Security Information and Event Management Systeme Mit SIEM Bedrohungen rechtzeitig erkennen

Anbieter zum Thema

Security Information and Event Management, kurz SIEM, hat eine lange Tradition in der IT-Sicherheit. Trotzdem ist es hochaktuell und kann als Basis der „Next Generation Security“ verstanden werden.

Im SIEM-System laufen so viele Informationen zusammen, dass sich selbst komplexe Sicherheitsereignisse aufdecken lassen.
Im SIEM-System laufen so viele Informationen zusammen, dass sich selbst komplexe Sicherheitsereignisse aufdecken lassen.
(Bild: tonsnoei - Fotolia.com)

Auf aktuellen Messen und Veranstaltungen hört man viel über Security Analytics oder Security Intelligence. Beide Begriffe verbindet man mit der Erkennung fortschrittlicher Attacken. Beim Akronym SIEM hingegen denkt man an das klassische Security Information and Event Management. Da teilweise bei neuen Lösungen von SIEM 2.0 oder Next Generation SIEM gesprochen wird, scheint das ursprüngliche SIEM bereits veraltet.

Tatsächlich aber ist und bleibt SIEM der zentrale Ansatz, um sicherheitsrelevante Informationen und Daten über Sicherheitsereignisse zu sammeln, auszuwerten, in Compliance-Berichten verfügbar zu machen und mit Warnhinweisen die Basis für zeitnahe Reaktionen auf Sicherheitsvorfälle zu liefern. Zudem bietet ein SIEM auch eine Verwaltung der sicherheitsrelevanten Daten und Analysen und ermöglicht so die Suche nach Ereignissen in der Vergangenheit, um IT-forensische Untersuchungen zu unterstützen.

Der Grund, warum neben SIEM auch von Security Analytics oder Security Intelligence gesprochen wird, sollte aber nicht im Marketing der jeweiligen Anbieter gesehen werden. Es geht vielmehr darum, dass die Vielzahl der Datenquellen und Datenformate sowie die große Menge an sicherheitsrelevanten Daten schon in kleinen Unternehmen hohe Anforderungen an die Analytics-Funktionen von SIEM stellen.

Darum betont man bei SIEM-Lösungen, die eine hohe Analyse-Performance haben, den Analytics-Anteil der Funktionen und spricht von (Big Data) Security Analytics. Security Intelligence hingegen unterstreicht, welche Bedeutung die Analysen von SIEM für sicherheitsrelevante Entscheidungen hat.

Bedeutung und Empfehlung für Unternehmen

Die Frage, ob ein Unternehmen SIEM benötigt, stellt sich nicht: SIEM gehört zum Pflichtprogramm in der Security. Das ergibt sich alleine schon daraus, dass es Unternehmen nicht schaffen, ohne entsprechende SIEM-Lösungen die Vielzahl und Vielfalt an Protokollen auszuwerten, die die genutzten IT-Systeme liefern.

Die Bandbreite der Protokolle reicht von den Log-Files einzelner Anwendungen über Betriebssysteme von (mobilen) Endpunkten und Servern, Hardware-Firmware, IT-Sicherheitslösungen, Netzwerken bis hin zu den Clouds. Werden die sicherheitsrelevanten Informationen aus den verschiedenen Datenquellen nicht oder nicht zeitnah genug ausgewertet, werden mögliche Angriffe und Vorfälle nicht oder zu spät erkannt.

Ohne eine zentrale Stelle, die die Protokolle sammelt, auswertet und für Berichte verdichtet ist es zudem kaum möglich, die notwendigen Compliance-Nachweise zur IT-Sicherheit zu liefern. Auch die IT-Forensik braucht eine Unterstützung auf SIEM-Basis, um die Spuren von Angreifern sowie mögliche Schwachstellen, die missbraucht wurden, besser aufzudecken.

Die Entscheidung, welches SIEM-System das richtige ist, muss man sich dagegen unbedingt stellen. Der Markt ist reich an Lösungen, die sich durchaus nicht nur in Details unterscheiden. Unternehmen sollten insbesondere darauf achten, ob ihre individuellen Anforderungen erfüllt werden, also

  • die zu unterstützenden IT-Systeme, deren Protokolldaten ausgelesen werden können müssen,
  • die verfügbaren Schnittstellen und Datenformate, aber auch
  • die verfügbaren Berichte, die zu den Compliance-Anforderungen passen müssen, die sich dem Unternehmen stellen.

Eine wichtige Rolle spielt dabei die Cloud. Zum einen sollte die Lösung der Wahl auch die genutzten Cloud-Lösungen berücksichtigen können, also ein Cloud-Logging unterstützen. Zudem sollten sicherheitsrelevante Informationen, die über die Cloud verfügbar sind, eingebunden werden können.

So genannte „Threat Intelligence Feeds” von Security-Anbietern liefern über die Cloud wichtige Zusatzinformationen, die das SIEM eines Unternehmen auf Basis eigener Daten nicht haben kann. Die frühzeitige Erkennung von Angriffen hängt stark von der Informationsbasis des SIEM ab, so dass zusätzliche Daten über mögliche Bedrohungen und Angriffe aus Security Intelligence Diensten sehr wertvoll sind.

Nicht zuletzt kann ein Unternehmen auch ein SIEM aus der Cloud nutzen, ein SIEM as a Service. Hier gilt es, bei der Auswahl eines SIEM-Dienstes sehr genau zu prüfen, welcher Anbieter dahinter steht. Immerhin soll das SIEM sicherheitsrelevante Daten des Unternehmens sammeln und analysieren. SIEM as a Service ist eine interessante Option, die nicht nur für kleine Unternehmen in Betracht kommt, wenn der Anbieter entsprechend professionell und zuverlässig ist.

(ID:44095087)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung