Definition SIEM

Mit SIEM Bedrohungen rechtzeitig erkennen

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Im SIEM-System laufen so viele Informationen zusammen, dass sich selbst komplexe Sicherheitsereignisse aufdecken lassen.
Im SIEM-System laufen so viele Informationen zusammen, dass sich selbst komplexe Sicherheitsereignisse aufdecken lassen. (Bild: tonsnoei - Fotolia.com)

Security Information and Event Management, kurz SIEM, hat eine lange Tradition in der IT-Sicherheit. Trotzdem ist es hochaktuell und kann als Basis der „Next Generation Security“ verstanden werden.

Auf aktuellen Messen und Veranstaltungen hört man viel über Security Analytics oder Security Intelligence. Beide Begriffe verbindet man mit der Erkennung fortschrittlicher Attacken. Beim Akronym SIEM hingegen denkt man an das klassische Security Information and Event Management. Da teilweise bei neuen Lösungen von SIEM 2.0 oder Next Generation SIEM gesprochen wird, scheint das ursprüngliche SIEM bereits veraltet.

Tatsächlich aber ist und bleibt SIEM der zentrale Ansatz, um sicherheitsrelevante Informationen und Daten über Sicherheitsereignisse zu sammeln, auszuwerten, in Compliance-Berichten verfügbar zu machen und mit Warnhinweisen die Basis für zeitnahe Reaktionen auf Sicherheitsvorfälle zu liefern. Zudem bietet ein SIEM auch eine Verwaltung der sicherheitsrelevanten Daten und Analysen und ermöglicht so die Suche nach Ereignissen in der Vergangenheit, um IT-forensische Untersuchungen zu unterstützen.

Der Grund, warum neben SIEM auch von Security Analytics oder Security Intelligence gesprochen wird, sollte aber nicht im Marketing der jeweiligen Anbieter gesehen werden. Es geht vielmehr darum, dass die Vielzahl der Datenquellen und Datenformate sowie die große Menge an sicherheitsrelevanten Daten schon in kleinen Unternehmen hohe Anforderungen an die Analytics-Funktionen von SIEM stellen.

Darum betont man bei SIEM-Lösungen, die eine hohe Analyse-Performance haben, den Analytics-Anteil der Funktionen und spricht von (Big Data) Security Analytics. Security Intelligence hingegen unterstreicht, welche Bedeutung die Analysen von SIEM für sicherheitsrelevante Entscheidungen hat.

Bedeutung und Empfehlung für Unternehmen

Die Frage, ob ein Unternehmen SIEM benötigt, stellt sich nicht: SIEM gehört zum Pflichtprogramm in der Security. Das ergibt sich alleine schon daraus, dass es Unternehmen nicht schaffen, ohne entsprechende SIEM-Lösungen die Vielzahl und Vielfalt an Protokollen auszuwerten, die die genutzten IT-Systeme liefern.

Die Bandbreite der Protokolle reicht von den Log-Files einzelner Anwendungen über Betriebssysteme von (mobilen) Endpunkten und Servern, Hardware-Firmware, IT-Sicherheitslösungen, Netzwerken bis hin zu den Clouds. Werden die sicherheitsrelevanten Informationen aus den verschiedenen Datenquellen nicht oder nicht zeitnah genug ausgewertet, werden mögliche Angriffe und Vorfälle nicht oder zu spät erkannt.

Ohne eine zentrale Stelle, die die Protokolle sammelt, auswertet und für Berichte verdichtet ist es zudem kaum möglich, die notwendigen Compliance-Nachweise zur IT-Sicherheit zu liefern. Auch die IT-Forensik braucht eine Unterstützung auf SIEM-Basis, um die Spuren von Angreifern sowie mögliche Schwachstellen, die missbraucht wurden, besser aufzudecken.

Die Entscheidung, welches SIEM-System das richtige ist, muss man sich dagegen unbedingt stellen. Der Markt ist reich an Lösungen, die sich durchaus nicht nur in Details unterscheiden. Unternehmen sollten insbesondere darauf achten, ob ihre individuellen Anforderungen erfüllt werden, also

  • die zu unterstützenden IT-Systeme, deren Protokolldaten ausgelesen werden können müssen,
  • die verfügbaren Schnittstellen und Datenformate, aber auch
  • die verfügbaren Berichte, die zu den Compliance-Anforderungen passen müssen, die sich dem Unternehmen stellen.

Eine wichtige Rolle spielt dabei die Cloud. Zum einen sollte die Lösung der Wahl auch die genutzten Cloud-Lösungen berücksichtigen können, also ein Cloud-Logging unterstützen. Zudem sollten sicherheitsrelevante Informationen, die über die Cloud verfügbar sind, eingebunden werden können.

So genannte „Threat Intelligence Feeds” von Security-Anbietern liefern über die Cloud wichtige Zusatzinformationen, die das SIEM eines Unternehmen auf Basis eigener Daten nicht haben kann. Die frühzeitige Erkennung von Angriffen hängt stark von der Informationsbasis des SIEM ab, so dass zusätzliche Daten über mögliche Bedrohungen und Angriffe aus Security Intelligence Diensten sehr wertvoll sind.

Nicht zuletzt kann ein Unternehmen auch ein SIEM aus der Cloud nutzen, ein SIEM as a Service. Hier gilt es, bei der Auswahl eines SIEM-Dienstes sehr genau zu prüfen, welcher Anbieter dahinter steht. Immerhin soll das SIEM sicherheitsrelevante Daten des Unternehmens sammeln und analysieren. SIEM as a Service ist eine interessante Option, die nicht nur für kleine Unternehmen in Betracht kommt, wenn der Anbieter entsprechend professionell und zuverlässig ist.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Sicherheit für Multi-Cloud-Netzwerke

Multi-Cloud-Security

Sicherheit für Multi-Cloud-Netzwerke

Unternehmen verlagern heute verstärkt Workloads in die Cloud und setzen dazu auf Multi-Cloud-Modelle, bei denen für bestimmte Funktionen, Standorte oder zur Kostensenkung mit verschiedenen Anbietern zusammen­gearbeitet. Gleichzeitig werden kritische Daten über unterschiedlichste cloudbasierte Anwendungen und Dienste verbreitet und verarbeitet. lesen

Prävention, Detektion und Reaktion aus einem Guss

[Gesponsert]

Advanced SIEM

Prävention, Detektion und Reaktion aus einem Guss

Bis zu 365 Tage brauchen Unternehmen im Durchschnitt, um eine große Datenpanne aufzudecken, so eine aktuelle Studie. Die DSGVO fordert eine Meldung von Datenschutz­verletzungen innerhalb von 72 Stunden. Fortschrittliche Lösungen für SIEM (Security Information and Event Management), Künstliche Intelligenz, Security Automation und Managed Security Services können helfen, diese gefährliche Lücke zu schließen. lesen

Grundlagen der Cloud Access Security Broker (CASB)

Datenschutz und Datennutzung in der Cloud

Grundlagen der Cloud Access Security Broker (CASB)

Ein Cloud Access Security Broker (CASB) überwacht und protokolliert den Datenverkehr zwischen Cloud-Anwendungen und ihren Nutzern und setzt gleichzeitig auch Security-Policies um. Ein CASB arbeitet on-premises oder in der Cloud und sorgt dafür, dass Unternehmen ihre Sicherheitsrichtlinien nicht nur innerhalb ihrer Infrastruktur durchsetzen können, sondern auch in der Cloud. lesen

So funktioniert eine DNS-basierte Security-Strategie

Netzwerk-Absicherung mit Fokus auf das Domain Name System

So funktioniert eine DNS-basierte Security-Strategie

Das Domain Name System (DNS) ist ein zentraler Punkt jedes Netzwerks und essentiell für die Kommunikation über das Internet. Längst haben Cyber-Kriminelle das DNS als Schwachstelle für Attacken ausgemacht. Doch besser als das DNS bloß gegen Angriffe zu sichern ist es, das System aktiv zur Verteidigung einzusetzen! lesen

Investitionen in die IT-Sicherheit lohnen sich!

Wirtschaftliche Gründe für IT-Sicherheit

Investitionen in die IT-Sicherheit lohnen sich!

Wenn ein Unternehmen und seine IT-Abteilung beim Thema Sicherheit nicht an einem Strang ziehen, besteht ein hohes Risiko für Datenschutz­verstöße. Alle IT-Experten sollten deshalb wissen, wie sie ihren Geschäftsführern Sicherheitserfordernisse so vermitteln können, dass sie verstanden und ernst genommen werden. lesen

Jedes dritte Unternehmen kämpft mit Erpressungs-Trojanern

Netscout-Studie

Jedes dritte Unternehmen kämpft mit Erpressungs-Trojanern

Die Angst der Unternehmen, Opfer eines Erpressungs-Trojaners oder einer DDoS-Attacke zu werden, herrscht bei 64 Prozent der befragten Unternehmen vor, so eine Netscout-Studie. Im Visier der Cyberkriminellen stehen kundenzentrierte Anwendungen und Dienste sowie IT-Infrastrukturen. lesen

Intrusion-Detection und -Prevention-Systeme

Überblick über IDS und IPS

Intrusion-Detection und -Prevention-Systeme

Ein Intrusion-Detection- oder Intrusion-Pre­ven­tion-System (IDS / IPS) ist eine Security-Lösung, die ein Netzwerk oder eine Netz­werk­kom­po­nen­te wie einen Server oder einen Switch überwacht und versucht, Regel­ver­let­zung­en und schädliche Vorfälle wie Hacker-Angriffe zu erkennen und diese dann teilweise automatisch abzuwehren. Wir zeigen wie sich IDS und IPS unterscheiden und wer die wichtigsten Hersteller sind. lesen

Cryptojacking erkennen und stoppen

Unerwünschtes Crypto-Mining

Cryptojacking erkennen und stoppen

Kaum ein Thema beschäftigt aktive Computer­anwender derzeit so stark wie die Krypto­währungen Bitcoin & Co. Gerade die enormen Kurschwankungen wecken bei vielen Menschen den Wunsch, von diesen digitalen Währungen zu profitieren. Und immer häufiger werden für das Schürfen des digitalen Goldes auch Unternehmensressourcen verwendet - ohne Erlaubnis, dafür aber mit durchaus erwähnenswerten Risiken. lesen

DSGVO: IT-Security versus Datenschutz

IT-Security Management & Technology Conference 2018

DSGVO: IT-Security versus Datenschutz

Bestehende Sicherheitskonzepte müssen jetzt auch noch mit der DSGVO vereint werden. Dr. Philip Huisgen von Datakom wird auf der IT-Security Konferenz Wege zur „Incident Detection and Response Automation“ vorstellen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44095087 / Definitionen)