Security Information and Event Management (SIEM) - Prof. Dr. Norbert Pohlmann

Was ist ein Security Information and Event Management (SIEM)?

Ein Security Information and Event Management (SIEM) ermöglicht einen ganzheitlichen Blick auf die IT-Sicherheit einer Organisation.
SIEM stellt eine Kombination aus Security Information Management (SIM) und Security Event Management (SEM) dar. Durch das Sammeln, Korrelieren und Auswerten von Meldungen, Alarmen und Logfiles verschiedener IT-Systeme (Server, PCs, Notebooks, Smartphones, IoT-Geräte, …), Netzkomponenten (Router, Hubs, …), Anwendungen (Active Directory) und Cyber-Sicherheitssystemen (Firewall-Systeme, VPNs, Honey-Pots, Intrusion Detection-Systeme (IDS), Intrusion Prevention-Systeme (IPS), …) in Echtzeit werden Angriffe, außergewöhnliche Muster oder gefährliche Trends sichtbar. Auf Basis der gewonnenen Erkenntnisse können Organisationen schnell und präzise auf Bedrohungen oder konkrete Angriffe reagieren. Das Security Information and Event Management nutzt für die Auswertung Verfahren der Künstlichen Intelligenz (KI).
SIEM-Lösungen sind auch als Services aus der Cloud verfügbar (Managed SIEM).

Grundidee eines SIEM-Systems

Die Grundidee eines SIEM-Systems ist es, alle sicherheitsrelevanten Daten an einer zentralen Stelle zu sammeln und durch Analysen sowohl Muster als auch Trends zu erkennen, die auf gefährliche Aktivitäten schließen lassen. Das Sammeln – hier sollte darauf geachtet werden, dass sämtliche Informationen manipulations- und revisionssicher gespeichert werden – sowie die Interpretation der Daten erfolgt in Echtzeit. Das SIEM sorgt für die Normalisierung und Strukturierung aller gesammelten sicherheitsrelevanten Daten. Durch das Korrelieren der Datensätze ist es beispielsweise möglich, Einbruchsversuche durch fehlerhafte Anmeldeversuche und/oder unerlaubte Zugriffe auf Firewall-Systeme zu erkennen. Für das Sammeln der sicherheitsrelevanten Daten sind in der Regel Software-Agenten zuständig. Diese leiten die so erfassten Daten an eine zentrale Management-Station weiter. An dieser zentralen Station wird die Speicherung, Normalisierung, Strukturierung und Auswertung der sicherheitsrelevanten Daten vollzogen. Die Analysen verwenden Regeln, Korrelations-Modelle, maschinelles Lernen und Künstliche Intelligenz, um Beziehungen zwischen den Einträgen herzustellen und Auffälligkeiten zu identifizieren. Einige SIEM-Systeme führen eine Vorverarbeitung der sicherheitsrelevanten Daten in den Software-Agenten durch, um die Menge an zu übertragenden Informationen zu reduzieren.

Weitere Informationen zum Begriff: “SIEM”:

„Cyber Security – 10 aktuelle Problemfelder: Problembewusstsein muss zunächst entwickelt werden!“

„securityNews – ein Informationsdienst für IT-Sicherheit: App goes Security“

„Künstliche Intelligenz und Cybersicherheit – Unausgegoren aber notwendig“

„Hardware-Sicherheitsmodule zum Schutz von sicherheitsrelevanten Informationen“

„Kann Big Data Security unsere IT-Sicherheitssituation verbessern?“

„WLAN Security an allen Fronten: Ausreichend Sicherheit für den Enterprise Bereich?“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„Managing Digital Security“

„Unternehmen brauchen einen sicheren und vertrauenswürdigen Digitalisierungsprozess“

„Immer mehr Daten = Immer mehr (Un) Sicherheit?“

„Cyber-Sicherheit vor dem Hintergrund von Krisensituationen“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„It’s all about Trust!“

Summary

Article Name

Security Information and Event Management (SIEM)

Description

Ein Security Information and Event Management (SIEM) ermöglicht einen ganzheitlichen Blick auf die IT-Sicherheit einer Organisation. Alle sicherheitsrelevanten Daten werden an einer zentralen Stelle gesammelt, um durch intelligente Analysen gefährliche Aktivitäten zu erkennen.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo