Definition SIEM

Mit SIEM Bedrohungen rechtzeitig erkennen

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Im SIEM-System laufen so viele Informationen zusammen, dass sich selbst komplexe Sicherheitsereignisse aufdecken lassen.
Im SIEM-System laufen so viele Informationen zusammen, dass sich selbst komplexe Sicherheitsereignisse aufdecken lassen. (Bild: tonsnoei - Fotolia.com)

Security Information and Event Management, kurz SIEM, hat eine lange Tradition in der IT-Sicherheit. Trotzdem ist es hochaktuell und kann als Basis der „Next Generation Security“ verstanden werden.

Auf aktuellen Messen und Veranstaltungen hört man viel über Security Analytics oder Security Intelligence. Beide Begriffe verbindet man mit der Erkennung fortschrittlicher Attacken. Beim Akronym SIEM hingegen denkt man an das klassische Security Information and Event Management. Da teilweise bei neuen Lösungen von SIEM 2.0 oder Next Generation SIEM gesprochen wird, scheint das ursprüngliche SIEM bereits veraltet.

Tatsächlich aber ist und bleibt SIEM der zentrale Ansatz, um sicherheitsrelevante Informationen und Daten über Sicherheitsereignisse zu sammeln, auszuwerten, in Compliance-Berichten verfügbar zu machen und mit Warnhinweisen die Basis für zeitnahe Reaktionen auf Sicherheitsvorfälle zu liefern. Zudem bietet ein SIEM auch eine Verwaltung der sicherheitsrelevanten Daten und Analysen und ermöglicht so die Suche nach Ereignissen in der Vergangenheit, um IT-forensische Untersuchungen zu unterstützen.

Der Grund, warum neben SIEM auch von Security Analytics oder Security Intelligence gesprochen wird, sollte aber nicht im Marketing der jeweiligen Anbieter gesehen werden. Es geht vielmehr darum, dass die Vielzahl der Datenquellen und Datenformate sowie die große Menge an sicherheitsrelevanten Daten schon in kleinen Unternehmen hohe Anforderungen an die Analytics-Funktionen von SIEM stellen.

Darum betont man bei SIEM-Lösungen, die eine hohe Analyse-Performance haben, den Analytics-Anteil der Funktionen und spricht von (Big Data) Security Analytics. Security Intelligence hingegen unterstreicht, welche Bedeutung die Analysen von SIEM für sicherheitsrelevante Entscheidungen hat.

Bedeutung und Empfehlung für Unternehmen

Die Frage, ob ein Unternehmen SIEM benötigt, stellt sich nicht: SIEM gehört zum Pflichtprogramm in der Security. Das ergibt sich alleine schon daraus, dass es Unternehmen nicht schaffen, ohne entsprechende SIEM-Lösungen die Vielzahl und Vielfalt an Protokollen auszuwerten, die die genutzten IT-Systeme liefern.

Die Bandbreite der Protokolle reicht von den Log-Files einzelner Anwendungen über Betriebssysteme von (mobilen) Endpunkten und Servern, Hardware-Firmware, IT-Sicherheitslösungen, Netzwerken bis hin zu den Clouds. Werden die sicherheitsrelevanten Informationen aus den verschiedenen Datenquellen nicht oder nicht zeitnah genug ausgewertet, werden mögliche Angriffe und Vorfälle nicht oder zu spät erkannt.

Ohne eine zentrale Stelle, die die Protokolle sammelt, auswertet und für Berichte verdichtet ist es zudem kaum möglich, die notwendigen Compliance-Nachweise zur IT-Sicherheit zu liefern. Auch die IT-Forensik braucht eine Unterstützung auf SIEM-Basis, um die Spuren von Angreifern sowie mögliche Schwachstellen, die missbraucht wurden, besser aufzudecken.

Die Entscheidung, welches SIEM-System das richtige ist, muss man sich dagegen unbedingt stellen. Der Markt ist reich an Lösungen, die sich durchaus nicht nur in Details unterscheiden. Unternehmen sollten insbesondere darauf achten, ob ihre individuellen Anforderungen erfüllt werden, also

  • die zu unterstützenden IT-Systeme, deren Protokolldaten ausgelesen werden können müssen,
  • die verfügbaren Schnittstellen und Datenformate, aber auch
  • die verfügbaren Berichte, die zu den Compliance-Anforderungen passen müssen, die sich dem Unternehmen stellen.

Eine wichtige Rolle spielt dabei die Cloud. Zum einen sollte die Lösung der Wahl auch die genutzten Cloud-Lösungen berücksichtigen können, also ein Cloud-Logging unterstützen. Zudem sollten sicherheitsrelevante Informationen, die über die Cloud verfügbar sind, eingebunden werden können.

So genannte „Threat Intelligence Feeds” von Security-Anbietern liefern über die Cloud wichtige Zusatzinformationen, die das SIEM eines Unternehmen auf Basis eigener Daten nicht haben kann. Die frühzeitige Erkennung von Angriffen hängt stark von der Informationsbasis des SIEM ab, so dass zusätzliche Daten über mögliche Bedrohungen und Angriffe aus Security Intelligence Diensten sehr wertvoll sind.

Nicht zuletzt kann ein Unternehmen auch ein SIEM aus der Cloud nutzen, ein SIEM as a Service. Hier gilt es, bei der Auswahl eines SIEM-Dienstes sehr genau zu prüfen, welcher Anbieter dahinter steht. Immerhin soll das SIEM sicherheitsrelevante Daten des Unternehmens sammeln und analysieren. SIEM as a Service ist eine interessante Option, die nicht nur für kleine Unternehmen in Betracht kommt, wenn der Anbieter entsprechend professionell und zuverlässig ist.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Kognitive Systeme werden die IT-Sicherheit revolutionieren

Cognitive Computing in der IT-Sicherheit

Kognitive Systeme werden die IT-Sicherheit revolutionieren

Der Kampf der Unternehmen gegen agile und hochprofessionelle Cyberkriminelle schien lange wie der Kampf zwischen David und Goliath. Doch mithilfe kognitiver IT-Sicherheitslösungen lässt sich das Kräfteverhältnis zugunsten der Unternehmen verschieben. In Zukunft sind sogar intelligente Prognosesysteme für Cyberattacken denkbar. lesen

Hackerangriffe zielsicher und schnell entlarven

Datensicherheit

Hackerangriffe zielsicher und schnell entlarven

Zu spät bemerkte Datendiebstähle durch Hacker halten Unternehmen und ganze Regierungen immer wieder in Schach. Fraunhofer-Forscher haben nun die Software PA-SIEM entwickelt, mit der sie Cyberattacken schneller auf die Spur kommen wollen. lesen

Cyber Security: Weckruf für Unternehmen

[Advertorial]

Active Security Management

Cyber Security: Weckruf für Unternehmen

Die Flut an Meldungen über aktuelle Cyberattacken zeigt, wie verwundbar Unternehmen sind. Aktives Sicherheitsmanagement hilft Firmen, Schäden in Grenzen zu halten und schnell wieder zum Normalbetrieb zu finden. lesen

Sicherheit für Anwendungen in vSphere-basierten virtuellen und Cloud-Umgebungen

VMware AppDefense

Sicherheit für Anwendungen in vSphere-basierten virtuellen und Cloud-Umgebungen

VMware will mit seiner neuen Sicherheitslösung AppDefense die Sicherheit für Anwendungen in vSphere-basierten virtuellen und Cloud-Umgebungen signifikant verbessern. Von innerhalb des vSphere Hypervisor nutzt AppDefense die virtuelle Infrastruktur, um laufende Anwendungen zu überwachen, Angriffe zu erkennen und automatisch darauf zu reagieren. lesen

Software-Updates mit Gratis-Tool von Kaspersky

Kaspersky Software Updater im Kurztest

Software-Updates mit Gratis-Tool von Kaspersky

Ein PC soll die Arbeit erleichtern und beschleunigen. Aber immer mehr Zeit geht dafür drauf, Datensicherungen anzufertigen, Schadsoftware und Hacker abzuwehren, Produkt-Updates zu installieren oder einen langsamen Computer wieder zu optimieren; kurzum, das System „arbeitsfähig“ zu halten. Der Kaspersky Software Updater soll etwas freie Zeit zurückgeben, wir haben ihn uns angeschaut. lesen

Hacker jagen mit dem Honeypot Deluxe

Security-Startups im Blickpunkt: Cybertrap

Hacker jagen mit dem Honeypot Deluxe

Unternehmen müssen heute eine Vielzahl an Schutzmechanismen auffahren um Hacker, Malware und Insider-Bedrohungen abwehren zu können. Das österreichische Startup Cybertrap hat einen ganz eigenen Ansatz, um Hacker wirksam zu bekämpfen: Man sperrt sie nicht aus, sondern öffnet ihnen die Türen! lesen

MSS schützen vor digitaler Erpressung

Managed Security Services

MSS schützen vor digitaler Erpressung

Cyber-Attacken haben Hochkonjunktur. Über umfangreiche Spam-Wellen verteilen Angreifer seit einiger Zeit schon Ransomware, wie den Krypto-Trojaner WannaCry, der Mitte Mai dieses Jahres aktiv wurde. In der Zwischenzeit sind neue Ransomware-Varianten aufgetaucht. Unternehmen sollten daher ihre präventiven IT-Sicherheitsmaßnahmen verstärken, meint Frank Reiländer, Head of Cybersecurity bei CGI. lesen

Logicalis weitet Angebot an Managed Security Services aus

Ausbau des SOC

Logicalis weitet Angebot an Managed Security Services aus

Die Logicalis Group hat ihr europäisches Security Operations Center (SOC) aufgerüstet, dessen Experten jetzt rund um die Uhr im Einsatz sind. Damit reagiert das internationale Systemhaus auf die steigende Nachfrage nach Managed Security Services. lesen

Den richtigen Webseiten-Schutz auswählen

Sicherheit für Webseiten

Den richtigen Webseiten-Schutz auswählen

Die Betreiber von Webseiten müssen jederzeit mit Angriffen von Hackern auf ihre Onlinepräsenz rechnen. Gerade kleine und mittelständische Unternehmen haben aber oft selbst nicht ausreichend Knowhow im Haus, um Sicherheitsüberprüfungen durchzuführen und Schutzmaßnahmen zu implementieren. Es gibt zwar Anbieter, die beim Schutz der Unternehmenswebseite vor Hackern und Malware helfen können, aber die Auswahl ist schwer. Ein erster Schritt ist es, den eigenen Bedarf genau zu kennen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44095087 / Definitionen)