Demo-Tour jetzt buchen

Ihre Frage an uns


Einverständniserklärung Datenschutz
Mit den Bestimmungen zum Datenschutz bin ich einverstanden. Ich willige ein, dass Protelion die von mir zur Verfügung gestellten persönlichen Daten zur Bearbeitung meiner Anfrage elektronisch verarbeitet und mich, nach meinem ausdrücklichen Wunsch, zur Bearbeitung meiner Anfrage kontaktiert. Mein Einverständnis kann ich jederzeit mit Wirkung für die Zukunft widerrufen.

Vielen Dank für Ihre Anfrage.

OK
DE
EN ES

Hauptseite

/
 ... / 

Ressourcen

/
 ... / 

Blog

/
 ... / 
SIEM oder Sicherheitsinformations- und Ereignisverwaltung

SIEM oder Sicherheitsinformations- und Ereignisverwaltung

30.08.2022

SIEM oder Sicherheitsinformations- und Ereignisverwaltung (vom Englischen Security Information and Event Management) ist eine Softwarekategorie, die darauf abzielt, Unternehmen durch Datenstandardisierung und Priorisierung von Bedrohungen nützliche Informationen über potenzielle Sicherheitsbedrohungen für ihre geschäftskritischen Netzwerke zu liefern.

Die SIEM-Software führt eine zentralisierte Analyse von Sicherheitsdaten durch, die von mehreren Plattformen stammen, darunter Anwendungen wie u.a. Antivirus, Firewalls und Angriffserkennungs- und Angriffsverhinderungssysteme (IDS/IPS).

Das Prinzip eines SIEM-Systems besteht darin, dass sicherheitsrelevante Daten über ein Unternehmen an mehreren Stellen erzeugt werden. Durch die Möglichkeit, alle Informationen von einem einzigen Standpunkt aus zu verwalten, ist es einfacher, Trends und ungewöhnliche Muster zu erkennen.

Eine SIEM-Anwendung vereint die Konzepte von Security Event Management (SEM) und Security Information Management (SIM), um das Beste aus beiden zu erhalten. Ein SEM-System deckt die Echtzeit-Überwachung und Korrelation von Ereignissen ab. Es zeigt auch die Konfiguration von Warnmeldungen und Konsolenansichten im Zusammenhang mit diesen Aktivitäten an. Ein SIM-System bringt diese Daten in die nächste Phase, die die Speicherung, Analyse und Berichterstattung der Ergebnisse umfasst. Durch die Zusammenführung dieser beiden Funktionen ermöglichen SIEM-Systeme eine schnellere Identifizierung, Analyse und Wiederherstellung von Sicherheitsereignissen.

Betrieb

Ein SIEM-System sammelt Einträge und Dokumentationen in Bezug auf die Sicherheit einer Kommunikationsnetzwerkinfrastruktur zur Analyse. Die meisten SIEM-Anwendungen arbeiten mit mehreren hierarchisch angeordneten Agenten, die sicherheitsrelevante Ereignisse von Geräten wie Endbenutzern, Anwendungsservern, Datenbanken, Netzwerkgeräten und sogar spezialisierten Sicherheitseinheiten wie Firewalls, Antiviren- oder Angriffsverhinderungssystemen erfassen.

Die Sammler senden die Ereignisse an eine zentrale Verwaltungskonsole, die Inspektionen durchführt und Anomalien meldet. Damit das System anormale Ereignisse erkennen kann, muss der SIEM-Administrator zunächst ein Profil des Systems unter normalen Ereignisbedingungen erstellen.

Die Implementierung eines SIEM-Systems erfordert eine detaillierte Analyse der Organisation, um festzustellen, was gewünscht ist und was überwacht werden kann, auf welcher Ebene, mit welchen Korrelationsregeln und mit welchen Zielen. Es ist notwendig, die Interessen des Unternehmens mit den Bedürfnissen der Benutzer und der Einhaltung von Vorschriften abzustimmen, daher sollten die Sicherheitsbeauftragten Aufzeichnungen über die Aktivitäten von Interesse unter ihrer Verantwortung führen.

Ein wichtiges Merkmal beim Betrieb von SIEM-Systemen ist die Standardisierung von Daten, d. h. die Möglichkeit, Hunderte oder Tausende von Einträgen aus verschiedenen Systemen und Quellen, die von einer Einrichtung genutzt werden, in ein gemeinsames Format zu bringen.

Die Fähigkeit eines Unternehmens, alle Sicherheitsdaten in einer zentralen Ansicht seiner Infrastruktur zu haben, ist nur dann effektiv, wenn diese Daten standardisiert werden können, was SIEM-Systeme tun, um ihre Analyse und statistische Korrelation zwischen Ereignisprotokolleinträgen durchzuführen.

Möglichkeiten eines SIEM-Systems

Ein SIEM-System vereint Funktionen für die Sammlung, Analyse und Darstellung von Sicherheitsinformationen über ein Netzwerk und seine Geräte. Zu den wichtigsten gehören:

  • Datensammlung: Lösungen für die Verwaltung von Protokollen aus vielen Quellen, einschließlich Netzwerken, Sicherheitssystemen, Servern, Datenbanken, Anwendungen usw., und die Möglichkeit, überwachte Daten zu konsolidieren, um den Verlust wichtiger Ereignisse zu verhindern.
  • Korrelation: Suche nach gemeinsamen Attributen und Verknüpfung von Ereignissen in Paketen oder Vorfällen. Diese Technologie bietet die Möglichkeit, eine Vielzahl von Korrelationsverfahren zur Integration verschiedener Quellen durchzuführen, um Daten in Informationen umzuwandeln. Die Korrelation ist in der Regel eine Funktion des Sicherheitsmanagements einer vollständigen SIEM-Lösung.
  • Alarmmeldung: automatische Analyse von korrelierten Ereignissen und Erstellung von Warnmeldungen, um die Empfänger sofort über Probleme zu informieren. Alarmmeldung kann über ein Dashboard oder über Drittanbieterkanäle wie E-Mail versandt werden.
  • Tools, die Daten aus Sicherheitsereignissen in aussagekräftige Tabellen umwandeln (auch als „Dashboards“ bekannt), um Trends zu erkennen oder Aktivitäten zu identifizieren, die nicht einem Standardmuster folgen. Es wird der Status der überwachten Ressourcen und das Ergebnis der erhaltenen Informationen angezeigt (wie viele Ereignisse gesammelt wurden, wie viele verarbeitet wurden, Schwachstellen, Notfallrang und andere Aspekte).
  • Compliance: Die SIEM-Anwendungen können zur Automatisierung der Datenerfassung und Berichterstattung eingesetzt werden, um sich in bestehende Sicherheits-, Governance- und Audit-Prozesse einzufügen.
  • Aufbewahrung: Einsatz von Lösungen zur langfristigen Datenspeicherung, um die Datenkorrelation im Laufe der Zeit zu erleichtern und die für die Einhaltung von Vorschriften erforderliche Aufbewahrung zu gewährleisten. Die langfristige Aufbewahrung von Datensätzen ist für die forensische Untersuchung von entscheidender Bedeutung, da die Entdeckung einer Netzwerkverletzung wahrscheinlich nicht zum Zeitpunkt der Verletzung erfolgt.

SIEM, Big Data und künstliche Intelligenz

Unabhängig von der Größe der Unternehmen hängen heute immer mehr Dienste von Systemen ab, und daher gibt es in einer Organisation immer mehr Systeme zu warten und zu sichern.

Es ist praktisch unmöglich, alle Protokolle aller Systeme, die von einem Sicherheitsspezialisten verwaltet werden, zu überwachen und zu analysieren, da dies eine mühsame und zeitaufwändige Aufgabe ist. Dies ist ein guter Grund, warum die Installation einer SIEM-Anwendung notwendig ist.

Die Sicherheitssysteme von Unternehmen generieren eine Vielzahl von Informationen, die bis vor kurzem nicht in Echtzeit ausgewertet werden konnten. Das bedeutete, dass viele Informationen in forensischen Untersuchungen verarbeitet wurden, die die Quelle und die Ursache der Schwachstelle ermittelten, d.h. auf Angriffe wurde erst reagiert, wenn es zu spät war und der Schaden bereits eingetreten war, was bedeutete, dass Sicherheitsereignisse nachverfolgt werden mussten, anstatt sie zu vermeiden, was viel bequemer gewesen wäre.

Die Cybersicherheit hat sich in den letzten Jahren dank des unschätzbaren Werts von Big Data und künstlicher Intelligenz rasant entwickelt.

Big Data bietet eine Antwort auf die neuen Herausforderungen einer angemessenen Sicherheit. Die drei „V's“ der Daten müssen verwaltet werden: Volumen, Variety und Velocity (Volumen, Vielfalt und Geschwindigkeit), um eine enorme Menge an Daten unterschiedlichster Art schnell zu verarbeiten.

Die Kombination von Datenanalyse und Big Data, d. h. die große Menge (Volumen) und Heterogenität (Vielfalt) von Daten, zusammen mit der Notwendigkeit einer schnellen Reaktion (Geschwindigkeit), erfordert eine radikale Veränderung der traditionellen SIEM-Systeme.

Dies ermöglicht eine automatische Klassifizierung der Benutzer anhand ihrer Aktivitäten in den Netzwerken und Informationssystemen während eines bestimmten Zeitraums. Anschließend können diese Informationen mit anderen Datenbanken abgeglichen werden, z. B. mit der Position im Unternehmen, der Abteilung, dem Arbeitsplatz usw., um festzustellen, ob die betreffende Person im Netzwerk „anomale“ Aktivitäten durchführt.

Diese Kenntnisse ermöglichen die Vorhersage möglicher Ereignisse, die die Sicherheit eines Unternehmens gefährden könnten, indem fortschrittliche Vorhersage- und Analysefähigkeiten hinzugefügt werden, die auf der Entwicklung von Big Data- und künstlichen Intelligenzsystemen beruhen, bis hin zur Entwicklung eines SIEM, das an die Bedürfnisse der Umgebung und die spezifische Realität eines Unternehmens angepasst ist.

Der Einsatz fortschrittlicher SIEM-Systeme, die prädiktive Analysetechniken und Big Data-Speicher- und -Verarbeitungsfunktionen verwenden, ermöglicht Unternehmen die automatische Klassifizierung von Benutzern, die Erkennung von Diensten oder Benutzern, die nicht in Betrieb sein sollten, die Verarbeitung komplexer Ereignisse zur Erkennung von Missbrauch (z. B. das Zurücksetzen von Passwörtern), die Verhinderung interner Datenlecks oder die Erleichterung der Analyse von Warnmeldungen.

Im Allgemeinen ist eine SIEM-Lösung für ein Unternehmen von grundlegender Bedeutung, um Cyberangriffen zu begegnen, da sie ihm die notwendigen Geschäftsinformationen liefert, um Entscheidungen zu treffen und Praktiken und Verfahren zur Vorbeugung und frühzeitigen Reaktion durchzuführen, die auf der Analyse seiner eigenen Informationen basieren, um seine Daten zu schützen

Zurück zur Liste

Bloggen

Bloggen
Cybersicherheit in der Industrie 4.0
31.05.2025
Die Welt bewegt sich stetig in Richtung Automatisierung und Digitalisierung von Industriebranchen.
Mehr lesen
Bloggen
Befähigung Ihrer Arbeitskräfte: Wichtigkeit von Schulungsplattformen für das Bewusstsein für Cybersicherheit
20.05.2025
In einer Zeit, in der Cyberangriffe immer raffinierter und häufiger werden, ist menschliches Versagen nach wie vor einer der häufigsten Angriffspunkte.
Mehr lesen
Bloggen
Industrie 4.0
22.04.2025
Industrie 4.0 ist ein Konzept, das erstmals 2010 in Deutschland entwickelt wurde, um eine Vision der industriellen Fertigung zu beschreiben, bei der alle Prozesse über das Internet der Dinge (IoT) miteinander verbunden sind.
Mehr lesen