slider

Security Information and Event Management (SIEM) - Prof. Dr. Norbert Pohlmann

Security Information and Event Management (SIEM)

Security Information and Event Management (SIEM) - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Ein Security Information and Event Management (SIEM) ermöglicht einen ganzheitlichen Blick auf die IT-Sicherheit einer Organisation.
SIEM stellt eine Kombination aus Security Information Management (SIM) und Security Event Management (SEM) dar. Durch das Sammeln, Korrelieren und Auswerten von Meldungen, Alarmen und Logfiles verschiedener IT-Systeme (Server, PCs, Notebooks, Smartphones, IoT-Geräte, …), Netzkomponenten (Router, Hubs, …), Anwendungen (Active Directory) und Cyber-Sicherheitssystemen (Firewall-Systeme, VPNs, Honey-Pots, Intrusion Detection-Systeme (IDS), Intrusion Prevention-Systeme (IPS), …) in Echtzeit werden Angriffe, außergewöhnliche Muster oder gefährliche Trends sichtbar. Auf Basis der gewonnenen Erkenntnisse können Organisationen schnell und präzise auf Bedrohungen oder konkrete Angriffe reagieren. Das Security Information and Event Management nutzt für die Auswertung Verfahren der Künstlichen Intelligenz (KI).
SIEM-Lösungen sind auch als Services aus der Cloud verfügbar (Managed SIEM).

Grundidee eines SIEM-Systems Die Grundidee eines SIEM-Systems ist es, alle sicherheitsrelevanten Daten an einer zentralen Stelle zu sammeln und durch Analysen sowohl Muster als auch Trends zu erkennen, die auf gefährliche Aktivitäten schließen lassen. Das Sammeln – hier sollte darauf geachtet werden, dass sämtliche Informationen manipulations- und revisionssicher gespeichert werden – sowie die Interpretation der Daten erfolgt in Echtzeit. Das SIEM sorgt für die Normalisierung und Strukturierung aller gesammelten sicherheitsrelevanten Daten. Durch das Korrelieren der Datensätze ist es beispielsweise möglich, Einbruchsversuche durch fehlerhafte Anmeldeversuche und/oder unerlaubte Zugriffe auf Firewall-Systeme zu erkennen. Für das Sammeln der sicherheitsrelevanten Daten sind in der Regel Software-Agenten zuständig. Diese leiten die so erfassten Daten an eine zentrale Management-Station weiter. An dieser zentralen Station wird die Speicherung, Normalisierung, Strukturierung und Auswertung der sicherheitsrelevanten Daten vollzogen. Die Analysen verwenden Regeln, Korrelations-Modelle, maschinelles Lernen und Künstliche Intelligenz, um Beziehungen zwischen den Einträgen herzustellen und Auffälligkeiten zu identifizieren. Einige SIEM-Systeme führen eine Vorverarbeitung der sicherheitsrelevanten Daten in den Software-Agenten durch, um die Menge an zu übertragenden Informationen zu reduzieren.


Weitere Informationen zum Begriff “Security Information and Event Management (SIEM)”:


Informationen über das Lehrbuch: „Lehrbuch Cyber-Sicherheit“

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)


Zurück zur Übersicht
Security Information and Event Management (SIEM) - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann
Security Information and Event Management (SIEM) Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten