Wie startet man ein SOC- oder SIEM-Projekt?

News

SOC-Projekte sind komplex, Personalressourcen knapp und meist drängt die Zeit. Wo also beginnen? Am besten mit einem Workshop, in dem Angriffsszenarien definiert werden, mit denen das Unternehmen rechnen muss.

(Source: terreActive)

SOC (Organisation) & SIEM (Tool)

Damit ein SOC Incidents erkennen und darauf reagieren kann, ist ein SIEM notwendig. Das Security Incident & Event Management konsolidiert Logmeldungen aller relevanten Systeme und detektiert Incidents, die anschliessend durch das SOC-Team bearbeitet werden.

Zusammenhang SIEM & Use Cases

Bevor eine SIEM-Lösung implementiert werden kann, muss man wissen, mit welchen Attacken man rechnen muss und welche Use Cases für die Firma relevant sind. Ein Use Case (Anwendungsfall) definiert einen Angriff. Mehrere Cases werden durch eine Security-Monitoring-Lösung in Zusammenhang gebracht, um einen tatsächlichen Angriff auf die Infrastruktur zu erkennen. Für optimalen Schutz benötigt man zu jeder Phase der Cyber Kill Chain die passenden Use Cases. Konzentriert man sich nur auf einen Teil, erhöht sich das Risiko, dass ein Angriff unentdeckt bleibt und Schaden anrichtet.

Was passiert im Workshop?

Festlegung der schützenswerten Assets
Definition der Use Cases, abgestimmt auf Firmengegebenheiten, Compliance-Vorgaben und Ressourcen
Bedarfsermittlung von Logs, Tools und Ressourcen; Priorisierung
Output: Erstellen einer erste Projektskizze

Keine Zeit verlieren – Ressourcen clever einsetzen

CISOs sollten keine Zeit verlieren, indem sie selbst Use Cases definieren. Stattdessen können sie auf einen Datenstamm mit mehr als 200 Cases der terreActive zurückgreifen, entstanden aus der Erfahrung bereits realisierter Projekte. Nutzen Sie diese!