Definition

Security Information and Event Management (SIEM)

Security Information and Event Management (SIEM) ist ein  Ansatz des Sicherheits-Managements, der darauf abzielt, eine ganzheitliche Sicht auf die Sicherheit der Informationstechnologie (IT) eines Unternehmens zu haben.

Dem SIEM-System liegt das Prinzip zugrunde, dass relevante Daten über die Sicherheit einer Firma an verschiedenen Stellen anfallen und es wesentlich einfacher ist, Trends und Muster zu erkennen, die vom gewohnten Schema abweichen, wenn man alle diese Daten an einer zentralen Stelle betrachten kann. SIEM fasst Funktionen von Security Information Management (SIM) und Security Event Management (SEM) in einem Sicherheits-Management-System zusammen.

Ein SEM-System zentralisiert die Speicherung und Interpretation gesammelter Daten und erlaubt es nahezu in Echtzeit, diese zu analysieren. Dadurch wird es dem Sicherheitspersonal ermöglicht, schneller defensive Aktionen in die Wege zu leiten. Ein SIM-System sammelt Daten an einer zentralen Stelle zur Analyse und bietet die automatisierte Erstellung von Berichten hinsichtlich Compliance sowie ein zentralisiertes Berichtswesen. Indem diese beiden Funktionen zusammengebracht werden, ermöglicht ein SIEM-System eine schnellere Identifikation, Analyse und Wiederherstellung bei sicherheitsrelevanten Zwischenfällen. Es erlaubt Compliance-Beauftragten auch den Nachweis, dass sie die notwendigen Anforderungen an die Compliance-Regularien erfüllen.

Ein SIEM-System sammelt Protokolle und andere sicherheitsrelevante Dokumente für die Analyse. Die meisten SIEM-Systeme arbeiten durch die Verteilung verschiedener Software-Agenten in einer hierarchischen Art und Weise, um sicherheitsrelevante Ereignisse bei Endgeräten, Servern sowie Netzwerkgeräten und sogar bei spezieller Sicherheitsinfrastruktur wie Firewalls, Virenschutz- oder Intrusion-Prevention-Systemen (IPS) zu protokollieren.

Die Software-Agenten leiten Ereignisse an eine zentralisierte Management-Konsole weiter, welche diese inspiziert und Anomalien feststellt. Um dem System die Identifizierung ungewöhnlicher Ereignisse zu ermöglichen, ist es wichtig, dass der SIEM-Administrator zuerst ein Profil des Systems erstellt, wie es sich unter normalen Umständen darstellt.

Auf dem einfachsten Level kann ein SIEM-System auf Basis eines regelbasierten Systems oder eines statistischen Korrelations-Modells die Beziehungen zwischen Einträgen in einem Ereignisprotokoll herstellen. In einigen Systemen findet bereits eine Vorverarbeitung durch den Software-Agenten statt und nur bestimmte Ereignisse werden an das zentrale Management weitergeleitet. Auf diese Weise wird das Volumen der zu übertragenden und zu speichernden Informationen reduziert. Dennoch besteht bei diesem Ansatz immer die Gefahr, dass relevante Ereignisse zu früh herausgefiltert werden.

Die Einführung von SIEM-Systemen ist typischerweise teuer und der Betrieb und die Verwaltung komplex. Während die Konformität zum Payment Card Industry Data Security Standard (PCI DSS) die Einführung von SIEM in großen Unternehmen vorangetrieben hat, haben Bedenken hinsichtlich der Advanced Persistent Threats (APTs) kleinere Unternehmen dazu bewogen, die Vorteile der Angebote von SIEM Managed Security Service Providern (MSSP) genauer zu betrachten.

Diese Definition wurde zuletzt im Mai 2015 aktualisiert

Erfahren Sie mehr über IT-Sicherheit: Policies, Prozeduren und Richtlinien

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

File Extensions and File Formats

Powered by:

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close