Security information und event management (SIEM)

Sicherheitsinformations- und Ereignis-Management (SIEM) ist ein Ansatz für das Sicherheitsmanagement, der die Funktionen SIM (Security Information Management) und SEM (Security Event Management) in einem Sicherheitsmanagementsystem kombiniert. Das Akronym SIEM wird "sim" mit einem stummen e ausgesprochen.

Die jedem SIEM-System zugrunde liegenden Prinzipien bestehen darin, relevante Daten aus mehreren Quellen zu aggregieren, Abweichungen von der Norm zu identifizieren und entsprechende Maßnahmen zu ergreifen. Wenn beispielsweise ein potenzielles Problem erkannt wird, kann ein SIEMzusätzliche Informationen protokollieren, einen Alarm erzeugen und andere Sicherheitskontrollen anweisen, den Fortschritt einer Aktivität zu stoppen.

Auf der grundlegendsten Ebene kann ein SIEM-System regelbasiert sein oder eine statistische Korrelationsmaschine verwenden, um Beziehungen zwischen Ereignisprotokolleinträgen herzustellen. Fortgeschrittene SIEMs haben sich weiterentwickelt und umfassen die Analyse des Benutzer- und Entitätsverhaltens (UEBA) sowie die Sicherheitsorchestrierung und automatisierte Reaktion (SOAR).

Die Einhaltung des PCI DSS (Payment Card Industry Data Security Standard) war ursprünglich der Grund für die Einführung von SIEMs in großen Unternehmen, aber die Besorgnis über fortgeschrittene persistente Bedrohungen (Advanced Persistent Threats, APTs) hat kleinere Unternehmen dazu veranlasst, sich mit den Vorteilen zu befassen, die ein Anbieter von verwalteten SIEM-Sicherheitsdiensten (Managed Security Service Provider, MSSP) bieten kann. Die Möglichkeit, alle sicherheitsrelevanten Daten aus einem einzigen Blickwinkel zu betrachten, macht es für Unternehmen aller Größenordnungen einfacher, ungewöhnliche Muster zu erkennen.

Heutzutage arbeiten die meisten SIEM-Systeme durch den Einsatz mehrerer Sammelagenten in hierarchischer Weise, um sicherheitsrelevante Ereignisse von Endbenutzergeräten, Servern, Netzwerkausrüstungen sowie von speziellen Sicherheitsausrüstungen wie Firewalls, Antiviren- oder Intrusion Prevention-Systemen zu erfassen. Die Sammler leiten die Ereignisse an eine zentrale Verwaltungskonsole weiter, wo Sicherheitsanalysten die Geräusche durchsuchen, die Punkte verbinden und die Sicherheitsvorfälle nach Priorität ordnen.

In einigen Systemen kann die Vorverarbeitung an den Randsammlern erfolgen, wobei nur bestimmte Ereignisse an einen zentralen Verwaltungsknoten weitergeleitet werden. Auf diese Weise kann die Menge der kommunizierten und gespeicherten Informationen reduziert werden. Obwohl die Fortschritte beim maschinellen Lernen den Systemen helfen, Anomalien genauer zu erkennen, müssen die Analysten immer noch Feedback geben und das System kontinuierlich über die Umgebung informieren.

Hier sind einige der wichtigsten Merkmale, die bei der Bewertung von SIEM-Produkten überprüft werden müssen:

  • - Integration mit anderen Kontrollen - Kann das System anderen Sicherheitskontrollen des Unternehmens Befehle erteilen, um laufende Angriffe zu verhindern oder zu stoppen?
  • - Künstliche Intelligenz - Kann das System seine eigene Genauigkeit durch maschinelles und tiefes Lernen verbessern?
  • - Bedrohungsintelligenz-Feeds - Kann das System Bedrohungsintelligenz-Feeds nach Wahl der Organisation unterstützen oder ist es beauftragt, einen bestimmten Feed zu verwenden?
  • - Zuverlässige Berichte zur Einhaltung von Vorschriften - Enthält das System integrierte Berichte für allgemeine Anforderungen an die Einhaltung von Vorschriften und bietet der Organisation die Möglichkeit, diese anzupassen oder neue Berichte zu erstellen?
  • - Forensische Fähigkeiten - Kann das System zusätzliche Informationen über Sicherheitsereignisse erfassen, indem es die Kopfzeilen und den Inhalt von Paketen von Interesse aufzeichnet?
Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen