Definition SIEM

Mit SIEM Bedrohungen rechtzeitig erkennen

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Im SIEM-System laufen so viele Informationen zusammen, dass sich selbst komplexe Sicherheitsereignisse aufdecken lassen.
Im SIEM-System laufen so viele Informationen zusammen, dass sich selbst komplexe Sicherheitsereignisse aufdecken lassen. (Bild: tonsnoei - Fotolia.com)

Security Information and Event Management, kurz SIEM, hat eine lange Tradition in der IT-Sicherheit. Trotzdem ist es hochaktuell und kann als Basis der „Next Generation Security“ verstanden werden.

Auf aktuellen Messen und Veranstaltungen hört man viel über Security Analytics oder Security Intelligence. Beide Begriffe verbindet man mit der Erkennung fortschrittlicher Attacken. Beim Akronym SIEM hingegen denkt man an das klassische Security Information and Event Management. Da teilweise bei neuen Lösungen von SIEM 2.0 oder Next Generation SIEM gesprochen wird, scheint das ursprüngliche SIEM bereits veraltet.

Tatsächlich aber ist und bleibt SIEM der zentrale Ansatz, um sicherheitsrelevante Informationen und Daten über Sicherheitsereignisse zu sammeln, auszuwerten, in Compliance-Berichten verfügbar zu machen und mit Warnhinweisen die Basis für zeitnahe Reaktionen auf Sicherheitsvorfälle zu liefern. Zudem bietet ein SIEM auch eine Verwaltung der sicherheitsrelevanten Daten und Analysen und ermöglicht so die Suche nach Ereignissen in der Vergangenheit, um IT-forensische Untersuchungen zu unterstützen.

Der Grund, warum neben SIEM auch von Security Analytics oder Security Intelligence gesprochen wird, sollte aber nicht im Marketing der jeweiligen Anbieter gesehen werden. Es geht vielmehr darum, dass die Vielzahl der Datenquellen und Datenformate sowie die große Menge an sicherheitsrelevanten Daten schon in kleinen Unternehmen hohe Anforderungen an die Analytics-Funktionen von SIEM stellen.

Darum betont man bei SIEM-Lösungen, die eine hohe Analyse-Performance haben, den Analytics-Anteil der Funktionen und spricht von (Big Data) Security Analytics. Security Intelligence hingegen unterstreicht, welche Bedeutung die Analysen von SIEM für sicherheitsrelevante Entscheidungen hat.

Bedeutung und Empfehlung für Unternehmen

Die Frage, ob ein Unternehmen SIEM benötigt, stellt sich nicht: SIEM gehört zum Pflichtprogramm in der Security. Das ergibt sich alleine schon daraus, dass es Unternehmen nicht schaffen, ohne entsprechende SIEM-Lösungen die Vielzahl und Vielfalt an Protokollen auszuwerten, die die genutzten IT-Systeme liefern.

Die Bandbreite der Protokolle reicht von den Log-Files einzelner Anwendungen über Betriebssysteme von (mobilen) Endpunkten und Servern, Hardware-Firmware, IT-Sicherheitslösungen, Netzwerken bis hin zu den Clouds. Werden die sicherheitsrelevanten Informationen aus den verschiedenen Datenquellen nicht oder nicht zeitnah genug ausgewertet, werden mögliche Angriffe und Vorfälle nicht oder zu spät erkannt.

Ohne eine zentrale Stelle, die die Protokolle sammelt, auswertet und für Berichte verdichtet ist es zudem kaum möglich, die notwendigen Compliance-Nachweise zur IT-Sicherheit zu liefern. Auch die IT-Forensik braucht eine Unterstützung auf SIEM-Basis, um die Spuren von Angreifern sowie mögliche Schwachstellen, die missbraucht wurden, besser aufzudecken.

Die Entscheidung, welches SIEM-System das richtige ist, muss man sich dagegen unbedingt stellen. Der Markt ist reich an Lösungen, die sich durchaus nicht nur in Details unterscheiden. Unternehmen sollten insbesondere darauf achten, ob ihre individuellen Anforderungen erfüllt werden, also

  • die zu unterstützenden IT-Systeme, deren Protokolldaten ausgelesen werden können müssen,
  • die verfügbaren Schnittstellen und Datenformate, aber auch
  • die verfügbaren Berichte, die zu den Compliance-Anforderungen passen müssen, die sich dem Unternehmen stellen.

Eine wichtige Rolle spielt dabei die Cloud. Zum einen sollte die Lösung der Wahl auch die genutzten Cloud-Lösungen berücksichtigen können, also ein Cloud-Logging unterstützen. Zudem sollten sicherheitsrelevante Informationen, die über die Cloud verfügbar sind, eingebunden werden können.

So genannte „Threat Intelligence Feeds” von Security-Anbietern liefern über die Cloud wichtige Zusatzinformationen, die das SIEM eines Unternehmen auf Basis eigener Daten nicht haben kann. Die frühzeitige Erkennung von Angriffen hängt stark von der Informationsbasis des SIEM ab, so dass zusätzliche Daten über mögliche Bedrohungen und Angriffe aus Security Intelligence Diensten sehr wertvoll sind.

Nicht zuletzt kann ein Unternehmen auch ein SIEM aus der Cloud nutzen, ein SIEM as a Service. Hier gilt es, bei der Auswahl eines SIEM-Dienstes sehr genau zu prüfen, welcher Anbieter dahinter steht. Immerhin soll das SIEM sicherheitsrelevante Daten des Unternehmens sammeln und analysieren. SIEM as a Service ist eine interessante Option, die nicht nur für kleine Unternehmen in Betracht kommt, wenn der Anbieter entsprechend professionell und zuverlässig ist.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Auswirkungen der EU-DSGVO auf die Sicherheitsarchitektur

Meldepflicht

Auswirkungen der EU-DSGVO auf die Sicherheitsarchitektur

Sie wirft ihre Schatten voraus, die EU-Datenschutzgrundverordnung, deren Anforderungen Behörden, öffentliche Stellen und Unternehmen bis zum 25. Mai 2018 erfüllen müssen. lesen

Schutz für eine expandierende hybride IT-Infrastruktur

Security Best Practices

Schutz für eine expandierende hybride IT-Infrastruktur

Aussagen wie „Cybersicherheitsrisiken stehen ganz oben auf der Sorgenliste von IT-Experten“ sind so offensichtlich, dass sie nicht viel zu einer Diskussion um IT-Sicherheit beitragen. Wir wissen, dass sowohl das Ausmaß als auch die Sichtbarkeit von Datensicherheitsverletzungen zunehmen werden. Diese Tatsache immer wieder zu betonen gießt jedoch bloß Öl ins Feuer. lesen

Intelligente Sicherheit spart Kosten!

Security-Startups im Gespräch: CS FOG

Intelligente Sicherheit spart Kosten!

Unternehmen brauchen eine funktionierende IT die skalierbar ist, am Business ausgerichtet und die Unternehmenswerte effektiv schützt. Das verlangt der unternehmerische Verstand und auch der Gesetzgeber, denn Hacker und Schadsoftware sind existenzgefährdende Bedrohungen. Aber um seine IT vor Angriffen wirksam zu schützen muss man einiges an Aufwand betreiben und ein signifikantes Budget einplanen. lesen

Der Drucker als Schwachstelle in der IT

Diebstahl von sensiblen Informationen

Der Drucker als Schwachstelle in der IT

Drucker finden in der Sicherheitsstrategie von Unternehmen allzu oft keine Beachtung. Dabei verfügen die Geräte über anfällige Schnittstellen und bringen täglich Informationen zu Papier, die anschließend für alle Augen offen im Ausgabefach liegen. Datendiebe haben in einem solchen Fall leichtes Spiel. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44095087 / Definitionen)