:quality(80)/p7i.vogel.de/wcms/fe/78/fe7853bc53025097113ccc1e522e1b7f/0108745708.jpeg "Switches, Router, Gateways, Server, USVs Racks & Co. – Das Feld der Netzwerk-Infrastruktur ist breit und viele Anbieter buhlen hier bei den IT-Awards um die Gunst der Leser von IP-Insider. (Bild: © lassedesignen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/0b/2f0badc7f79d254978200e2b701404f3/0108746724.jpeg "Ohne den digitalen Arbeitsplatz – auch Digital Workspace genannt – wäre der Corona-bedingte Wechsel ins Homeoffice für viele wohl unmöglich gewesen. Heute geht es ohne Digital Workspace gar nicht mehr. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/d2/bcd2025a15a68d1fb301f78908b63089/0108718897.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © nimito - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/a1/7da13c070fec8d616ec16b45bd7f5506/0111560991.jpeg "Die NetCrunch-Oberfläche bietet eine übersichtliche Menüstruktur und integrierte sowohl On-Premises- als auch Cloud-Infrastrukturkomponenten. (Bild: AdRem Software - Joos)")
:quality(80)/p7i.vogel.de/wcms/e2/2e/e22ee822cafaa471a4dbee79a58433a5/0111567753.jpeg "Das IP-Adressmanagement ist seit je her wichtig. Besonders wichtig wird die Planung und Verwaltung von IP-Adressen aber dann, wenn lokale Infrastruktur und Cloud-Dienste aufeinander abgestimmt werden müssen. (Bild: © ronstik - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/53/92535bf443113da1720a610be6a24a60/0111514107.jpeg "Offene Ports können schnell zu einem Sicherheitsrisiko werden. Geeignete Tools helfen, Problemstellen zu identifizieren und Sicherheitslücken zu schließen. (Bild: © xiaoliangge - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/18/7b180d83dd1052fa83dcc38ca2a83534/0111273841.jpeg "Alles normal – auf den ersten Blick! Doch tatsächlich wurde dieses Auto durch den Verkehr in Düsseldorf von einem Menschen in Hamburg gesteuert. (Bild: Mira)")
:quality(80)/p7i.vogel.de/wcms/2c/3b/2c3beacac6ad84f45bd7f9e6c1b8fc8e/0111162157.jpeg "Im Universitätsklinikum Frankfurt soll künftig in allen Innenräumen 5G zur Verfügung stehen. (Bild: Universitätsklinikum Frankfurt)")
:quality(80)/p7i.vogel.de/wcms/58/d8/58d8a9f842f457385f82c4029c0b8e20/0111023242.jpeg "Campus-Netze der Telekom ermöglichen Geschäftskunden maßgeschneiderte Konnektivität für digitale Anwendungen auf ihrem Betriebsgelände. (Bild: Deutsche Telekom / GettyImages / Traitov)")
:quality(80)/p7i.vogel.de/wcms/d2/e0/d2e0dcd5c927b295845fa8ff3d258b7e/0110997301.jpeg "Ericsson Private 5G eigne sich für die Fertigung und andere industrielle Umgebungen wie Häfen, Bergbau und Energieversorgung. (Bild: Ericsson)")
:quality(80)/p7i.vogel.de/wcms/c1/78/c178285c6912802a7166b3ed33e9bbf8/0111525684.jpeg "Die Switches der XGS2220-Serie können im Stand-alone-Modus oder über die Cloud gemanagt werden. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/ae/91/ae9110ac101250ed8ae2c9217c77eb90/0111583975.jpeg "Extreme unternimmt mit der in Berlin vorgestelltem Data Fabric-Lösung "ExtremeCloud Edge" einen weiteren Anlauf hin zu weniger Komplexität. Dabei handelt es sich um ein Software-Paket bestehend aus Anwendungen wie ExtremeCloud IQ, ExtremeCloud SD-WAN und Extreme Intuitive Insights, mit dem firmeneigene Clouds von jedem beliebigen Standort aus aufgebaut werden können. (Bild: Dietmar Müller)")
:quality(80)/p7i.vogel.de/wcms/f9/f6/f9f66c131d81e9be562fcc61aa416191/0111346382.jpeg "WebConnect ermöglicht den doppelseitigen Druck in Remote-Verbindungen auf lokalen Druckern. (Bild: WebConnect World SL)")
:quality(80)/p7i.vogel.de/wcms/51/14/511437e5d0b6b7f218b239b2a25de9c7/0111362151.jpeg "Die Tabelle mit den Ergebnissen eines Wi-Fi-Scans zeigt die SSID, das BSS, Frequenz- und Kanalinformationen sowie die Signalstärke für jedes Wi-Fi-Netzwerk. (Bild: Allegro Packets)")
:quality(80)/p7i.vogel.de/wcms/9a/12/9a12540d068597e80b0c58a00739e881/0111831135.jpeg ""Übergreifendes Netzwerk-Monitoring für IT und OT", ein Interview von Oliver Schonschek, Insider Research, mit Felix Berndt von der Paessler AG. (Bild: Vogel IT-Medien / Paessler AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/bc/bf/bcbfd1989b64de7d1efcec464b2ae2b9/0111241131.jpeg "Dr. Melanie Langermeier ist CEO von Qbilon und verantwortlich für Produktstrategie und Kundenbetreuung. (Bild: Qbilon)")
:quality(80)/p7i.vogel.de/wcms/04/31/0431d676156b689354505ddc83d3910a/0111274207.jpeg "Smartphones sind im beruflichen Alltag ein beliebtes Tool, um Arbeitsprozesse zu verbessern. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/d5/68d51e33733190015fe48085d19bf50f/0100318890.jpeg "Gregor Stegen ist Vice President Sales and Business Development EMEA bei Plume und erläutert, welchen Mehrwert KI für das Kundenmanagement bei Service-Providern bereithält. (Bild: foto di matti - Gregor Stegen - Plume)")
:quality(80)/p7i.vogel.de/wcms/d5/6f/d56ffeea7182605a75db1fd2817c58fe/0111435913.jpeg "Zum Stichtag 01. Mai 2023 gibt unser Autor Dr. Harald Karcher einen Überblick über alle bereits erhältlichen und aktuell angekündigten Wi-Fi-7-Produkte. (Bild: © hakinmhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/a2/85a26e9693a832a76c63a0ad949857a7/0111184647.jpeg "Das mit AIOps weiterentwickelte HPE Aruba Networking Central sowie Agile NaaS sollen eine effektivere Verwaltung komplexer Betriebsprozesse ermöglichen. (Bild: Hewlett Packard Enterprise)")
:quality(80)/p7i.vogel.de/wcms/bc/71/bc715c91f6cafbbabefba39be618b28b/0110711709.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d3/1a/d31aa21504bed10399be39e92f72efa7/0110934224.jpeg "Jochen Kunert von Unisys erläutert, wo man in Sachen Homeoffice und Remote Work jetzt angreifen muss, um die während der Pandemie oft hopplahopp eingeführten Konzepte auf sichere Füe zu stellen. (Bild: ARMIN HOEHNER - Unisys)")
:quality(80)/p7i.vogel.de/wcms/5e/90/5e901c67000a6a3b3e5d5c1dc20ded19/0110796663.jpeg "Mit SaaS Remote Access behalten Unternehmen die Kontrolle über den externen Fernzugriff. (Bild: Wallix)")
:quality(80)/p7i.vogel.de/wcms/78/20/7820f031c9f54f82f18b35275f028c71/0110700143.jpeg "Das SoftEther VPN-Projekt ermöglicht die Installation eines VPN-Servers als Alternative zu WireGuard und OpenVPN. (Bild: Joos - SoftEther Project)")
:quality(80)/p7i.vogel.de/wcms/ba/fa/bafaa37c6352f5b0c58a06a2c2881899/0111346909.jpeg "Die Workspaces der Starface App für Windows sollen Anwendern einen besseren Überblick über ihre Kommunikationsumgebung bieten. (Bild: Starface)")
:quality(80)/p7i.vogel.de/wcms/5f/d1/5fd10f0c6f06b5cd02dc7f72d9e2c4d8/0111134557.jpeg "Hybride Zusammenarbeit und dafür in der Cloud gespeicherte Daten benötigen angepasste Schutzmaßnahmen. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/04/1604941dd5a9d03ab6f9af938606e80a/0111400477.jpeg "Vertrauenswürdige Webseiten durch „IP Use After Free“-Attacken sind die perfide Weiterentwicklung der Lookalike Domains. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/e2/ffe242f7ff4ea687d6f181688f02cd0e/0111349539.jpeg "Viele Organisationen tun sich schwer, ihre Infrastrukturen adäquat zu schützen. Finanzielle und personelle Ressourcen sind beschränkt und es fehlt oft auch am Bewusstsein, welchen Stellenwert IT-Security heutzutage einnimmt. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d3/41/d341510725a8d974bd6d264398d141ad/0111328737.jpeg "Die Verringerung des jährlichen Verlusts, der durch einen Cyberangriff zu erwarten ist, ist der bedeutendste Faktor, durch den sich Investitionen in die Cybersicherheit für ein Unternehmen auszahlen. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f019c6193d103a1894ce7a933921255/0111362429.jpeg "Für On-Demand-Kunden seien in Sekundenschnelle Bandbreiten von bis zu 10 GBit/s an Tausenden von Standorten im Colt-Netzwerk verfügbar. (Bild: Colt)")
:quality(80)/p7i.vogel.de/wcms/a4/24/a4242fc17c20b0b6c258756fe631f018/0111080608.jpeg "Das Einsteigerpaket „Ortsbeleuchtung“ enthält neben den konfigurierten GreenBoxes mit integrierter Winkelantenne ein LoRaWAN-Outdoor-Gateway und drei Monate Nutzung des Demo-Dashboards. (Bild: Alpha-Omega Technology)")
:quality(80)/p7i.vogel.de/wcms/7c/42/7c426017759c779c90334252640bbed1/0110988923.jpeg "Software-definierte Netztechnologien sind heute ein Muss für agile Unternehmen, sagen Steffen Gienger von Juniper Networks und Sherif Rezkalla von der Deutsche Telekom in ihrem gemeinsamen Beitrag. (Bild: © basiczto - stock.adobe.com)")
Definition Was ist SIEM (Security Information and Event Management)?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/5a/615ac2ee6e619/paessler-logo-mit-claim-me-blue.jpeg "paessler-logo-mit-claim-me-blue (Paessler AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/6b/626ba9b8326a0/cradlepoint-ericsson-logo-full-color-horizontal.png "cradlepoint-ericsson-logo-full-color-horizontal (Cradlepoint)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/14/64144695bcf74/logo-high-resolution.png "logo-high-resolution (Southern Tech)"){kind=logo}
Das Security Information and Event Management sammelt, korreliert und analysiert Daten verschiedener Systeme und Komponenten einer IT-Umgebung, um sicherheitsrelevante Anomalien, Bedrohungen oder Angriffe auf die Cyber Security in Echtzeit zu finden. Ein ganzheitlicher Blick auf die Sicherheitslage der IT-Umgebung wird möglich. Bei erkannten Angriffen, Bedrohungen oder Anomalien alarmiert SIEM automatisch.
Die Abkürzung für Security Information and Event Management lautet SIEM. Das Security Information and Event Management ist ein softwarebasiertes Konzept aus dem Bereich des Security Managements, mit dem ein ganzheitlicher Blick auf die Sicherheit und die aktuelle Bedrohungslage einer IT-Umgebung möglich wird.
Es handelt sich um eine Kombination aus SEM (Security Event Management) und SIM (Security Information Management), das fortgeschrittene Verfahren und Algorithmen der Künstlichen Intelligenz (KI) und des Maschinellen Lernens (ML) einsetzt, um sicherheitsrelevante Anomalien in den gesammelten Daten oder Bedrohungen und Angriffe in Echtzeit erkennt. Logdaten, Systemmeldungen oder Alarme verschiedener Systeme, Komponenten, Anwendungen, Services und Geräte wie Server, Router, Firewalls, IDS- und IPS-Systeme werden auf einer zentralen Plattform gesammelt, korreliert und analysiert.
Algorithmen finden und erkennen ungewöhnliche Meldungen, verdächtige Muster oder gefährliche Trends in den Daten und alarmieren automatisch die verantwortlichen Stellen oder zuständigen Personen. Die Sicherheitslage der IT-Umgebung lässt sich auf interaktiven Dashboards visualisieren und als Echtzeitinformation einer definierten Zielgruppe bereitstellen. Auf Basis der Alarme oder der Visualisierungen ist die Organisation oder das Unternehmen in der Lage, ohne große Zeitverzögerung angemessen auf mögliche Bedrohungen oder Angriffe zu reagieren und Gegenmaßnahme zu ergreifen.
Oft werden SIEM-Lösungen mit SOAR-Lösungen (Security Orchestration, Automation and Response Lösungen) kombiniert, wodurch sich die Reaktionen auf Sicherheitsvorfälle und das Ergreifen von Abwehrmaßnahmen automatisieren lassen. Das Security Information and Event Management kann On-Premises und/oder Cloud-basiert realisiert werden. Beispiele für SIEM-Lösungen und -Produkte sind IBM QRadar, Splunk Enterprise Security, LogPoint oder Azure Sentinel.
Motivation und Zielsetzung des Security Information and Event Managements
Die zunehmende Digitalisierung der Unternehmen und ihrer Geschäftsprozesse und deren Vernetzung per Internet steigern das Risiko, Opfer von Hacker-Angriffen oder anderen Cyber-Bedrohungen zu werden. Der Schutz der IT vor solchen Angriffen und Bedrohungen gewinnt für Unternehmen stetig an Bedeutung. Um verdächtige Aktivitäten zu erkennen und Angriffe proaktiv abzuwehren, sind riesige Mengen an Daten komplexer IT-Architekturen zu sammeln und zu analysieren.
Diese Aufgabe ist vom IT-Sicherheitspersonal manuell nicht mit vertretbarem Aufwand zu bewältigen und überlastet die knappen Ressourcen der IT-Sicherheitsexperten. Zudem werden Angriffsmethoden immer ausgefeilter und erfordern immer tiefergehende Analysen. Das Security Information and Event Management hat das Ziel, das Sammeln und Analysieren der Daten zu zentralisieren und die Auswertung und Alarmierung zu automatisieren. Das erleichtert es den Sicherheitsteams, die IT-Umgebung zu überwachen, Gefahren in Echtzeit zu erkennen und direkt darauf zu reagieren. Das manuelle Durchsuchen und Auswerten der Daten wird überflüssig.
Abgrenzung zwischen Security Information and Event Management und Security Orchestration, Automation and Response (SOAR)
SOAR- und SIEM-Lösungen sind Lösungen aus dem Bereich des Security Managements von IT-Umgebungen und werden häufig in Kombination oder als integrierte Produkte eingesetzt. Was die Funktionsweise und Zielsetzung angeht, haben sie einige Gemeinsamkeiten wie das Sammeln und Analysieren von Daten unterschiedlicher Quellen. Dennoch lassen sie sich deutlich voneinander unterscheiden.
Die Abkürzung SOAR steht für Security Orchestration, Automation and Response. Eine SOAR-Lösung stellt Verfahren und Tools zur Verfügung, mit denen sich Daten unterschiedlicher IT-Systeme sammeln und hinsichtlich Sicherheitsbedrohungen analysieren lassen. Mit den gewonnenen Ergebnissen leitet eine SOAR-Lösung eine automatische Reaktion auf erkannte Gefährdungen ein.
Während sich das Security Information and Event Management auf das Sammeln und Analysieren der Daten und das anschließende Alarmieren konzentriert, geht SOAR einen Schritt weiter. Security Orchestration, Automation and Response ist in der Lage, Angriffe automatisiert abzuwehren und benötigt nicht wie SIEM das manuelle Eingreifen der Sicherheitsspezialisten. Immer mehr Hersteller kombinieren ihre SIEM- und SOAR-Lösungen und bieten Produkte, die auf Basis der gesammelten und analysierten Daten sowohl automatisiert alarmieren als auch selbständig Gegenmaßnahmen einleiten.
Das Funktionsprinzip einer SIEM-Lösung
Das Funktionsprinzip einer SIEM-Lösung ist darauf ausgerichtet, alle für die Sicherheit der zu überwachenden IT-Umgebung relevanten Daten an einer zentralen Stelle zu sammeln, sie zu korrelieren und auf verdächtige Muster, Anomalien und gefährliche Aktivitäten hin zu untersuchen. Die grundlegenden Prozesse des Security Information and Event Managements sind:
- 1. Sammeln und Zusammenführen sicherheitsrelevanter Daten an zentraler Stelle
- 2. Korrelieren der Daten und Aufbereiten für die Auswertung
- 3. Analyse der Daten auf Anomalien, verdächtige Ereignisse und gefährliche Aktivitäten mit Hilfe Künstlicher Intelligenz und Maschinellem Lernen
Für die Datensammlung wird eine Vielzahl verschiedener IT-Systeme, Netzkomponenten, Geräte, Services und Anwendungen wie Server, Firewalls, Router, Switches, Virtualisierungs-Hypervisoren, Storage-Geräten, VPN-Server, Proxys, IDS- und IPS-Systemen und Datenbanken unterstützt. Die Daten werden über standardisierte Schnittstellen und Protokolle wie SNMP abgefragt oder über zuvor auf den Systemen installierte Agenten bereitgestellt und manipulations- und revisionssicher gespeichert. Einige der Agenten führen eine Vorverarbeitung der Daten durch, um die Datenmengen noch vor der Übertragung zu reduzieren.
Nach der zentralen Normalisierung und Strukturierung der erhaltenen Daten starten die Analyseprozesse. Intelligente Algorithmen stellen auf Basis von Regeln und Modellen Beziehungen zwischen den Daten her, finden Muster und Trends und erkennen Sicherheitsbedrohungen. Ist ein sicherheitsrelevantes Ereignis gefunden, spezifiziert das System die Bedrohungsstufe anhand zuvor festgelegter Kategorien und löst einen Alarm aus. Zusätzlich visualisiert das Security Information and Event Management die Bedrohungslage mit Hilfe ausgewählter Security-KPIs in benutzerdefinierten, interaktiven Dashboards.
Anwendungsbereiche des Security Information and Event Managements
Die Anwendungsmöglichkeiten des Security Information and Event Managements sind vielfältig. SIEM-Lösungen lassen sich einsetzen, um das Risiko, Opfer von Cyber-Angriffen zu werden, zu minimieren und gleichzeitig das IT-Sicherheitspersonal zu entlasten. Ein weiterer Anwendungsbereich ist die Einhaltung von Compliance-Richtlinien und gesetzlicher Vorgaben wie der Datenschutzgrundverordnung (DSGVO) oder des SOX-Standards. Sicherheitsvorfälle lassen sich mit Hilfe einer SIEM-Lösung dokumentieren und die gesammelten Daten im Nachgang eines Vorfalls tiefer analysieren. Darüber hinaus ist das Security Information and Event Management für den Schutz vor Insider-Bedrohungen einsetzbar. Vom normalen Aufgabenbereich abweichende Aktivitäten der Mitarbeiter werden erkannt und, falls als Bedrohung eingestuft, gemeldet.
Vorteile der Implementierung einer SIEM-Lösung
Die Implementierung einer SIEM-Lösung bietet einem Unternehmen zahlreiche Vorteile. Diese Vorteile sind beispielsweise:
- zuverlässiges und proaktives Erkennen von Bedrohungen der IT-Sicherheit in Echtzeit
- Analyse großer Datenmengen in hoher Geschwindigkeit - gute Skalierbarkeit
- automatisches Alarmieren der verantwortlichen Stellen, um rechtzeitig wirksame Gegenmaßnahmen zu ergreifen
- Entlastung des IT-Sicherheitspersonals durch automatisierte Analysen - geringerer Bedarf an Security-Experten
- Einhaltung von Compliance-Richtlinien und gesetzlicher Vorgaben
- manipulations- und revisionssichere Speicherung und Dokumentation sicherheitsrelevanter Ereignisse
- nachträgliche Analysen und Nachweise von Sicherheitsvorfällen
- Erkennung fortgeschrittener oder neuer Angriffsmethoden dank Künstlicher Intelligenz und Maschinellem Lernen
- durch Verschmelzung von SIEM- und SOAR-Lösungen automatisiertes Reagieren auf Sicherheitsbedrohungen
- ganzheitlicher Blick auf die Sicherheitslage der IT-Umgebung und Visualisierung des aktuellen Zustands
- Cloud-basierte Lösungen verfügbar - keine eigene Hard- und Software zur Realisierung einer SIEM-Lösung notwendig - Lösung sofort einsetzbar
(ID:47080809)
:quality(80)/images.vogel.de/vogelonline/bdb/1934100/1934139/original.jpg "Die Kooperation von Palo Alto Networks und IBM soll zu einer KI-gestützten Sicherheitsautomatisierung für 5G-Netzwerke führen. (© – Yingyaipumi – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1941700/1941764/original.jpg "Auch wenn die große Angriffswelle noch ausgeblieben ist, bleibt Log4j weiterhin gefährlich. (gemeinfrei)")