SIEM

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche


Das Kürzel SIEM steht für Security Information and Event-Management und ist eine Kombination aus SIM (Security Information Management) und SEM (Security Event Management). SIM sammelt, speichert und normalisiert die unterschiedlich aufgebauten Log-Informationen von Betriebssystemen, Applikationen und IT-Security Komponenten und ermöglicht nachträglich, eine Analyse und forensische Untersuchung von sicherheitsrelevanten Ereignissen. SEM sammelt und speichert ebenfalls Log-Informationen von unterschiedlichen Quellen, korreliert diese und analysiert und alarmiert nach vorher definierten Kriterien in Echtzeit. Da sowohl Hardware-Komponenten als auch Applikationen und Betriebssysteme, Log-Informationen in großen Mengen absetzen, ist besonders die zielgerichtete Analyse im Nachhinein oder in Echtzeit, eine der wichtigsten SIEM Funktionen.

SIEM - der umfangreiche Ansatz

SIEM-Lösungen sammeln und speichern Log-Informationen revisions- und manipulationssicher ab. Auch ein IDS kann Quelle für ein SIEM-System darstellen. Hier gilt es auch, die vorgegebenen Aufbewahrungszeiträume zu berücksichtigen und einzuhalten. Zusätzlich werden die unterschiedlichen Formate, in denen diese Ereignisse protokolliert werden, normalisiert d.h. strukturiert, um so die relevanten Daten automatisiert analysieren zu können. Die Korrelation (Beziehung zwischen zwei oder mehreren Merkmalen) ist Voraussetzung für das Erkennen aktueller Sicherheitsvorfälle. Dabei werden die Daten unterschiedlicher Quellen wie z.B. mehrere fehlerhafte Anmeldeversuche in kurzer Zeit im Event-Log des Anmeldeservers mit erlaubten Zugriffen der Firewall korreliert und damit in Echtzeit erkannt, dass gerade versucht wird, von Extern über einen existierenden Mitarbeiter-Account, Zugriff auf das Netzwerk der Organisation zu bekommen.


Gründe für den Einsatz von SIEM

Sowohl der nachträgliche Nachweis von IT-Ereignissen als auch eine Echtzeit-Reaktion auf aktuelle sicherheitsrelevante Bedrohungen sind Teil von Gesetzen (z.B. Bundesdatenschutzgesetz (BDSG)) und Zertifizierungen (z.B. SOX, ISO, Basel II uvm.). Obwohl die dort enthaltenen Richtlinien und Paragrafen nicht direkt den Einsatz von SIEM-Lösungen vorschreiben, ist ein Überblick über sicherheitsrelevante Ereignisse oft nur mit einer SIEM-Lösung umsetzbar.


Das BDSG schreibt im §9 Absatz 1.5 vor, dass bei der automatisierten Verarbeitung personenbezogener Daten im Nachhinein überprüfbar sein muss, wer die Eingabe, Änderung und Entfernung dieser Daten durchgeführt hat und wann dies erfolgte. Der Kreditkartenstandard PCI DSS verlangt die "Verfolgung und Überwachung sämtlicher Zugriffe auf Netzwerkressourcen und Karteninhaberdaten" und ISO-27001 fordert "aktives Monitoring mit dem Ziel, unautorisierte Aktivitäten aufzudecken". Neben den Gesetzen und Vorschriften ist es im Interesse von Organisationen, neben personenbezogenen Daten auch geistiges Eigentum und Finanzinformationen zu schützen. Eine SIEM-Lösung speichert alle Informationen von Ereignissen und ermöglicht über die Analysefunktion, aus der Menge der unstrukturierten Daten, die Auswertung nach geforderten Suchkriterien.


Weblinks


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 23. November 2016 um 10:13 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl und Robert Korherr.

Anzeigen