SIEM (Security Information and Event Management)

Ein Security Information and Event Management System (SIEM) sammelt Log- und Ereignisdaten aus zahlreichen Quellen wie Servern, Firewalls, Endgeräten und Anwendungen an einer zentralen Stelle. Durch Normalisierung und Korrelation dieser Daten lassen sich Zusammenhänge erkennen, die in einzelnen Systemen unsichtbar blieben.

Der Mehrwert eines SIEM liegt in der Korrelation: Erst die Verknüpfung scheinbar harmloser Einzelereignisse ergibt das Bild eines Angriffs, etwa wenn auf eine Reihe fehlgeschlagener Anmeldungen eine erfolgreiche Anmeldung und ungewöhnliche Datenzugriffe folgen. Auf dieser Basis werden Alarme erzeugt und priorisiert.

Ein SIEM ist häufig das technische Herzstück eines Security Operations Center (SOC). Sein Nutzen steht und fällt jedoch mit sorgfältiger Konfiguration: Schlecht abgestimmte Regeln erzeugen eine Flut von Fehlalarmen, die wichtige Hinweise überdecken. Moderne Plattformen ergänzen SIEM um automatisierte Reaktionen (SOAR) und Verhaltensanalyse.