SIEM-Korrelationsregeln selbst schreiben: Praxisleitfaden für KMU ohne SOC

Warum Standard-Regeln nicht reichen

Jedes SIEM kommt mit hunderten vorgefertigten Korrelationsregeln. Das Problem: Diese Regeln kennen Ihre Umgebung nicht. Was in Unternehmen A eine Anomalie ist, ist in Unternehmen B Alltag. Ohne eigene Regeln erzeugt das SIEM entweder zu viele Fehlalarme — oder übersieht echte Bedrohungen.

Grundprinzipien guter Korrelationsregeln

1. Einen konkreten Angriff im Kopf haben

Jede Regel sollte einen definierten Angriffspfad abdecken. Beispiel: Brute-Force-Angriff auf Windows-RDP. Bekanntes Muster: Viele fehlgeschlagene Anmeldungen (Event 4625), gefolgt von einer erfolgreichen (Event 4624).

2. Schwellenwerte sorgfältig kalibrieren

Zu niedrige Schwellenwerte erzeugen Alarm-Flut. Zu hohe verpassen echte Vorfälle. Beginnen Sie mit großzügigen Schwellenwerten und verfeinern Sie auf Basis beobachteter Falsch-Positiver.

3. Zeitfenster definieren

Viele Angriffe verteilen sich über Zeit, um unter Schwellenwerten zu bleiben. Sliding-Window-Regeln erkennen solche Low-and-Slow-Angriffe zuverlässig.

Praxis-Beispiele für KMU

• Anmeldung außerhalb der Geschäftszeiten von privilegierten Accounts
• Massenhafter Dateizugriff in kurzer Zeit (mögliche Ransomware)
• Neue Dienste oder Scheduled Tasks auf Servern
• DNS-Anfragen an unbekannte Domains (möglicher C2-Traffic)
• Deaktivierung von Sicherheitsdiensten (AV, Firewall)

Eigene Korrelationsregeln zu entwickeln ist kein Hexenwerk — aber es braucht Zeit und Kenntnis der eigenen Umgebung. Wir unterstützen unsere Managed-Security-Kunden beim Aufbau einer Regelsammlung, die zu ihrem spezifischen Umfeld passt.