SIEM - Security Information and Event Management

Der Abkürzung „SIEM“ entstammt aus dem Bereich der Computer- und Informationssicherheit und beschreibt den Begriff „Security Information and Event Management“. SIEM bezeichnet Softwareprodukte und IT-Dienstleistungen mit dem Ziel, in Echtzeit Angriffe auf Server, Netzwerke, Datenbanken und Anwendungen zu identifizieren und vermeiden.

SIEM kombiniert die Begriffe SIM (Security Information Management) sowie SEM (Security Event Management). Während SIM eher auf die Protokollierung und nachgelagerte Analyse von historischen Trafficdaten ausgelegt ist, untersucht SEM die jeweils aktuellen bzw. laufenden Traffic auf Rechnern und Netzwerken.

Durch SIEM können den Systemen zur Verfügung stehenden Informationen protokolliert werden (Log). Dazu gehören insbesondere Datum und Uhrzeit des Zugriffs, IP-Adresse, Anmeldenamen, Art und Umfang des Requests. Häufig kann auch das Ursprungsland des Requests, das verwendete Betriebssystem und die eingesetzte Software identifiziert werden.

Mit modernen, auch aus dem Bereich Business Intelligence stammenden Analysetools lassen sich die Zugriffsdaten sowohl für die Vergangenheit auswerten und auffällige Zugriffe und Korrelationen identifizieren. Diese helfen zum einen bei der forensischen Aufarbeitung bei vergangenen Sicherheitsvorfällen. So können betroffene Unternehmen bei Angriffen oft relativ genau rekonstruieren, wann welche Daten erbeutet oder zerstört wurden. Zum anderen können bestimmte, unerwünschte Zugriffsmuster auch im laufenden Traffic erkannt werden und erlauben den Administratoren ein schnelles Eingreifen.

Zu typischen, unerwünschten Mustern und verdächtigen Aktivitäten gehören beispielsweise häufig wiederholte Passwortversuche bei Anmeldungen, Brute Force Attacken und Advanced Persistant Threats (APT), also systematische, wiederholte penetrante Eindringungsversuche auf Server und Netzwerke und Versuche, Malware (Viren oder Spyware) auf Rechnern zu installieren.

Zum Einsatz von SIEM stehen eine Reihe von Tools und Services zur Verfügung, darunter z.B. die Tools von Solarwinds, IBM QRadar und ELK Stack.

Weitere Informationen

  • Kategorie: Glossar
  • Thema: Cyber Security