Was ist ein SIEM?

Security Information and Event Management

SIEM steht für Security Information and Event Management und ist ein Softwareprodukt, das zentral installiert oder als Cloudservice genutzt werden kann. Wie der Name verrät dient es zur Sammlung, Aufbereitung, Präsentation und Analyse von Vorfällen und Sicherheitsinformationen aller Art. Es hilft dabei, bekannte Schwachstellen in Softwareprodukten zu erkennen. Mithilfe von Anomalieerkennungen und maschinellem Lernen kann es Vorfälle erkennen, die sonst vielleicht im Datenrauschen untergegangen wären.

Datenbasis

Die Grundlage zieht sich ein SIEM aus Logdateien und Ereignissen aller Art, zum Beispiel von Betriebssystemen, Endpunktschutzsoftware (“Virenscanner”), Datenbanken und anderen Anwendungen, Firewalls, Routern, WLAN-Accesspoints und so weiter. Die Anzeige erfolgt üblicherweise in Echtzeit.

Hier ist ein Screenshot von Microsoft’s SIEM “Sentinel” in einer grafischen Vorfallsansicht. Sentinel entfaltet sein Potential, wie sich vermuten lässt, in Microsoft-Umgebungen und funktioniert auch in heterogenen und hybriden Umgebungen.