Mobile-Menu

Definition Was ist SIEM (Security Information and Event Management)?

Das Security Information and Event Management sammelt, korreliert und analysiert Daten verschiedener Systeme und Komponenten einer IT-Umgebung, um sicherheitsrelevante Anomalien, Bedrohungen oder Angriffe auf die Cyber Security in Echtzeit zu finden. Ein ganzheitlicher Blick auf die Sicherheitslage der IT-Umgebung wird möglich. Bei erkannten Angriffen, Bedrohungen oder Anomalien alarmiert SIEM automatisch.

Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Die wichtigsten IT-Fachbegriffe verständlich erklärt.
(Bild: © aga7ta - stock.adobe.com)

Die Abkürzung für Security Information and Event Management lautet SIEM. Das Security Information and Event Management ist ein softwarebasiertes Konzept aus dem Bereich des Security Managements, mit dem ein ganzheitlicher Blick auf die Sicherheit und die aktuelle Bedrohungslage einer IT-Umgebung möglich wird.

Es handelt sich um eine Kombination aus SEM (Security Event Management) und SIM (Security Information Management), das fortgeschrittene Verfahren und Algorithmen der Künstlichen Intelligenz (KI) und des Maschinellen Lernens (ML) einsetzt, um sicherheitsrelevante Anomalien in den gesammelten Daten oder Bedrohungen und Angriffe in Echtzeit erkennt. Logdaten, Systemmeldungen oder Alarme verschiedener Systeme, Komponenten, Anwendungen, Services und Geräte wie Server, Router, Firewalls, IDS- und IPS-Systeme werden auf einer zentralen Plattform gesammelt, korreliert und analysiert.

Algorithmen finden und erkennen ungewöhnliche Meldungen, verdächtige Muster oder gefährliche Trends in den Daten und alarmieren automatisch die verantwortlichen Stellen oder zuständigen Personen. Die Sicherheitslage der IT-Umgebung lässt sich auf interaktiven Dashboards visualisieren und als Echtzeitinformation einer definierten Zielgruppe bereitstellen. Auf Basis der Alarme oder der Visualisierungen ist die Organisation oder das Unternehmen in der Lage, ohne große Zeitverzögerung angemessen auf mögliche Bedrohungen oder Angriffe zu reagieren und Gegenmaßnahme zu ergreifen.

Oft werden SIEM-Lösungen mit SOAR-Lösungen (Security Orchestration, Automation and Response Lösungen) kombiniert, wodurch sich die Reaktionen auf Sicherheitsvorfälle und das Ergreifen von Abwehrmaßnahmen automatisieren lassen. Das Security Information and Event Management kann On-Premises und/oder Cloud-basiert realisiert werden. Beispiele für SIEM-Lösungen und -Produkte sind IBM QRadar, Splunk Enterprise Security, LogPoint oder Azure Sentinel.

Motivation und Zielsetzung des Security Information and Event Managements

Die zunehmende Digitalisierung der Unternehmen und ihrer Geschäftsprozesse und deren Vernetzung per Internet steigern das Risiko, Opfer von Hacker-Angriffen oder anderen Cyber-Bedrohungen zu werden. Der Schutz der IT vor solchen Angriffen und Bedrohungen gewinnt für Unternehmen stetig an Bedeutung. Um verdächtige Aktivitäten zu erkennen und Angriffe proaktiv abzuwehren, sind riesige Mengen an Daten komplexer IT-Architekturen zu sammeln und zu analysieren.

Diese Aufgabe ist vom IT-Sicherheitspersonal manuell nicht mit vertretbarem Aufwand zu bewältigen und überlastet die knappen Ressourcen der IT-Sicherheitsexperten. Zudem werden Angriffsmethoden immer ausgefeilter und erfordern immer tiefergehende Analysen. Das Security Information and Event Management hat das Ziel, das Sammeln und Analysieren der Daten zu zentralisieren und die Auswertung und Alarmierung zu automatisieren. Das erleichtert es den Sicherheitsteams, die IT-Umgebung zu überwachen, Gefahren in Echtzeit zu erkennen und direkt darauf zu reagieren. Das manuelle Durchsuchen und Auswerten der Daten wird überflüssig.

Abgrenzung zwischen Security Information and Event Management und Security Orchestration, Automation and Response (SOAR)

SOAR- und SIEM-Lösungen sind Lösungen aus dem Bereich des Security Managements von IT-Umgebungen und werden häufig in Kombination oder als integrierte Produkte eingesetzt. Was die Funktionsweise und Zielsetzung angeht, haben sie einige Gemeinsamkeiten wie das Sammeln und Analysieren von Daten unterschiedlicher Quellen. Dennoch lassen sie sich deutlich voneinander unterscheiden.

Die Abkürzung SOAR steht für Security Orchestration, Automation and Response. Eine SOAR-Lösung stellt Verfahren und Tools zur Verfügung, mit denen sich Daten unterschiedlicher IT-Systeme sammeln und hinsichtlich Sicherheitsbedrohungen analysieren lassen. Mit den gewonnenen Ergebnissen leitet eine SOAR-Lösung eine automatische Reaktion auf erkannte Gefährdungen ein.

Während sich das Security Information and Event Management auf das Sammeln und Analysieren der Daten und das anschließende Alarmieren konzentriert, geht SOAR einen Schritt weiter. Security Orchestration, Automation and Response ist in der Lage, Angriffe automatisiert abzuwehren und benötigt nicht wie SIEM das manuelle Eingreifen der Sicherheitsspezialisten. Immer mehr Hersteller kombinieren ihre SIEM- und SOAR-Lösungen und bieten Produkte, die auf Basis der gesammelten und analysierten Daten sowohl automatisiert alarmieren als auch selbständig Gegenmaßnahmen einleiten.

Das Funktionsprinzip einer SIEM-Lösung

Das Funktionsprinzip einer SIEM-Lösung ist darauf ausgerichtet, alle für die Sicherheit der zu überwachenden IT-Umgebung relevanten Daten an einer zentralen Stelle zu sammeln, sie zu korrelieren und auf verdächtige Muster, Anomalien und gefährliche Aktivitäten hin zu untersuchen. Die grundlegenden Prozesse des Security Information and Event Managements sind:

  • 1. Sammeln und Zusammenführen sicherheitsrelevanter Daten an zentraler Stelle
  • 2. Korrelieren der Daten und Aufbereiten für die Auswertung
  • 3. Analyse der Daten auf Anomalien, verdächtige Ereignisse und gefährliche Aktivitäten mit Hilfe Künstlicher Intelligenz und Maschinellem Lernen

Für die Datensammlung wird eine Vielzahl verschiedener IT-Systeme, Netzkomponenten, Geräte, Services und Anwendungen wie Server, Firewalls, Router, Switches, Virtualisierungs-Hypervisoren, Storage-Geräten, VPN-Server, Proxys, IDS- und IPS-Systemen und Datenbanken unterstützt. Die Daten werden über standardisierte Schnittstellen und Protokolle wie SNMP abgefragt oder über zuvor auf den Systemen installierte Agenten bereitgestellt und manipulations- und revisionssicher gespeichert. Einige der Agenten führen eine Vorverarbeitung der Daten durch, um die Datenmengen noch vor der Übertragung zu reduzieren.

Nach der zentralen Normalisierung und Strukturierung der erhaltenen Daten starten die Analyseprozesse. Intelligente Algorithmen stellen auf Basis von Regeln und Modellen Beziehungen zwischen den Daten her, finden Muster und Trends und erkennen Sicherheitsbedrohungen. Ist ein sicherheitsrelevantes Ereignis gefunden, spezifiziert das System die Bedrohungsstufe anhand zuvor festgelegter Kategorien und löst einen Alarm aus. Zusätzlich visualisiert das Security Information and Event Management die Bedrohungslage mit Hilfe ausgewählter Security-KPIs in benutzerdefinierten, interaktiven Dashboards.

Anwendungsbereiche des Security Information and Event Managements

Die Anwendungsmöglichkeiten des Security Information and Event Managements sind vielfältig. SIEM-Lösungen lassen sich einsetzen, um das Risiko, Opfer von Cyber-Angriffen zu werden, zu minimieren und gleichzeitig das IT-Sicherheitspersonal zu entlasten. Ein weiterer Anwendungsbereich ist die Einhaltung von Compliance-Richtlinien und gesetzlicher Vorgaben wie der Datenschutzgrundverordnung (DSGVO) oder des SOX-Standards. Sicherheitsvorfälle lassen sich mit Hilfe einer SIEM-Lösung dokumentieren und die gesammelten Daten im Nachgang eines Vorfalls tiefer analysieren. Darüber hinaus ist das Security Information and Event Management für den Schutz vor Insider-Bedrohungen einsetzbar. Vom normalen Aufgabenbereich abweichende Aktivitäten der Mitarbeiter werden erkannt und, falls als Bedrohung eingestuft, gemeldet.

Vorteile der Implementierung einer SIEM-Lösung

Die Implementierung einer SIEM-Lösung bietet einem Unternehmen zahlreiche Vorteile. Diese Vorteile sind beispielsweise:

  • zuverlässiges und proaktives Erkennen von Bedrohungen der IT-Sicherheit in Echtzeit
  • Analyse großer Datenmengen in hoher Geschwindigkeit - gute Skalierbarkeit
  • automatisches Alarmieren der verantwortlichen Stellen, um rechtzeitig wirksame Gegenmaßnahmen zu ergreifen
  • Entlastung des IT-Sicherheitspersonals durch automatisierte Analysen - geringerer Bedarf an Security-Experten
  • Einhaltung von Compliance-Richtlinien und gesetzlicher Vorgaben
  • manipulations- und revisionssichere Speicherung und Dokumentation sicherheitsrelevanter Ereignisse
  • nachträgliche Analysen und Nachweise von Sicherheitsvorfällen
  • Erkennung fortgeschrittener oder neuer Angriffsmethoden dank Künstlicher Intelligenz und Maschinellem Lernen
  • durch Verschmelzung von SIEM- und SOAR-Lösungen automatisiertes Reagieren auf Sicherheitsbedrohungen
  • ganzheitlicher Blick auf die Sicherheitslage der IT-Umgebung und Visualisierung des aktuellen Zustands
  • Cloud-basierte Lösungen verfügbar - keine eigene Hard- und Software zur Realisierung einer SIEM-Lösung notwendig - Lösung sofort einsetzbar

(ID:47080809)

Über den Autor