Hva er SIEM, og når SMB-en din trenger en

De fleste norske SMB-er trenger ikke et eget SIEM. Her ser vi på når dere trenger ett, og hva dere gjør når dere ikke gjør det.

Et SIEM (security information and event management) er et system som samler logger fra hele stacken, korrelerer dem og slår ut alarm når mønsteret ligner en hendelse. Kategorien er reell, og bruksområdene er reelle. Samtidig kjøper SMB-er for mye av denne typen verktøy, fordi måten det selges på er rettet mot store virksomheter som har et 24/7-analytikerteam til å lese det SIEM-et produserer.

Har du IT-ansvar i et norsk foretak med 30 til 100 ansatte og lurer på om dere skal anskaffe ett, er denne guiden skrevet til dere.

1. Hva et SIEM gjør

Et SIEM gjør tre ting, i rekkefølge.

Først henter det inn logger fra mange kilder: endepunkter, brannmurer, identitetsleverandør, skytjenester, servere. Deretter normaliserer og lagrer det dem, ofte i et år eller mer. Til slutt kjører det deteksjonsregler og trusseletterretning mot strømmen, og varsler et menneske når en regel utløses.

Det tredje steget avgjør om SIEM-et var verdt pengene. Uten en analytiker som leser alarmene, blir de to første stegene et dyrt loggarkiv.

2. Hva EDR-en allerede dekker

En EDR-plattform (endpoint detection and response) som CrowdStrike Falcon gjør allerede mye av det en SMB ønsker fra et SIEM, men på endepunkts- og identitetslaget.

Falcon Insight XDR korrelerer endepunktatferd med identitet og innlogginger fra sky, kjører deteksjonsregler kontinuerlig og løfter reelle hendelser opp gjennom CrowdStrike Falcon Complete Next-Gen MDR-teamet. I et norsk foretak under hundre ansatte er det laptopene, serverne og identitetsleverandøren som fanger 80 prosent av angriperaktiviteten som er verdt å oppdage. Kjøper dere et eget SIEM for å se på den samme telemetrien, betaler dere to ganger for samme signal.

Vi skrev om hvorfor vi valgte plattformen i hvorfor vi valgte CrowdStrike Falcon, og hva lagene under består av i hva Falcon-plattformen er. Kortversjonen: ligger Falcon på endepunktene, er spørsmålene et SIEM finnes for å svare på, stort sett allerede besvart.

3. Kriteriene som vipper dere over i “ja, dere trenger et”

Det finnes tre ærlige grunner til at en SMB kjøper et SIEM. Ingen av dem er “vi føler oss sårbare”.

Regulatorisk loggoppbevaring. Enkelte sektorregler og kundekontrakter (DORA, NIS2 for samfunnsviktige tjenester, større ISO 27001-revisjoner, amerikanske kunder som ber om SOC 2 Type 2) krever søkbar loggoppbevaring i ett år eller mer på tvers av systemer EDR-en ikke ser: brannmurer, nettverksutstyr, SaaS-apper, fagsystemer. ISO 27001:2022 kontroll 8.15 (logging) og 8.16 (overvåking) nevner ikke SIEM ved navn, men forventer logger som produseres, beskyttes, gjennomgås og handles på. I liten skala kan en dokumentert manuell gjennomgang gå klar. I større skala trenger dere et verktøy.

Korrelasjon på tvers av mange kilder i skala. Har stacken deres mange kilder utenfor endepunktene (skylast i tre regioner, en egenutviklet betalingsplattform, nettverksbokser, OT, mange SaaS-apper med sikkerhetsrelevante logger), og en angrepskjede vil krysse de kildene før den treffer en laptop, har endepunkt-sentrert dekning et reelt hull. Et SIEM lukker det hullet.

En moden SOC. Har dere, eller skal dere kjøpe, en reell sikkerhetsoperasjonsfunksjon som leser alarmer kontinuerlig, er SIEM-et det den funksjonen leser. Uten det teamet blir SIEM-et ulest.

Treffer ingen av disse tre kriteriene dere, stopp her. Dere trenger ikke et SIEM. Finstill EDR-en og gå videre.

4. Hvordan Falcon-stacken håndterer SIEM-jobben

Treffer ett av de tre kriteriene, er neste spørsmål hva dere skal kjøpe.

CrowdStrike Falcon Next-Gen SIEM (det gjeldende produktnavnet, bygd på loggmotoren som startet som Humio og senere ble omdøpt til Falcon LogScale) er FM CyberSecuritys anbefalte vei for kunder som allerede kjører Falcon. Begrunnelsen er driftsteknisk og handler ikke om salgsargumenter. Endepunkt- og identitetstelemetri ligger allerede i Falcon-bakenden. Legger dere brannmur, nettverk, sky og SaaS-logger inn på samme sted, slipper dere integrasjonsavgiften ved å lime et tredjeparts-SIEM mot en separat EDR. Deteksjoner som spenner over endepunkt og kilder utenfor endepunkt, kjører i én motor.

Flere SIEM-er fungerer. Poenget vårt handler om noe annet: det billigste SIEM-prosjektet, når dere først trenger et, er det som henter inn data dere allerede ruter.

5. Hva dere gjør denne uken

Kjør de fire sjekkene under før dere snakker med en eneste SIEM-leverandør.

• List opp sikkerhetsrelevante loggkilder utenfor endepunkt- og identitetsstacken. Skriv dem ned på én side.
• Hent fram kontraktene og regelverket som styrer oppbevaringskravet. Noter den eksakte oppbevaringsperioden som kreves, og av hvem.
• Åpne Falcon-konsollen (eller den EDR-en dere kjører) og noter ned hva den allerede korrelerer. Sammenlign mot hullet på enkeltsiden.
• Avgjør om hullet er reelt, eller om en finstilt EDR og en dokumentert manuell loggjennomgang holder for revisjonen.

Er hullet reelt og gjentakende, er dere i SIEM-territorium. Hvis ikke, har dere nettopp spart dere et seksifret prosjekt. Vi ser begge utfall omtrent like ofte i avgrensningsoppdrag for SMB-er.

Neste steg

Ta kontakt med Kenny i deteksjons- og responspraksisen vår for et avgrensningsmøte på én time. Vi ser på loggkildene, oppbevaringsregelverket og den eksisterende EDR-dekningen, og sier rett ut om dere trenger et SIEM, hva det vil koste, og om Falcon Next-Gen SIEM eller en finstilt EDR er rett svar. Vi selger anbefalingen og ikke SKU-en.

FAQ

Må vi ha et SIEM for ISO 27001?

ISO 27001:2022 nevner ikke SIEM ved navn. Annex A-kontrollene 8.15 (logging) og 8.16 (overvåking) krever at dere produserer, beskytter, gjennomgår og handler på logger på tvers av systemene i omfanget. I liten skala kan en dokumentert manuell gjennomgang av veldefinerte loggkilder bestå sertifiseringen. I større skala, eller når omfanget rommer mange kilder utenfor endepunktene, blir et SIEM den praktiske måten å dokumentere kontrollene på. Bestem dere for loggkilder og oppbevaring først, så velger dere verktøy.

Er Microsoft Sentinel et SIEM?

Ja. Microsoft Sentinel er et skynativt SIEM i Microsofts stack, og altså ett av flere reelle alternativer. Vi argumenterer ikke mot noen bestemt leverandør her. Vi argumenterer for at en norsk SMB under hundre ansatte, der angrepsflaten lever på laptoper og identitet, ofte ender opp med et eget SIEM (uansett leverandør) som blir kostnad og kompleksitet EDR-en allerede dekker. Trenger dere et SIEM, velg det som ligger nærmest dataene dere allerede har.

Hva med oppbevaringskrav for compliance?

Dette er den reneste grunnen til at en SMB ender opp med et SIEM. Krever en kundekontrakt, en sektorregel (DORA, NIS2 for samfunnsviktige tjenester, sektorspesifikke forventninger fra Finanstilsynet) eller en SOC 2 Type 2-forpliktelse søkbar oppbevaring på tvers av systemer utenfor endepunktene i ett år eller mer, hører jobben hjemme i et SIEM. EDR-ens oppbevaringsvindu er kortere og avgrenset til endepunkt og identitet. Skriv oppbevaringskravet ned på papir, i antall måneder, før dere dimensjonerer et verktøy.

Hva er Falcon Next-Gen SIEM?

CrowdStrikes SIEM-tilbud, bygd på loggmotoren som opprinnelig het Humio og senere ble omdøpt til Falcon LogScale. CrowdStrike markedsfører hele SIEM-produktet som Falcon Next-Gen SIEM. Det henter inn logger fra tredjepartskilder ved siden av Falcons egen endepunkts-, identitets- og skytelemetri, og kjører deteksjoner i samme bakende som EDR-en. For kunder som allerede er på Falcon, gir det SIEM-veien med lavest integrasjonsavgift.

Hvordan skiller SIEM seg fra EDR?

EDR ser endepunktene og identitet i dybden. SIEM ser alt dere peker det mot, men med mindre endepunktsdybde enn en dedikert EDR. Vi har skrevet en grundigere sammenligning fra EDR-siden i EDR og antivirus, hva forskjellen er. De to verktøyene utfyller hverandre når begge trengs. De dublerer hverandre på endepunktsdata når dere bare trenger ett.