert sein.
3. Falsche Vorstellung der Datenanbindung eines SIEMs
   Zu glauben, dass man einfach einen Agenten installiert, um man ist "up and running", der irrt gewaltig! Es bedürfen komplexe Lösungen, um Herr über die unterschiedlichsten Datenströme zu werden. Diese Lösungen erzwingen zahlreiche weitere Tools und Implementierungen. Fokussiert und nach und nach sollten die Themen abgearbeitet werden. Alles „auf einmal“, endet in ein Chaos (und finanzielles Fiasko).
4. Falsche Infrastruktur der SIEM Plattform
   Je größer eine zu überwachende Infrastruktur ist, umso größer wird auch die SIEM Infrastruktur sein müssen. „Mal eben“ eine kleine VM aufsetzen, ist grob falsch.
5. CLOUD Lösung im Einsatz, ohne den Durchsatz berücksichtigt zu haben. Flaschenhals - Internetleitung
   Manche Unternehmen, mit hunderten bis tausenden Assets On-Premises, transferieren Ihre Datenströme an ein Cloud SIEM. Doch Achtung: Ist die Bandbreite der genutzten Leitung zu schwach, so kann das SIEM weder die Datenmengen effektiv bearbeiten, noch haben andere Services Kapazitäten frei.
6. Falsche Vorstellung über den Einsatzzweck eines SIEMs
   Auch wenn ein SIEM Logdaten verarbeitet, so ist es kein Log-Management, welches zum technischen Troubleshooting genutzt werden soll. Auch ist ein Deployment eines Agenten nicht der finale Step! Vielmehr bedarf es ein rigoroses Tuning und maßgeschneiderte Anpassungen an die eigene Infrastruktur.
7. Kein Hersteller-Support
   SIEM Software ist immer komplex und niemals fehlerfrei. Selbst das beste SIEM Team muss bei Bedarf, direkten Kontakt mit dem Hersteller haben, um erweiterten Support zu erhalten.
8. Keine saubere Test-Instanz
   Bevor man ein Asset an das produktive SIEM anbindet, müssen vorab diese Assets bzw. die Asset-Klassen intensiv in einer Testumgebung getestet werden. Hierzu gehören auch das Testen der Log-Quellen, der Decoder, der Regeln und Alarme. Die zu testenden Fälle sollten genau dokumentiert und allen Beteiligten bekannt sein.
9. Keine Zeit bei der Implementierung
   Ob nun der Kunde keine Zeit aufbringen kann, sich intensiv um die Datenströme und der schrittweisen Bearbeitung der Asset-Klassen zu kümmern oder ob er das Projekt unter großen Zeitdruck fertig haben möchte, beides ist ein No-Go. Die Lösung ist mit Sachverstand und Geduld ein SIEM zu realisieren!
10. Zu große Dienstleister Teams
    Externe Hilfe ist wichtig, doch sollte man die Auslagerung eines SIEM Projektes nicht an der Größe des Dienstleisters festmachen. Vielmehr ist ein kleiner Dienstleister evtl. sinniger (bzw. kleineres Team), welcher mit Geduld und Expertise das IT-Team des Kunden nach und nach unterrichtet und gemeinsam das Projekt finalisiert. Denn, der Kunde muss „später“ das SIEM vollumfänglich bedienen und verstehen können … nicht der Dienstleister. Tut man das nicht, läuft man Gefahr, dass das SIEM zwar schneller „fertig“ ist, aber nicht verstanden wird und man eine pseudo Sicherheit hat.