Was ist ein SIEM?
Ein „Security Information and Event Management” bezeichnet ein System, dass Maschinendaten (i.d.R. Logdaten) aus einer Vielzahl von Quellen sammelt, analysiert und kategorisiert. Ein SIEM-System ist in der Lage, ein großes Datenvolumen in sehr kurzer Zeit zu durchsuchen und so Anomalien zu detektieren, die auf mögliche Bedrohungen hindeuten können. Diese Anomalien werden auch als Security-Events bezeichnet, die nach der Analyse und Kategorisierung an das Security Operations Center (SOC) weitergeleitet werden. Das SOC besteht aus einem Team von IT-Security Experten, die entsprechende Gegenmaßnahmen für die jeweilige Anomalie einleiten. Damit soll der Prozess der Erkennung und Beseitigung von Anomalien verbessert werden. Die Detektion der Anomalien erfolgt über sogenannte Use-Cases. Ein einfacher Use-Case könnte beispielsweise die Überprüfung der Logdaten auf eine ungewöhnlich hohe Anzahl von Login-Versuchen je System oder Benutzer sein, welche auf einen möglichen Brute-Force-Angriff hindeuten könnten. Unterstützt wird der Prozess durch das Security Event Management (SEM), das Sicherheitsteams bei der Überwachung von Netzwerken sowie bei der Früherkennung und Reaktion auf Sicherheitsvorfälle im Rahmen von SIEM entlastet. Es spielt eine wesentliche Rolle bei der Gewährleistung der IT-Sicherheit und der Risikominimierung in Unternehmen.
Wie kann ADVISORI Sie bei Ihrem SIEM unterstützen?
ADVISORI berät Kunden bereits seit einigen Jahren bei der Planung und Implementierung von SIEM-Systemen. ADVISORI arbeitet als Professional Service Partner mit führenden Technologieunternehmen im Kontext SIEM zusammen.