:quality(80)/p7i.vogel.de/wcms/fe/78/fe7853bc53025097113ccc1e522e1b7f/0108745708.jpeg "Switches, Router, Gateways, Server, USVs Racks & Co. – Das Feld der Netzwerk-Infrastruktur ist breit und viele Anbieter buhlen hier bei den IT-Awards um die Gunst der Leser von IP-Insider. (Bild: © lassedesignen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/0b/2f0badc7f79d254978200e2b701404f3/0108746724.jpeg "Ohne den digitalen Arbeitsplatz – auch Digital Workspace genannt – wäre der Corona-bedingte Wechsel ins Homeoffice für viele wohl unmöglich gewesen. Heute geht es ohne Digital Workspace gar nicht mehr. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/d2/bcd2025a15a68d1fb301f78908b63089/0108718897.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © nimito - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/09/8109e93cabadea27e80753ea82d09216/0114074983.jpeg "Microsoft-Systeme dominieren die Netzwerke. Aber es finden sich zunehmend auch Geräte mit macOS, Linux und Unix in Unternehmensnetzen. Auch solche Fremdsysteme können an Active Directory angebunden werden. (Bild: Joos - Apple)")
:quality(80)/p7i.vogel.de/wcms/78/04/7804ac1082f1590953620d451043048a/0114052817.jpeg "Database Availability Groups (DAG) sind ein Kernelement für die Hochverfügbarkeit von Exchange-Servern im lokalen Rechenzentrum. Wir zeigen, wie man Datenbanken umgeht. (Bild: © Kanlaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/43/6043da56782bdfd9be6b6ba240e90543/0113232231.jpeg "Die Powershell ist ein mächtiges Werkzeug in Windows. (Bild: Thomas Joos)")
:quality(80)/p7i.vogel.de/wcms/e8/b5/e8b543b88343e80c6c0059829d97626c/0114061802.jpeg "„Campus-Netz Smart“ biete auf Grundlage von Microsoft Azure eine standardisierte Lösung für private 5G-Netze. (Bild: Deutsche Telekom / GettyImages / Traitov; Montage: Evelyn Ebert Meneses)")
:quality(80)/p7i.vogel.de/wcms/a9/2a/a92a4f1de57a46d19f848402fff48785/0114005747.jpeg "Wird das Bild noch rund? Was hat ein Donut mit Konnektivität zu tun? (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/2f/82/2f828f5b7dd0f3a70118207ba9f86c55/0114017629.jpeg "Daniel Leimbach, Head of Customer Unit Western Europe von Ericsson: „Wir hoffen, dass die Tests in Dresden dazu beitragen, den künftigen 5G-Ausbau zu stärken und dass das Vertrauen in die Technologie weiter wächst.“ (Bild: Ericsson)")
:quality(80)/p7i.vogel.de/wcms/70/c6/70c6d758eb0048f37eaea7997018042e/0114039013.jpeg "Die Mobile Autonomous Prospecting Platform (MAPP), ein Rover von Lunar Outpost, mit ausgefahrenen Nokia-Antennen. (Bild: Intuitive Machines / Lunar Outpost / Nokia Bell Labs)")
:quality(80)/p7i.vogel.de/wcms/bd/6c/bd6c9611b5e9b2e648e931cb9daae8c7/0114061503.jpeg "Das U-Bahn-Projekt Grand Paris Express wird federführend von der Société du Grand Paris realisiert. (Bild: Société du Grand Paris / Sébastien d’Halloy)")
:quality(80)/p7i.vogel.de/wcms/5a/14/5a14b2c569bdd336f9611e72c8cd3861/0114061768.jpeg "Der Aruba Instant On 1960 ist ein stapelbarer Switch mit einer Portkapazität von 2,5 GB. (Bild: HPE)")
:quality(80)/p7i.vogel.de/wcms/b5/02/b502640f99473c567569a0604f606ed8/0114146630.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/0b/170ba091381c42120c88d4de2a652605/0114061782.jpeg "Fluke Networks bietet ausgewählte Kupfer- und Glasfasertester mit Rabatt, Gold-Support und Kalibrierungsservice an. (Bild: Fluke Networks)")
:quality(80)/p7i.vogel.de/wcms/f8/a3/f8a3dc7ea5c753432fb9d0ebe5d68789/0114073000.jpeg "Wer wann über welches Gerät und von wo aus Zugriff auf Unternehmensressourcen hat, ist heute wichtiger denn je. Diese Steuerung übernehmen in der Regel IAM-Lösungen, die aber meist extrem komplex sind. Einfacher in allen Punkten sind hochintegrierten IAM-Lösungen. (Bild: © blacksalmon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/02/33029cdcb203a459272fc9b9a9bb675d/0114039192.jpeg "APM-Systeme laufen auf Anwendungsebene und sammeln Daten und Metriken, die sie dann mit vordefinierten Richtwerten abgleichen. (Bild: © – lhphotos – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/da/00da659829ffb1a7f68bfe1b1f541243/0114039171.jpeg "Matrix42-CFO Marc Breitfeld: „Mit Enterprise Service Management lassen sich Ausgaben besser verwalten, Software wird effizient genutzt und Lizenzbestimmungen können mühelos eingehalten werden.“ (Bild: Matrix42)")
:quality(80)/p7i.vogel.de/wcms/65/ba/65bad184555f299f286830308a516b95/0113988463.jpeg "Positionen bestimmen: Für die exakte Bestimmung von Positionen in vernetzten Gebäuden gibt es verschiedene Möglichkeiten. Etabliert hat sich Visible Light Communication. Wie der Name sagt, wird bei dem Verfahren für Menschen sichtbares Licht verwendet. (Bild: © Tech Hendra – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/9b/159b50dbe2821cce5b9d18196e0ffa09/0114057323.jpeg "Erwin Breneis, Sales and Solution Specialist bei Juniper Networks, erläutert, warum sich Network-as-a-Service lohnt. (Bild: Alex Schelbert - Juniper Networks)")
:quality(80)/p7i.vogel.de/wcms/ab/4f/ab4f6d6d1977ccdfe30ae52cf8f975c4/0114002340.jpeg "Becom.one unterstützt den parallelen Einsatz von DSL, Kabel, Glasfaser, LTE, 5G und Starlink. (Bild: Becom)")
:quality(80)/p7i.vogel.de/wcms/77/25/7725113895e0c0e995800ee3e603c08a/0113257803.jpeg "Fazit des Palo Alto Networks IoT Security Benchmark Reports für Unternehmen: Ohne sichere, vernetzte Endgeräte kann Zero Trust nicht erfolgreich umgesetzt werden! (Bild: j-mel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/63/69639e2fdae5e80be62b86785dcea352/0113383474.jpeg "Die Experten von CyberRatings.org empfehlen die ZTNA-Lösung von Versa Networks. (Bild: © – abcmedia – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/a2/24a2db265aff80feafc976e5f0db95fd/0113367719.jpeg "Für die 1800er-Serie hat Lancom das neue „Blackline“-Gehäuse entwickelt. (Bild: Lancom)")
:quality(80)/p7i.vogel.de/wcms/24/a4/24a4afe677c8595c650c214584a3817e/0114061470.jpeg "Mitels neue 700d-DECT-Handset-Serie umfasst vier Modelle. (Bild: Mitel)")
:quality(80)/p7i.vogel.de/wcms/50/c5/50c5a853408eb76c9685288f136f1b00/0114147274.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9e/259ea95526af2984c66b1709ad1f7860/0114014778.jpeg "Die EU-Kommission hat Bedenken wegen der Kopplung von Teams an Microsoft 365 – der Tech-Konzern reagiert mit einer Entkopplung der Produkte. (Bild: yavdat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/fa/25fa4bb5e61fd700bda4fddb3bb2da7d/0113939282.jpeg "Handelt es sich beim Unternehmen weder um eine Tierhandlung noch um ein auf Vierbeiner spezialisiertes Fotostudio, haben Katzenbilder nichts in den Speichersystemen verloren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/af/56/af5630795c1483b0949a3bcea2ec1f63/0114038437.jpeg "Sanjay Macwan, Chief Information Officer und Chief Information Security Officer von Vonage, nennt acht Gründe, die für einen Einsatz von SD-WAN in Unternehmen sprechen. (Bild: Vonage)")
:quality(80)/p7i.vogel.de/wcms/b8/0d/b80d634cf6737163ba0eb4cc02e50050/0113368287.jpeg "Meißen hat das Ziel, sein LoRaWAN auf das ganze Stadtgebiet auszudehnen. (Bild: Basemap.de / BKG 03 2023)")
:quality(80)/p7i.vogel.de/wcms/0f/4c/0f4ccfe5a478a41e5f331bf5722f93e7/0112967090.jpeg "Das Ultra Ethernet Consortium verfolgt das Ziel einer vollständig auf Ethernet basierten Kommunikations-Stack-Architektur für Hochleistungsnetzwerke. (Bild: Ultra Ethernet Consortium)")
Definition Was ist SIEM (Security Information and Event Management)?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/61/5a/615ac2ee6e619/paessler-logo-mit-claim-me-blue.jpeg "paessler-logo-mit-claim-me-blue (Paessler AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/14/64144695bcf74/logo-high-resolution.png "logo-high-resolution (Southern Tech)"){kind=logo}
Das Security Information and Event Management sammelt, korreliert und analysiert Daten verschiedener Systeme und Komponenten einer IT-Umgebung, um sicherheitsrelevante Anomalien, Bedrohungen oder Angriffe auf die Cyber Security in Echtzeit zu finden. Ein ganzheitlicher Blick auf die Sicherheitslage der IT-Umgebung wird möglich. Bei erkannten Angriffen, Bedrohungen oder Anomalien alarmiert SIEM automatisch.
Die Abkürzung für Security Information and Event Management lautet SIEM. Das Security Information and Event Management ist ein softwarebasiertes Konzept aus dem Bereich des Security Managements, mit dem ein ganzheitlicher Blick auf die Sicherheit und die aktuelle Bedrohungslage einer IT-Umgebung möglich wird.
Es handelt sich um eine Kombination aus SEM (Security Event Management) und SIM (Security Information Management), das fortgeschrittene Verfahren und Algorithmen der Künstlichen Intelligenz (KI) und des Maschinellen Lernens (ML) einsetzt, um sicherheitsrelevante Anomalien in den gesammelten Daten oder Bedrohungen und Angriffe in Echtzeit erkennt. Logdaten, Systemmeldungen oder Alarme verschiedener Systeme, Komponenten, Anwendungen, Services und Geräte wie Server, Router, Firewalls, IDS- und IPS-Systeme werden auf einer zentralen Plattform gesammelt, korreliert und analysiert.
Algorithmen finden und erkennen ungewöhnliche Meldungen, verdächtige Muster oder gefährliche Trends in den Daten und alarmieren automatisch die verantwortlichen Stellen oder zuständigen Personen. Die Sicherheitslage der IT-Umgebung lässt sich auf interaktiven Dashboards visualisieren und als Echtzeitinformation einer definierten Zielgruppe bereitstellen. Auf Basis der Alarme oder der Visualisierungen ist die Organisation oder das Unternehmen in der Lage, ohne große Zeitverzögerung angemessen auf mögliche Bedrohungen oder Angriffe zu reagieren und Gegenmaßnahme zu ergreifen.
Oft werden SIEM-Lösungen mit SOAR-Lösungen (Security Orchestration, Automation and Response Lösungen) kombiniert, wodurch sich die Reaktionen auf Sicherheitsvorfälle und das Ergreifen von Abwehrmaßnahmen automatisieren lassen. Das Security Information and Event Management kann On-Premises und/oder Cloud-basiert realisiert werden. Beispiele für SIEM-Lösungen und -Produkte sind IBM QRadar, Splunk Enterprise Security, LogPoint oder Azure Sentinel.
Motivation und Zielsetzung des Security Information and Event Managements
Die zunehmende Digitalisierung der Unternehmen und ihrer Geschäftsprozesse und deren Vernetzung per Internet steigern das Risiko, Opfer von Hacker-Angriffen oder anderen Cyber-Bedrohungen zu werden. Der Schutz der IT vor solchen Angriffen und Bedrohungen gewinnt für Unternehmen stetig an Bedeutung. Um verdächtige Aktivitäten zu erkennen und Angriffe proaktiv abzuwehren, sind riesige Mengen an Daten komplexer IT-Architekturen zu sammeln und zu analysieren.
Diese Aufgabe ist vom IT-Sicherheitspersonal manuell nicht mit vertretbarem Aufwand zu bewältigen und überlastet die knappen Ressourcen der IT-Sicherheitsexperten. Zudem werden Angriffsmethoden immer ausgefeilter und erfordern immer tiefergehende Analysen. Das Security Information and Event Management hat das Ziel, das Sammeln und Analysieren der Daten zu zentralisieren und die Auswertung und Alarmierung zu automatisieren. Das erleichtert es den Sicherheitsteams, die IT-Umgebung zu überwachen, Gefahren in Echtzeit zu erkennen und direkt darauf zu reagieren. Das manuelle Durchsuchen und Auswerten der Daten wird überflüssig.
Abgrenzung zwischen Security Information and Event Management und Security Orchestration, Automation and Response (SOAR)
SOAR- und SIEM-Lösungen sind Lösungen aus dem Bereich des Security Managements von IT-Umgebungen und werden häufig in Kombination oder als integrierte Produkte eingesetzt. Was die Funktionsweise und Zielsetzung angeht, haben sie einige Gemeinsamkeiten wie das Sammeln und Analysieren von Daten unterschiedlicher Quellen. Dennoch lassen sie sich deutlich voneinander unterscheiden.
Die Abkürzung SOAR steht für Security Orchestration, Automation and Response. Eine SOAR-Lösung stellt Verfahren und Tools zur Verfügung, mit denen sich Daten unterschiedlicher IT-Systeme sammeln und hinsichtlich Sicherheitsbedrohungen analysieren lassen. Mit den gewonnenen Ergebnissen leitet eine SOAR-Lösung eine automatische Reaktion auf erkannte Gefährdungen ein.
Während sich das Security Information and Event Management auf das Sammeln und Analysieren der Daten und das anschließende Alarmieren konzentriert, geht SOAR einen Schritt weiter. Security Orchestration, Automation and Response ist in der Lage, Angriffe automatisiert abzuwehren und benötigt nicht wie SIEM das manuelle Eingreifen der Sicherheitsspezialisten. Immer mehr Hersteller kombinieren ihre SIEM- und SOAR-Lösungen und bieten Produkte, die auf Basis der gesammelten und analysierten Daten sowohl automatisiert alarmieren als auch selbständig Gegenmaßnahmen einleiten.
Das Funktionsprinzip einer SIEM-Lösung
Das Funktionsprinzip einer SIEM-Lösung ist darauf ausgerichtet, alle für die Sicherheit der zu überwachenden IT-Umgebung relevanten Daten an einer zentralen Stelle zu sammeln, sie zu korrelieren und auf verdächtige Muster, Anomalien und gefährliche Aktivitäten hin zu untersuchen. Die grundlegenden Prozesse des Security Information and Event Managements sind:
- 1. Sammeln und Zusammenführen sicherheitsrelevanter Daten an zentraler Stelle
- 2. Korrelieren der Daten und Aufbereiten für die Auswertung
- 3. Analyse der Daten auf Anomalien, verdächtige Ereignisse und gefährliche Aktivitäten mit Hilfe Künstlicher Intelligenz und Maschinellem Lernen
Für die Datensammlung wird eine Vielzahl verschiedener IT-Systeme, Netzkomponenten, Geräte, Services und Anwendungen wie Server, Firewalls, Router, Switches, Virtualisierungs-Hypervisoren, Storage-Geräten, VPN-Server, Proxys, IDS- und IPS-Systemen und Datenbanken unterstützt. Die Daten werden über standardisierte Schnittstellen und Protokolle wie SNMP abgefragt oder über zuvor auf den Systemen installierte Agenten bereitgestellt und manipulations- und revisionssicher gespeichert. Einige der Agenten führen eine Vorverarbeitung der Daten durch, um die Datenmengen noch vor der Übertragung zu reduzieren.
Nach der zentralen Normalisierung und Strukturierung der erhaltenen Daten starten die Analyseprozesse. Intelligente Algorithmen stellen auf Basis von Regeln und Modellen Beziehungen zwischen den Daten her, finden Muster und Trends und erkennen Sicherheitsbedrohungen. Ist ein sicherheitsrelevantes Ereignis gefunden, spezifiziert das System die Bedrohungsstufe anhand zuvor festgelegter Kategorien und löst einen Alarm aus. Zusätzlich visualisiert das Security Information and Event Management die Bedrohungslage mit Hilfe ausgewählter Security-KPIs in benutzerdefinierten, interaktiven Dashboards.
Anwendungsbereiche des Security Information and Event Managements
Die Anwendungsmöglichkeiten des Security Information and Event Managements sind vielfältig. SIEM-Lösungen lassen sich einsetzen, um das Risiko, Opfer von Cyber-Angriffen zu werden, zu minimieren und gleichzeitig das IT-Sicherheitspersonal zu entlasten. Ein weiterer Anwendungsbereich ist die Einhaltung von Compliance-Richtlinien und gesetzlicher Vorgaben wie der Datenschutzgrundverordnung (DSGVO) oder des SOX-Standards. Sicherheitsvorfälle lassen sich mit Hilfe einer SIEM-Lösung dokumentieren und die gesammelten Daten im Nachgang eines Vorfalls tiefer analysieren. Darüber hinaus ist das Security Information and Event Management für den Schutz vor Insider-Bedrohungen einsetzbar. Vom normalen Aufgabenbereich abweichende Aktivitäten der Mitarbeiter werden erkannt und, falls als Bedrohung eingestuft, gemeldet.
Vorteile der Implementierung einer SIEM-Lösung
Die Implementierung einer SIEM-Lösung bietet einem Unternehmen zahlreiche Vorteile. Diese Vorteile sind beispielsweise:
- zuverlässiges und proaktives Erkennen von Bedrohungen der IT-Sicherheit in Echtzeit
- Analyse großer Datenmengen in hoher Geschwindigkeit - gute Skalierbarkeit
- automatisches Alarmieren der verantwortlichen Stellen, um rechtzeitig wirksame Gegenmaßnahmen zu ergreifen
- Entlastung des IT-Sicherheitspersonals durch automatisierte Analysen - geringerer Bedarf an Security-Experten
- Einhaltung von Compliance-Richtlinien und gesetzlicher Vorgaben
- manipulations- und revisionssichere Speicherung und Dokumentation sicherheitsrelevanter Ereignisse
- nachträgliche Analysen und Nachweise von Sicherheitsvorfällen
- Erkennung fortgeschrittener oder neuer Angriffsmethoden dank Künstlicher Intelligenz und Maschinellem Lernen
- durch Verschmelzung von SIEM- und SOAR-Lösungen automatisiertes Reagieren auf Sicherheitsbedrohungen
- ganzheitlicher Blick auf die Sicherheitslage der IT-Umgebung und Visualisierung des aktuellen Zustands
- Cloud-basierte Lösungen verfügbar - keine eigene Hard- und Software zur Realisierung einer SIEM-Lösung notwendig - Lösung sofort einsetzbar
(ID:47080809)
:quality(80)/p7i.vogel.de/wcms/00/a3/00a3ed2ab5c6e13e01832aa3f5254995/0110173259.jpeg "Der Best-of-Breed-Ansatz gehört in die Vitrine aus der Anfangszeit der IT-Security, denn dadurch wurden Silos geschaffen, die es erschweren, sicherheitsrelevante Informationen im Zusammenhang zu betrachten; meint Richard Werner von Trend Micro. (Bild: tab62 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/3e/0c3edeeb015db59e6bdd1a8709ebefbe/0110040417.jpeg "Stetig komplexer werdende Multi-Cloud-Umgebungen müssen in ihrer Gänze überwacht werden. Mit klassischen fragmentierten Security-Lösungen, die vor allem die Endpoints im Blick haben, ist das kaum noch möglich. (Bild: BillionPhotos.com - stock.adobe.com)")