PwC SIEM Health Check
Qualitative Analyse von SIEM-Systemen
Der SIEM Health Check Service besteht aus einer umfassenden Analyse des aktuellen Stands der SIEM-Implementierung. Der Service ist herstellerunabhängig und kann auf jedes SIEM-Produkt angewendet werden. Als Teil des Service werden eine Reihe von speziellen Prüfungen durchgeführt.
Die Prüfungen sind in folgende Bereiche unterteilt:
- Architektur – Beurteilung, ob die aktuelle Architektur des SIEM-Systems die Anforderungen des Anbieters und die Best Practices der Branche widerspiegeln. Prüfung, ob sie den Bedürfnissen des Kunden und den Empfehlungen von PwC entspricht.
- Datenquellen – Bewertung der Vollständigkeit und Qualität der derzeit mit dem SIEM-System verbundenen Datenquellen und der Verfahren zur Verfolgung des Status der Datenquellen.
- Funktionale Konfiguration – Beurteilung der Qualität der funktionalen Konfiguration des SIEM-Systems
- Lizenz und aktuelle Nutzung – Bewertung der betrieblichen Nützlichkeit des aktuellen Zustands des SIEM-Systems und der Status der Genehmigungen.
Service und Vorteile
Der Zweck des SIEM Health Check Service ist es, Wissen über die Qualität der bestehenden Implementierung des SIEM-Systems zu vermitteln und zu verstehen, welche Bereiche verbessert werden können.
Im Einzelnen umfasst der Service folgende Aspekte:
- Identifizierung potenzieller Probleme und Engpässe im Zusammenhang mit der Architektur, Bewertung ihrer Auswirkungen auf das System und Empfehlungen zu deren Behebung.
- Bewertung der aktuellen Abdeckung von Datenquellen, Identifizierung potenzieller damit zusammenhängender Probleme (zum Beispiel unsachgemäße Datenabdeckung, Verlust von Protokollereignissen, unsachgemäße Datenfilterung) und Empfehlung, wie diese behoben werden können.
- Bewertung der funktionalen Konfiguration des SIEM-Systems. Bewertung der Qualität von aktuell implementierten Use Cases (Korrelationsregeln und andere Erkennungsmechanismen), Berichten, Dashboards, Warnungen und so weiter und Empfehlung zur Lösung potenzieller Probleme.
- Bewertung der aktuellen Nutzung des SIEM-Systems im gesamten Unternehmen, um zu verstehen, wie es von SOC, der Sicherheitsabteilung und anderen potenziellen Interessengruppen genutzt wird.
- Bewertung der aktuellen Lizenznutzung und Identifizierung, ob die SIEM-Kosten dem Wert entsprechen, den die SIEM-Protokolle für den SOC-Betrieb bringen.
Engagement-Ergebnisse
Als Ergebnis der Dienstleistung wird ein umfassender Bericht erstellt, der eine Zusammenfassung der durchgeführten Kontrollen, Schlussfolgerungen und Empfehlungen enthält.
Die Prüfungen
- Architektur
- Datenquellen
- Funktionale Konfiguration
- Lizenz und aktuelle Nutzung
Architektur
Ziel dieser Prüfungen ist es, die aktuelle Architektur des SIEM-Systems zu beurteilen. Insbesondere beinhalten die Prüfungen die Analyse von:
- Der gesamten SIEM-Architektur.
- Design und Implementierung der Kernsystemkomponenten.
- Design und Implementierung der Komponenten der Datenerfassungsebene des Systems.
- Leistung der SIEM-Systemkomponenten.
- Design und Implementierung des Backup-Prozesses.
- Konfiguration der Kommunikation zwischen den SIEM-Komponenten.
- Protokolle der SIEM-Systemkomponenten, um architekturbezogene Probleme zu identifizieren.
Datenquellen
Ziel dieser Prüfungen ist es, die Vollständigkeit und Qualität der derzeit an das SIEM-System angeschlossenen Datenquellen zu beurteilen. Insbesondere beinhalten die Prüfungen:
- Bewertung, ob das Master Log Requirement (MLR) Dokument bereits definiert/implementiert ist.
- Bewertung, ob die Liste der wertvollsten IT-Ressourcen bereits definiert und gepflegt ist (sogenannte „Kronjuwelen“-Assets, SOX, ICOFR und GDPR-bezogene Assets).
- Analyse der Konfiguration von Auditprotokollen auf Datenquellen.
- Analyse der Ereignisfilterung im Hinblick auf die Lizenznutzung
- Analyse des Prozesses der Datenquellenverfolgung
- Analyse zusätzlicher SIEM-Datenfeeds (zum Beispiel Blacklists mit TOR-IP-Adressen, Threat Intelligence Feeds).
- Analyse von benutzerdefinierten Datenquellen-Parsern und Identifizierung von Problemen beim Log-Parsing.
- Überprüfung der Protokolle der SIEM-Systemkomponenten, um datenquellenbezogene Probleme zu identifizieren.
Funktionale Konfiguration
Ziel dieser Kontrollen ist es, die Qualität der funktionalen Konfiguration des SIEM zu beurteilen. Insbesondere beinhalten die Prüfungen:
- Analyse der aktuell implementierten Use Cases / Korrelationsregeln
- Analyse der Statistiken für die aktuell implementierten Anwendungsfälle
- Bewertung der Qualität und Leistung von aktuell implementierten Dashboards
- Bewertung der Qualität und Leistung der aktuell implementierten Berichte
- Bewertung, ob es externe Threat Intelligence Feeds oder andere bereits integrierte benutzerdefinierte Listen gibt, um den SIEM-Inhalt zu erweitern
- Bewertung, ob eine Integration mit einem der Drittsysteme, zum Beispiel CMDB oder Ticketing-System besteht
Lizenz und aktuelle Nutzung
Ziel dieser Prüfungen ist es, den operativen Nutzen des aktuellen Zustands von SIEM und der Lizenznutzung zu beurteilen. Insbesondere beinhalten die Prüfungen:
- Analyse der täglichen Nutzung der SIEM-Lösung
- Bewertung, ob IT-Vorfälle auftreten, basierend auf Informationen, die von der SIEM-Lösung generiert wurden
- Analyse der erworbenen SIEM-Lizenz/-Abonnement
Auch interessant
Follow us
Contact us
