Wirksame Maßnahmen gegen Cyberattacken zu ergreifen ist entscheidend für Unternehmen, um in Zeiten wachsender Bedrohungen aus dem Cyberraum bestehen zu können. Innovative Tools unterstützen Cyber-Security-Verantwortliche und SOC-Teams dabei.

Die Bedrohungsszenarien für die Cybersicherheit entwickeln sich ständig weiter, wodurch die Security Operations Center (SOC) immer wichtiger werden, um Unternehmen dabei zu helfen, Cyberangriffe zu erkennen und darauf zu reagieren. Die SOC-Teams sind hier verantwortlich, Systeme und Netzwerke rund um die Uhr zu überwachen und auf sicherheitsrelevante Ereignisse zu reagieren. Ohne die richtigen Tools und Prozesse kann die Menge an Warnungen und Vorfällen aber schnell überwältigend werden.

Ein wichtiges Tool, das den SOC-Teams bei der effektiven Bewältigung ihrer Arbeitslast helfen kann, ist ein Ticket-System. In diesem Beitrag teile ich meine Erfahrungen im Umgang mit Ticket-Systemen in einem SOC, zeige die damit verbundenen Herausforderungen auf und erläutere die Möglichkeiten, die eine Integration in ein SIEM-System (Security Information and Event Management) zur Verbesserung der SOC-Abläufe bietet.

Was ist ein Ticket-System?

Ein Ticket-System ist eine Softwareanwendung, die eine strukturierte und organisierte Verfolgung und Verwaltung von Problemen oder Vorfällen wie z. B. Sicherheitswarnungen in einem SOC ermöglicht. Löst das SIEM-System einen Alarm aus, erstellt das Ticket-System dazu automatisch ein Ticket, welches relevante Informationen wie Uhrzeit und Datum des Alarms, den Indikator für die Gefährdung (Indicator of Compromise = IOC), den Schweregrad, das betroffene Asset und die von den SOC-Analysten ergriffenen Untersuchungsmaßnahmen protokoliert.

Arbeitsablauf und Integration in ein SIEM-System

Der Workflow eines Ticket-Systems in einem SOC umfasst in der Regel die folgenden Schritte:

1. Erzeugung von Alarmen: Alarme werden von einem SIEM-System oder anderen Sicherheitstools generiert, die potenzielle Sicherheitsvorfälle auf der Grundlage vordefinierter Regeln oder Anomalien erkennen.

2. Ticket-Erstellung: Über die Schnittstelle (API) zwischen dem SIEM und dem Ticket-System wird die Information über den Alarm an das Ticket-System übergeben. Daraufhin erstellt das Ticket-System ein neues Ticket.

3. Ticket-Zuweisung: Das Ticket wird einem SOC-Analysten oder einem Team zugewiesen, je nach Verfügbarkeit und Fachwissen.

4. Untersuchung und Reaktion: Der SOC-Analyst untersucht den Alarm und protokolliert das Ergebnis im Ticket.

5. Abschluss und Berichterstattung: Das Ticket wird geschlossen, sobald der Vorfall behoben oder eingedämmt wurde.

Vorteile der Integration in das SIEM-System

Die Einbindung eines Ticket-System in das SIEM-System hat viele Vorteile für Unternehmen. Es erleichtert die Bearbeitung von Sicherheitsvorfällen, verkürzt Reaktionszeiten und verbessert die Gesamteffizienz des SOC. Zudem bietet die Integration die Möglichkeit, die Fähigkeiten beider Systeme optimal zu nutzen.

Das Ticket-System fungiert als zentrale Plattform zur Verfolgung und Verwaltung von Vorfällen, während das SIEM-System hilft, Vorfälle entsprechend ihrer Schwere zu erkennen und zu priorisieren.

Mögliche Herausforderungen bei der Integration

Trotz dieser offensichtlichen Vorteile unterschätzen viele Unternehmen die Herausforderungen, die mit der Entwicklung einer Schnittstelle zwischen Ticket-System und SIEM-System einhergehen. Dazu gehören:

• Komplexität der Integration

Eine der größten Herausforderungen bei der Integration eines Ticket-Systems in ein SIEM-System ist die Komplexität der Integration. Die Verbindung zweier unterschiedlicher Systeme erfordert eine sorgfältige Planung und Ausführung, um sicherzustellen, dass der Vorgang korrekt durchgeführt wird. Daher ist eine enge Zusammenarbeit zwischen IT- und Sicherheitsteams notwendig, um die Integration erfolgreich umzusetzen.

• Daten-Mapping

Eine weitere Herausforderung ist die Datenzuordnung. Die Daten aus dem SIEM-System müssen dem Ticket-System zugeordnet werden, was eine Herausforderung sein kann, wenn die Systeme unterschiedliche Datenformate verwenden. Unternehmen sollten sicherstellen, dass die Datenzuordnung exakt ist, um Datenverluste oder falsche Daten zu vermeiden.

• Workflow

Der Workflow zwischen dem Ticket-System und dem SIEM-System muss klar definiert und rationalisiert werden, um ein effizientes Incident Management zu gewährleisten. Unternehmen sollten den Arbeitsablauf so gestalten, dass er mit ihren Prozessen zur Reaktion auf Vorfälle übereinstimmt und ihren spezifischen Anforderungen entspricht.

• System-Kompatibilität

Das Ticket-System und das SIEM müssen miteinander kompatibel sein. Unternehmen sollten daher sicherstellen, dass beide Systeme überhaupt miteinander kommunizieren können.

• Wartung und Support

Sobald die Integration eingerichtet ist, muss sie laufend gewartet und unterstützt werden, um zu gewährleisten, dass sie weiterhin ordnungsgemäß funktioniert. Unternehmen benötigen dafür die notwendigen Ressourcen und Fachkenntnisse.

Quelle Titelbild: Adobe Stock / gankevstock