Bevor wir uns den technischen Tipps zuwenden, die ich in meinem letzten Beitrag erwähnt habe, möchte ich einen wichtigen Punkt ansprechen. Wenn Sie sich bei der Überwachung der Sicherheit von Active Directory (AD) - insbesondere im Hinblick auf potenzielle Cybersecurity-Angriffe - ausschließlich auf Tools für das Sicherheitsinformations- und Ereignis-Management (SIEM) verlassen, erhalten Sie möglicherweise kein vollständiges Bild davon, was in Ihrem Netzwerk und auf Ihren Systemen vor sich geht.
Was sind SIEM-Tools?
SIEM-Tools sammeln, zentralisieren und analysieren verschiedene Netzwerk-, System-, Anwendungs- und andere Protokolle. Viele Ereignisprotokolle produzieren eine überwältigende Menge an Daten. SIEM-Tools können unglaublich nützlich sein, um einen einheitlichen Überblick über protokollierte Ereignisse zu erhalten.
Viele Unternehmen verlassen sich auf SIEM-Tools, um Sicherheitsprotokolle auf potenziell bösartiges Verhalten zu überprüfen, einschließlich Bedrohungen für AD. Beliebte SIEM-Tools sind Splunk und Microsoft Sentinel.
Warum sollten Sie sich bei der AD-Sicherheit nicht auf SIEM-Tools verlassen?
Ein Problem, wenn man sich bei der AD-Überwachung auf SIEM-Tools verlässt, ist, dass Cyberangreifer geschickt darin geworden sind, AD-Sicherheitsprotokolle zu umgehen. DCShadow ist nur ein Beispiel für einen solchen Cyberangriff. Hier sind weitere Nachteile einer reinen SIEM-Strategie:
- Einschränkungen bei der Datenerfassung: SIEMs sammeln und analysieren nur Daten, die an sie weitergeleitet werden. Dieser Datensatz enthält möglicherweise nicht alles, was von einem Netzwerk oder System erzeugt wird. Viele Anwendungen und Dienste verfügen nicht über integrierte Funktionen zur Erstellung von Warnmeldungen oder Ereignissen. Selbst diejenigen, die über solche Funktionen verfügen, erzeugen möglicherweise nicht für alle Arten von Aktionen oder Konfigurationsänderungen Warnmeldungen. So werden beispielsweise der Zugriff auf und Änderungen an virtuellen Maschinen (VMs) möglicherweise nicht protokolliert. Diese Einschränkungen führen zu einer unvollständigen Transparenz und Sicherheitsüberwachung.
- Konfigurationsfehler: SIEMs müssen richtig konfiguriert sein, um Daten effektiv zu analysieren und aussagekräftige Informationen zu liefern. Wir alle wissen, wie langwierig und komplex ein solcher Prozess sein kann. Konfigurationsfehler und Fehlkonfigurationen können dazu führen, dass Daten nicht oder falsch analysiert werden, was zu einer eingeschränkten Sicht auf die Netzwerkaktivitäten führt.
- Herausforderungen bei der Datenverarbeitung: Einige SIEMs können nicht alle Arten von Daten verarbeiten, was zu Lücken in der Sicherheitsüberwachung führt.
- Unvollständige Bedrohungsdaten: SIEMs verlassen sich oft auf Threat Intelligence Feeds, um bekannte Bedrohungen zu erkennen. Diese Feeds sind jedoch nicht immer umfassend oder aktuell.
- Falsche Positivmeldungen: SIEMs können Fehlalarme erzeugen. Diese können von echten Sicherheitsproblemen ablenken und die Gesamtwirksamkeit des SIEMs verringern.
- Nicht sicherheitsorientiert: Viele Anwendungen und Dienste erzeugen Ereignisprotokolle, die nicht für die Sicherheit konzipiert wurden. Erstellte Ereignisse können kryptisch sein und die wahre Natur des auslösenden Ereignisses verschleiern.
- Begrenzter Kontext: SIEMs bieten in der Regel nur eine begrenzte Menge an Kontext für Sicherheitsereignisse. Dieser Mangel an Kontext kann es schwierig machen, den vollen Umfang eines Sicherheitsproblems zu verstehen oder eine Ursachenanalyse durchzuführen.
Wie Sie die Wirksamkeit von SIEM-Tools erweitern können
Um diese Einschränkungen zu umgehen, sollten SIEM-Tools als Teil einer größeren Sicherheitsstrategie eingesetzt werden. Kombinieren Sie SIEM mit anderen Sicherheitstechnologien wie Firewalls, Intrusion Detection Systemen und Endpunktschutzsoftware. Und um einen umfassenden Überblick über die AD-Sicherheit zu erhalten, sollten Sie unbedingt ein spezielles AD-Überwachungstool einsetzen. Semperis Directory Services Protector ( DSP) zum Beispiel lässt sich problemlos in SIEM-Tools integrieren.