SIEM – SIEM Security Information and Event Management | Wiki

Security Information and Event Management (SIEM) kombiniert Security Information Management (SIM) und Security Event Management (SEM). Die Systeme bieten eine Echtzeitanalyse von Sicherheitswarnungen, die von Anwendungen und Netzwerkhardware generiert werden.

Die Abkürzungen SEM, SIM und SIEM werden oft austauschbar verwendet. Das Segment des Sicherheitsmanagements, das sich mit Echtzeitüberwachung, Korrelation von Ereignissen, Benachrichtigungen und Konsolen-Ansichten befasst, wird als Security Event Management (SEM) bezeichnet. Der zweite Bereich bietet Langzeitspeicherung sowie Analyse, Manipulation und Reporting von Protokolldaten und Sicherheitsaufzeichnungen der von SEM-Software zusammengetragenen Art und wird als Security Information Management (SIM) bezeichnet. Wie bei vielen Bedeutungen und Definitionen von Fähigkeiten bilden sich ständig weiterentwickelnde Anforderungen an SIEM Security Information and Event Management.

Großen Datenplattformen wie z.B. Apache Hadoop werden verwendet, um die SIEM-Funktionen durch die Erweiterung der Datenspeicherkapazität und analytische Flexibilität zu ergänzen. Die Notwendigkeit sprachzentrierter Transparenz oder vSIEM (Voice Security Information and Event Management) ist ein aktuelles Beispiel für diese Entwicklung.

Der Begriff Security Information Event Management (SIEM), wurde geprägt von Mark Nicolett und Amrit Williams von Gartner im Jahr 2005 (Quelle: Wikipedia) und beinhaltet:

• Sammeln, Analysieren und Präsentieren von Informationen von Netzwerk- und Sicherheitsgeräten
• Schwachstellenmanagement und Instrumente zur Einhaltung von Richtlinien
• Betriebssystem-, Datenbank- und Anwendungsprotokolle
• externe Bedrohungsdaten

Ein Hauptaugenmerk liegt auf der Überwachung und Unterstützung bei der Verwaltung von Benutzer- und Serviceprivilegien, Verzeichnisdiensten, Änderungen an der Systemkonfiguration und bei der Bereitstellung von Protokollprüfung sowie Überprüfung und Reaktion auf Vorfälle.

Wichtige Bereiche im Security Information and Event Management

Datenaggregation:

Die Protokollverwaltung sammelt Daten aus vielen Quellen, einschließlich Netzwerk, Sicherheit, Servern, Datenbanken und Anwendungen, und bietet die Möglichkeit, überwachte Daten zu konsolidieren, um das Verpassen wichtiger Ereignisse zu vermeiden.

Korrelation:

Sucht nach gemeinsamen Attributen und verknüpft Ereignisse zu sinnvollen Bündeln. Diese Technologie bietet die Möglichkeit, eine Vielzahl von Korrelationstechniken zur Integration verschiedener Quellen durchzuführen, um Daten in nützliche Informationen umzuwandeln. Die Korrelation ist typischerweise eine Funktion des Security Event Management Teils im Rahmen einer vollständigen SIEM-Lösung.

Alarmierung:

Die automatisierte Analyse von korrelierten Ereignissen und die Erstellung von Warnmeldungen, um die Empfänger über unmittelbare Probleme zu informieren. Die Benachrichtigung kann an ein Dashboard erfolgen oder über Kanäle von Drittanbietern wie E-Mail.

Dashboards:

Tools können Ereignisdaten in Informationscharts umwandeln, um das Sehen von Mustern zu erleichtern oder Aktivitäten zu identifizieren, die kein Standardmuster bilden.

Compliance:

Anwendungen können eingesetzt werden, um die Erfassung von Compliance-Daten zu automatisieren und Berichte zu erstellen, die sich an bestehende Sicherheits-, Governance- und Auditprozesse anpassen.

Aufbewahrung:

Verwendung der Langzeitspeicherung historischer Daten, um die zeitliche Korrelation der Daten zu erleichtern und die für Compliance-Anforderungen erforderliche Aufbewahrung zu gewährleisten. Die langfristige Aufbewahrung von Protokolldaten ist bei forensischen Untersuchungen von entscheidender Bedeutung, da es unwahrscheinlich ist, dass die Entdeckung eines Netzwerkbruchs zum Zeitpunkt des Auftretens des Bruchs erfolgt.

Forensische Analyse:

Die Möglichkeit, protokollübergreifend auf verschiedenen Knoten und Zeiträumen zu suchen, basierend auf bestimmten Kriterien. Dies mindert die Notwendigkeit, Protokollinformationen in Ihrem Kopf zu sammeln oder Tausende und Abertausende von Protokollen durchsuchen zu müssen.

ColocationIX bietet maßgeschneiderte Lösungen für Unternehmen und Organisationen.