Architektur
Ziel dieser Prüfungen ist es, die aktuelle Architektur des SIEM-Systems zu beurteilen. Insbesondere beinhalten die Prüfungen die Analyse von:
- Der gesamten SIEM-Architektur.
- Design und Implementierung der Kernsystemkomponenten.
- Design und Implementierung der Komponenten der Datenerfassungsebene des Systems.
- Leistung der SIEM-Systemkomponenten.
- Design und Implementierung des Backup-Prozesses.
- Konfiguration der Kommunikation zwischen den SIEM-Komponenten.
- Protokolle der SIEM-Systemkomponenten, um architekturbezogene Probleme zu identifizieren.
Datenquellen
Ziel dieser Prüfungen ist es, die Vollständigkeit und Qualität der derzeit an das SIEM-System angeschlossenen Datenquellen zu beurteilen. Insbesondere beinhalten die Prüfungen:
- Bewertung, ob das Master Log Requirement (MLR) Dokument bereits definiert/implementiert ist.
- Bewertung, ob die Liste der wertvollsten IT-Ressourcen bereits definiert und gepflegt ist (sogenannte „Kronjuwelen“-Assets, SOX, ICOFR und GDPR-bezogene Assets).
- Analyse der Konfiguration von Auditprotokollen auf Datenquellen.
- Analyse der Ereignisfilterung im Hinblick auf die Lizenznutzung
- Analyse des Prozesses der Datenquellenverfolgung
- Analyse zusätzlicher SIEM-Datenfeeds (zum Beispiel Blacklists mit TOR-IP-Adressen, Threat Intelligence Feeds).
- Analyse von benutzerdefinierten Datenquellen-Parsern und Identifizierung von Problemen beim Log-Parsing.
- Überprüfung der Protokolle der SIEM-Systemkomponenten, um datenquellenbezogene Probleme zu identifizieren.
Funktionale Konfiguration
Ziel dieser Kontrollen ist es, die Qualität der funktionalen Konfiguration des SIEM zu beurteilen. Insbesondere beinhalten die Prüfungen:
- Analyse der aktuell implementierten Use Cases / Korrelationsregeln
- Analyse der Statistiken für die aktuell implementierten Anwendungsfälle
- Bewertung der Qualität und Leistung von aktuell implementierten Dashboards
- Bewertung der Qualität und Leistung der aktuell implementierten Berichte
- Bewertung, ob es externe Threat Intelligence Feeds oder andere bereits integrierte benutzerdefinierte Listen gibt, um den SIEM-Inhalt zu erweitern
- Bewertung, ob eine Integration mit einem der Drittsysteme, zum Beispiel CMDB oder Ticketing-System besteht
Lizenz und aktuelle Nutzung
Ziel dieser Prüfungen ist es, den operativen Nutzen des aktuellen Zustands von SIEM und der Lizenznutzung zu beurteilen. Insbesondere beinhalten die Prüfungen:
- Analyse der täglichen Nutzung der SIEM-Lösung
- Bewertung, ob IT-Vorfälle auftreten, basierend auf Informationen, die von der SIEM-Lösung generiert wurden
- Analyse der erworbenen SIEM-Lizenz/-Abonnement