Security Information and Event Management (SIEM) - Prof. Dr. Norbert Pohlmann

Was ist ein Security Information and Event Management (SIEM)?

Ein Security Information and Event Management (SIEM) ermöglicht einen ganzheitlichen Blick auf die IT-Sicherheit einer Organisation.
SIEM stellt eine Kombination aus Security Information Management (SIM) und Security Event Management (SEM) dar. Durch das Sammeln, Korrelieren und Auswerten von Meldungen, Alarmen und Logfiles verschiedener IT-Systeme (Server, PCs, Notebooks, Smartphones, IoT-Geräte, …), Netzkomponenten (Router, Hubs, …), Anwendungen (Active Directory) und Cyber-Sicherheitssystemen (Firewall-Systeme, VPNs, Honey-Pots, Intrusion Detection-Systeme (IDS), Intrusion Prevention-Systeme (IPS), …) in Echtzeit werden Angriffe, außergewöhnliche Muster oder gefährliche Trends sichtbar. Auf Basis der gewonnenen Erkenntnisse können Organisationen schnell und präzise auf Bedrohungen oder konkrete Angriffe reagieren. Das Security Information and Event Management nutzt für die Auswertung Verfahren der Künstlichen Intelligenz (KI).
SIEM-Lösungen sind auch als Services aus der Cloud verfügbar (Managed SIEM).

Grundidee eines SIEM-Systems

Die Grundidee eines SIEM-Systems ist es, alle sicherheitsrelevanten Daten an einer zentralen Stelle zu sammeln und durch Analysen sowohl Muster als auch Trends zu erkennen, die auf gefährliche Aktivitäten schließen lassen. Das Sammeln – hier sollte darauf geachtet werden, dass sämtliche Informationen manipulations- und revisionssicher gespeichert werden – sowie die Interpretation der Daten erfolgt in Echtzeit. Das SIEM sorgt für die Normalisierung und Strukturierung aller gesammelten sicherheitsrelevanten Daten. Durch das Korrelieren der Datensätze ist es beispielsweise möglich, Einbruchsversuche durch fehlerhafte Anmeldeversuche und/oder unerlaubte Zugriffe auf Firewall-Systeme zu erkennen. Für das Sammeln der sicherheitsrelevanten Daten sind in der Regel Software-Agenten zuständig. Diese leiten die so erfassten Daten an eine zentrale Management-Station weiter. An dieser zentralen Station wird die Speicherung, Normalisierung, Strukturierung und Auswertung der sicherheitsrelevanten Daten vollzogen. Die Analysen verwenden Regeln, Korrelations-Modelle, maschinelles Lernen und Künstliche Intelligenz, um Beziehungen zwischen den Einträgen herzustellen und Auffälligkeiten zu identifizieren. Einige SIEM-Systeme führen eine Vorverarbeitung der sicherheitsrelevanten Daten in den Software-Agenten durch, um die Menge an zu übertragenden Informationen zu reduzieren.

Weitere Informationen zum Begriff “Security Information and Event Management (SIEM)”

Vorlesungen: „Vorlesungen zum Lehrbuch Cyber-Sicherheit“

Bücher:

Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download

• Sicher im Internet: Tipps und Tricks für das digitale Leben
• Der IT-Sicherheitsleitfaden
• Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)
Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

Summary

Article Name

Security Information and Event Management (SIEM)

Description

Ein Security Information and Event Management (SIEM) ermöglicht einen ganzheitlichen Blick auf die IT-Sicherheit einer Organisation. Alle sicherheitsrelevanten Daten werden an einer zentralen Stelle gesammelt, um durch intelligente Analysen gefährliche Aktivitäten zu erkennen.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo