Ein Use-Case-Framework bündelt alle denkbaren Sicherheitsszenarien. Es ist eine vom Cyber Defense Center (CDC) Team verwendete Methode zur Ermittlung und Organisation technischer und organisatorischer Anforderungen an das Monitoring dieser Szenarien. Bestimmte Risikoszenarien können so leichter erkannt und Gegenmaßnahmen frühzeitig eingeleitet werden. Das Framework hilft dabei, die richtigen Risikoszenarien zu entwickeln und Antworten auf folgende Fragen zu liefern:

• Was ist passiert?

• Welche Systeme sind betroffen?

• Wie hoch ist das Risiko?

• Welcher Schaden ist entstanden beziehungsweise kann noch entstehen?

• Wie muss reagiert werden?

• Wer muss wann informiert werden?

Entwicklung der Use Cases

Es empfiehlt sich die Umsetzung eines Use Case Frameworks auf Basis des Unternehmens-ISMS. Dabei geht es um die praxisgerechte Erfassung der jeweiligen Cyber Kill Chain mit Hilfe der Entwicklungsmethode Top-Down-Bottom-Up-Middle-Out (TDBUMO).

Aus dem ISMS des Unternehmens lassen sich generelle Bedrohungen bezüglich der Geschäftsprozesse ableiten. Diese werden unter Zuhilfenahme der Cyber Kill Chain in unterschiedliche Bedrohungsszenarien aufgeteilt, welche durch die eingesetzte SIEM-Lösung grundsätzlich überwacht werden können. Um Ganzheitlichkeit zu erreichen, muss nun die vorliegende IT-Umgebung mit einbezogen werden. TDBUMO ist eine weitverbreitete Design-Methode, die dazu dient, generelle Anforderungen konkretisiert umsetzen zu können. Im Kontext von SIEM Use Cases bedeutet das die Erfassung folgender Aspekte:

• Welche Bedrohungen existieren und welche Informationen werden benötigt, um diese Bedrohung zu überwachen? (Top-Down )

• Welche Logs kommen auf welchem Weg in das SIEM und welche Informationen sind in den einzelnen Logs enthalten? (Bottom-up)

• Im Ergebnis erhält man konkrete SIEM Use Cases, welche die eigene IT-Umgebung vollständig berücksichtigt (Middle-Out)

Operationell muss das SIEM Use Case Framework mit den Handlungsanweisungen für die Mitarbeiter, die beim Eintreten von Sicherheitsvorfällen ausgeführt werden müssen (sog. Playbooks) verzahnt werden. Dazu empfiehlt sich die Verwendung eines einheitlichen Vokabulars, zum Beispiel in Form einer Adaption des VERIS-Frameworks (Vocabulary for Event Recording and Incident Sharing). VERIS bietet über ein einheitliches Vokabular hinaus die Möglichkeit, Security Events und Security Incidents strukturiert zu erfassen, zu bearbeiten und zu dokumentieren.

Diese Security Incident-Kategorien lassen sich wiederum dazu nutzen, die Anzahl der zu erstellenden Playbooks auf ein Minimum zu reduzieren . Im Idealfall beginnt die Use Case-Entwicklung mit einer formellen Beschreibung der Entwicklungsmethodik und beruht auf den Prinzipien, dass SIEM Use-Cases

• bedrohungsorientiert

• die IT Umgebung ganzheitlich abdecken und

• durch die SIEM-Lösung zu verarbeiten

sein müssen. Zu diesem Zweck hat sich die Etablierung und Implementierung eines SIEM Use Case Frameworks bewährt, das sich an den zuvor genannten Prinzipien orientiert und zusätzlich sicherstellt, dass

• Use Cases unabhängig von der verwendeten SIEM-Lösung entwickelt werden können,

• die „Übersetzung“ der formellen Use-Cases in die SIEM-spezifische Korrelationslogik vereinfacht wird („Build once – use many“)

• die definierten Use Cases den Compliance-Anforderungen des Unternehmens entsprechen

• Use Cases flexibel an die jeweilige, aktuelle Bedrohungslage angepasst werden können.

Use Case Framework

Ein Use Case Framework muss mindestens folgende Bedingungen erfüllen, um effizient und wirksam zu sein:

• Die Regelerstellung für die Korrelierungslogik muss vom SIEM-Tool unabhängig dokumentiert werden können und einen kompletten Use Case-Lebenszyklus unterstützen.

• Die Use Cases müssen über das SIEM-Regelwerk hinaus auch die Playbooks für die Security-Analysten bereitstellen.