SIEM (Security Information and Event Management)

SIEM steht für Security Information and Event Management und bezeichnet Systeme, die sicherheitsrelevante Protokoll- und Ereignisdaten aus der gesamten IT-Umgebung zentral sammeln, korrelieren und auswerten. Ziel ist, Angriffe und Auffälligkeiten über Systemgrenzen hinweg sichtbar zu machen.

Dazu führt ein SIEM Logdaten aus Servern, Netzwerkkomponenten, Anwendungen, Identitätsdiensten und Sicherheitswerkzeugen zusammen, normalisiert sie und wendet Korrelationsregeln an: Einzelereignisse, die für sich harmlos wirken, ergeben im Zusammenhang ein Angriffsmuster und lösen Alarme aus. Daneben dient das SIEM als revisionsfähiges Archiv für Compliance-Nachweise. Klassische Implementierungen stoßen allerdings an Grenzen: aufwendige Regelpflege, hohe Alarmvolumina und Kosten, die mit der Datenmenge wachsen.

Betrieben wird ein SIEM typischerweise im Security Operations Center (SOC), dessen Analysten mit den erzeugten Alarmen arbeiten. Die cloudbasierte, analytikgetriebene Weiterentwicklung des Konzepts beschreibt der Begriff Next-Gen SIEM.