Bei SIEM handelt es sich um eine Abkürzung für Security Information and Event Management. Dabei handelt es sich um ein softwarebasiertes Technologie-Konzept, das im Bereich des Sicherheits-Managements mit einem ganzheitlichen Ansatz im Bereich der IT-Sicherheit angesiedelt ist.
Durch das Sammeln, Vergleichen und durch das Auswerten von Meldungen, Alarm-Funktionen sowie LogoFiles der verschiedensten Netzkomponenten, Geräte, Anwendungen sowie Security-Systeme in Echtzeit werden außergewöhnliche Muster, gefährliche Trends oder Angriffe sichtbar. Auf der Basis der hier gewonnenen Ergebnisse können dann Organisationen und Unternehmen präzise und schnell auf die vorhandenen Bedrohungen reagieren. Hier kommen dann Verfahren der Künstlichen Intelligenz (KI) sowie Verfahren des maschinellen Lernens zum Einsatz. Ebenfalls wird hier auch die Cloud mit einbezogen.
Die Funktionsweise und Arbeitsweise von SIEM
Die Basis für SIEM sind alle für die IT-Sicherheit wichtigen Daten und diese an einer zentralen Stelle zusammen zu führen und zu sammeln und dann aufgrund von Analyse-Mustern und Trends zu erkennen, ob hier gefährliche Aktivitäten vorhanden sind. Dabei erfolgen die Datensammlung und die Auswertung in Echtzeit. Hierbei sind die kompletten Informations-Daten revisionssicher und manipulationssicher gespeichert.
Die Quellen, wo SIEM zum Beispiel ansetzt, sind Server, Firewalls, IDS, IPS, Router und weitere Anwendungen. Dabei sorgt zunächst SIEM für die Strukturierung und Normalisierung der sammelten Daten. Mit Hilfe der Korrelierung der Datensätze ist es zum Beispiel möglich, Einbruchversuche aufgrund von fehlerhaften Anmeldeversuchen oder unerlaubte Zugriffe auf die vorhandene Firewall zu erkennen.
Dabei sind normalerweise für die Sammlung von Daten Software-Agenten zuständig. Diese Software-Agenten leiten dann die ermittelten Informationen an eine zentrale Management-Station weiter. Für die Speicherung, Normalisierung, in eine bestimmte Struktur bringen sowie für die Auswertung der Daten ist dann diese zentrale Station zuständig. Die Analysen arbeiten mit Korrelations-Modellen, Regeln, mit maschinellen Lernen sowie mit Künstlicher Intelligenz, um dadurch eventuelle Beziehungen zwischen den hier ausgewerteten Einträgen herzustellen und dann die entsprechenden Auffälligkeiten zu identifizieren.
Die Vorteile von SIEM
Die Zeitspanne, welche für die Identifizierung von Bedrohungen benötigt wird, wird erheblich verkürzt. Dadurch kann der Umfang der verursachten Schäden erheblich reduziert werden.
Durch SIEM erfolgt eine ganzheitliche Sicht auf die komplette Sicherheit einer Organisationsstruktur und dadurch wird die Einsammlung sowie die Analyse von sicherheitsrelevanten Daten erleichtert. Die gesamten Daten fließen an eine zentrale Stelle. Dort werden sich gespeichert und sind leicht zugänglich. Hier kommt beispielsweise G DATA zum Einsatz.
SIEM kann für eine Vielzahl von Anwendungsfällen eingesetzt werden. Somit umfasst die Sicherheitsüberwachung auch Compliance- und Audit-Berichte, Helpdesk und Netzwerk-Troubleshooting.
Die Produkte von SIEM unterstützen normalerweise große Mengen an Daten, so dass es hierbei kein Problem vorhanden ist, wenn Unternehmen sich vergrößern und wachsen.
Mit Hilfe von SIEM werden Bedrohungen erkannt und dadurch können Sicherheitswarnungen ausgelöst werden. Wenn Sicherheitsverstöße vorhanden sind, können hier zusätzlich genaue forensische Analysen durchgeführt werden.
Die Zusammenfassung von SIEM
SIEM bietet einen sehr guten Überblick über die sicherheitsrelevanten Ereignisse in IT-Umgebungen. Dadurch sorgt SIEM dafür, dass die gesetzlichen Vorgaben sowie die Compliance-Regularien bei der IT-Sicherheit erfüllt werden.. Mit Hilfe von SIEM ist eine Echtzeit-Reaktion, wenn Bedrohungen gefunden werden. möglich. Ebenso können auch nachträglich Sicherheitsereignisse nachgewiesen werden. Die dann vom System erstellten automatisierten Berichte und gezielte Alarm-Meldungen erlauben es dem IT-Sicherheits-Personal, auf die unterschiedlichen Bedrohungen schnell zu reagieren.
(Bildquelle: Pixabay.com – CC0 Public Domain)