Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

SIEM (Security Information and Event Management)

Was ist SIEM (Security Information and Event Management)?

SIEM steht für Security Information and Event Management und ist eine Sicherheitsplattform zur zentralen Sammlung, Korrelation und Analyse sicherheitsrelevanter Ereignisse und Logdaten aus verschiedenen Quellen wie Firewalls, IDS/IPS, EDR-Systemen, Servern, Cloud-Diensten oder Anwendungen.

SIEM-Systeme helfen Security-Teams dabei, Bedrohungen frühzeitig zu erkennen, Alarme zu priorisieren, Incident Response zu koordinieren und Compliance-Vorgaben zu erfüllen. Moderne Lösungen integrieren Machine-Learning-Algorithmen und Automatisierungsfunktionen (SOAR), um große Datenmengen effizient zu analysieren und zu verarbeiten.

Wichtige SIEM-Ressourcen

  • Logdatenaggregation & Normalisierung
    → Vereinheitlichung und Indexierung von Logs aus heterogenen Quellen.

  • Korrelation & Regelwerke
    → Definition von Regeln und Mustern zur Erkennung verdächtiger Aktivitäten.

  • Dashboards & Visualisierung
    → Grafische Aufbereitung von Security-Ereignissen zur schnellen Bewertung.

  • UEBA (User and Entity Behavior Analytics)
    → Verhaltensanalytik zur Erkennung von Insider Threats oder Anomalien.

  • SOAR (Security Orchestration, Automation and Response)
    → Automatisierte Reaktionen und Playbooks zur Verkürzung von Reaktionszeiten.

Anwendung in der Praxis

  • Threat Hunting: Analysten durchsuchen Korrelationen nach Hinweisen auf Kompromittierungen.

  • Real-Time Alerting: Automatisierte Benachrichtigungen bei Regelverstößen oder Anomalien.

  • Compliance & Audit Logs: Unterstützung bei ISO 27001, BSI, DSGVO oder PCI DSS.

  • Incident Response: Integration mit Response-Systemen zur schnellen Eindämmung von Vorfällen.

  • Machine-Learning-Erweiterungen: Erkennen unbekannter Bedrohungen durch Musteranalysen.

Verwandte Begriffe

Beispiel aus der Praxis

Ein Finanzunternehmen betreibt ein zentrales SIEM, das Logs von Firewalls, EDR-Agents, Windows-Servern und Cloud-Diensten in Echtzeit auswertet. Bei einem Brute-Force-Versuch gegen ein Admin-Konto erkennt das SIEM die Häufung fehlgeschlagener Login-Versuche und erstellt automatisch einen High-Severity-Alert. Gleichzeitig startet ein SOAR-Playbook: das betroffene Konto wird gesperrt, ein Incident-Ticket erzeugt und die Netzwerkverbindung isoliert. UEBA-Module warnen zusätzlich, da der Angreifer ungewöhnliche Login-Zeiten nutzt.

zum Glossar