PwC SIEM Health Check

21 Oktober, 2019

Qualitative Analyse von SIEM-Systemen

Der SIEM Health Check Service besteht aus einer umfassenden Analyse des aktuellen Stands der SIEM-Implementierung. Der Service ist herstellerunabhängig und kann auf jedes SIEM-Produkt angewendet werden. Als Teil des Service werden eine Reihe von speziellen Prüfungen durchgeführt.

Die Prüfungen sind in folgende Bereiche unterteilt:

  • Architektur – Beurteilung, ob die aktuelle Architektur des SIEM-Systems die Anforderungen des Anbieters und die Best Practices der Branche widerspiegeln. Prüfung, ob sie den Bedürfnissen des Kunden und den Empfehlungen von PwC entspricht.
  • Datenquellen – Bewertung der Vollständigkeit und Qualität der derzeit mit dem SIEM-System verbundenen Datenquellen und der Verfahren zur Verfolgung des Status der Datenquellen.
  • Funktionale Konfiguration – Beurteilung der Qualität der funktionalen Konfiguration des SIEM-Systems
  • Lizenz und aktuelle Nutzung – Bewertung der betrieblichen Nützlichkeit des aktuellen Zustands des SIEM-Systems und der Status der Genehmigungen.

Service und Vorteile

Der Zweck des SIEM Health Check Service ist es, Wissen über die Qualität der bestehenden Implementierung des SIEM-Systems zu vermitteln und zu verstehen, welche Bereiche verbessert werden können.

Im Einzelnen umfasst der Service folgende Aspekte:

  • Identifizierung potenzieller Probleme und Engpässe im Zusammenhang mit der Architektur, Bewertung ihrer Auswirkungen auf das System und Empfehlungen zu deren Behebung.
  • Bewertung der aktuellen Abdeckung von Datenquellen, Identifizierung potenzieller damit zusammenhängender Probleme (zum Beispiel unsachgemäße Datenabdeckung, Verlust von Protokollereignissen, unsachgemäße Datenfilterung) und Empfehlung, wie diese behoben werden können.
  • Bewertung der funktionalen Konfiguration des SIEM-Systems. Bewertung der Qualität von aktuell implementierten Use Cases (Korrelationsregeln und andere Erkennungsmechanismen), Berichten, Dashboards, Warnungen und so weiter und Empfehlung zur Lösung potenzieller Probleme.
  • Bewertung der aktuellen Nutzung des SIEM-Systems im gesamten Unternehmen, um zu verstehen, wie es von SOC, der Sicherheitsabteilung und anderen potenziellen Interessengruppen genutzt wird.
  • Bewertung der aktuellen Lizenznutzung und Identifizierung, ob die SIEM-Kosten dem Wert entsprechen, den die SIEM-Protokolle für den SOC-Betrieb bringen.

Engagement-Ergebnisse

Als Ergebnis der Dienstleistung wird ein umfassender Bericht erstellt, der eine Zusammenfassung der durchgeführten Kontrollen, Schlussfolgerungen und Empfehlungen enthält.

Die Prüfungen

Architektur

Ziel dieser Prüfungen ist es, die aktuelle Architektur des SIEM-Systems zu beurteilen. Insbesondere beinhalten die Prüfungen die Analyse von:

  1. Der gesamten SIEM-Architektur.
  2. Design und Implementierung der Kernsystemkomponenten.
  3. Design und Implementierung der Komponenten der Datenerfassungsebene des Systems.
  4. Leistung der SIEM-Systemkomponenten.
  5. Design und Implementierung des Backup-Prozesses.
  6. Konfiguration der Kommunikation zwischen den SIEM-Komponenten.
  7. Protokolle der SIEM-Systemkomponenten, um architekturbezogene Probleme zu identifizieren.

View more

Datenquellen

Ziel dieser Prüfungen ist es, die Vollständigkeit und Qualität der derzeit an das SIEM-System angeschlossenen Datenquellen zu beurteilen. Insbesondere beinhalten die Prüfungen:

  1. Bewertung, ob das Master Log Requirement (MLR) Dokument bereits definiert/implementiert ist.
  2. Bewertung, ob die Liste der wertvollsten IT-Ressourcen bereits definiert und gepflegt ist (sogenannte „Kronjuwelen“-Assets, SOX, ICOFR und GDPR-bezogene Assets).
  3. Analyse der Konfiguration von Auditprotokollen auf Datenquellen.
  4. Analyse der Ereignisfilterung im Hinblick auf die Lizenznutzung
  5. Analyse des Prozesses der Datenquellenverfolgung
  6. Analyse zusätzlicher SIEM-Datenfeeds (zum Beispiel Blacklists mit TOR-IP-Adressen, Threat Intelligence Feeds).
  7. Analyse von benutzerdefinierten Datenquellen-Parsern und Identifizierung von Problemen beim Log-Parsing.
  8. Überprüfung der Protokolle der SIEM-Systemkomponenten, um datenquellenbezogene Probleme zu identifizieren.

View more

Funktionale Konfiguration

Ziel dieser Kontrollen ist es, die Qualität der funktionalen Konfiguration des SIEM zu beurteilen. Insbesondere beinhalten die Prüfungen:

  1. Analyse der aktuell implementierten Use Cases / Korrelationsregeln
  2. Analyse der Statistiken für die aktuell implementierten Anwendungsfälle
  3. Bewertung der Qualität und Leistung von aktuell implementierten Dashboards
  4. Bewertung der Qualität und Leistung der aktuell implementierten Berichte
  5. Bewertung, ob es externe Threat Intelligence Feeds oder andere bereits integrierte benutzerdefinierte Listen gibt, um den SIEM-Inhalt zu erweitern
  6. Bewertung, ob eine Integration mit einem der Drittsysteme, zum Beispiel CMDB oder Ticketing-System besteht

View more

Lizenz und aktuelle Nutzung

Ziel dieser Prüfungen ist es, den operativen Nutzen des aktuellen Zustands von SIEM und der Lizenznutzung zu beurteilen. Insbesondere beinhalten die Prüfungen:

  1. Analyse der täglichen Nutzung der SIEM-Lösung
  2. Bewertung, ob IT-Vorfälle auftreten, basierend auf Informationen, die von der SIEM-Lösung generiert wurden
  3. Analyse der erworbenen SIEM-Lizenz/-Abonnement

View more

Contact us

Achim Schäfer

Achim Schäfer

Partner, Cyber Security & Privacy, PwC Germany

Tel.: +49 69 9585-1022

Thomas Klir

Thomas Klir

Manager Cyber Security & Privacy, PwC Germany

Tel.: +49 69 9585-3481

Follow us