Was ist SIEM (System zur Verwaltung von Sicherheitsinformationen und Ereignissen)?

SIEM-Lösungen (Systeme zur Verwaltung von Sicherheitsinformationen und Ereignissen) sammeln Protokolle, erkennen Bedrohungen und helfen bei der Einhaltung von Sicherheitsvorschriften.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Was ist SIEM?
  • Was sind die Hauptkomponenten der SIEM-Sicherheit?
  • Wie funktioniert die SIEM-Technologie?

Link zum Artikel kopieren

Was ist SIEM?

Ein System zur Verwaltung von Sicherheitsinformationen und Ereignissen (Security Information and Event Management oder kurz SIEM) kombiniert Sicherheitsinformationsverwaltung (SIM) und Sicherheitsereignisverwaltung (SEM) in einer umfassenden Sicherheitslösung. Eine solche Lösung kann Bedrohungen erkennen und die Einhaltung von Vorschriften gewährleisten. Noch genauer: Ein SIM sammelt, analysiert und verwaltet Protokoll- und Ereignisdaten von Host-Systemen oder Apps. Ein SEM konzentriert sich auf die Überwachung und Analyse von Sicherheitsereignissen in Echtzeit.

Wie funktioniert die SIEM-Technologie?

Die SIEM-Technologie sammelt Daten (oder Protokolle), wie beispielsweise Anmeldedaten, aufgerufene Dateien, oder Websites, die von den Host-Systemen und der App des Unternehmens besucht werden. Anschließend werden alle Protokolle zusammengeführt, um sie auf ungewöhnliche Muster oder Anzeichen für Sicherheitsvorfälle zu prüfen. Immer häufiger nutzen SIEMs KI als automatischen Analysten, der Vorfälle gruppiert und priorisiert.

Wenn ein Sicherheitsvorfall entdeckt wird, sendet das SIEM-System eine Warnung an das Sicherheitsteam und das Team kann den Vorfall mit den Tools des SIEM-Systems weiter untersuchen.

Was sind die Hauptkomponenten eines SIEM-Sicherheitssystems?

Ein Cloud-basiertes SIEM-Sicherheitssystem besteht aus mehreren Komponenten. Die wichtigsten Komponenten sind:

  1. Cloud-Speicher, Datenerfassung und -aufnahme: Hier werden Daten über die digitale Umgebung erfasst, für die Analyse in ein einheitliches Format normalisiert und gespeichert – einschließlich Anmeldeversuchen, Dateiänderungen und Netzwerk-Traffic.
  2. Analyse und Erkennung: Die Analytics Engines analysieren normalisierte Daten und kombinieren sie mit User and Entity Behavior Analytics (UEBA), um verdächtige Muster zu erkennen.
  3. Dashboards, Warnmeldungen und Berichte: In einem Cloud-basierten SIEM-System werden die Ergebnisse des Analytics Engine in Dashboards angezeigt. Bei verdächtigen Ereignissen erhalten Sicherheitsteams Warnungen und Benachrichtigungen. SIEMs können aber auch falsch-positive Alarme verhindern, indem sie beispielsweise erkennen, dass ein Nutzer sein Passwort immer wieder zurücksetzt, und dies von einem Angriff unterscheiden. Mit anderen Worten: Ein SIEM trennt Störungen von den Vorfällen, die am meisten Aufmerksamkeit erfordern.
  4. Reaktion auf Vorfälle: Tools für die Reaktion auf Vorfälle sind so konzipiert, dass sie auf Vorfälle reagieren und die Einhaltung von Vorschriften gewährleisten.

Wie können Unternehmen von der SIEM-Integration profitieren?

Folgende Vorteile ergeben sich für Unternehmen, wenn sie SIEM in ihre bestehenden Systeme und Tools integrieren:

  1. Das Sicherheitsniveau wird erhöht, indem Bedrohungen frühzeitig abgefangen und bei ungewöhnlichen Aktivitäten sofortige Echtzeitwarnungen ausgegeben werden.
  2. Es wird ein proaktives Risikomanagement durchgesetzt, indem Sicherheitslücken identifiziert und Bedrohungen priorisiert werden.
  3. Die gesetzlichen Anforderungen (wie die DSGVO und HIPAA) werden erfüllt und es werden detaillierte Prüfprotokolle geführt.
  4. Verdächtige Vorfälle werden in einem Dashboard zentralisiert dargestellt. Dies erlaubt auch Trendanalysen und eine schnellere Behebung von Vorfällen.

Wie lässt sich Cloudflare mit SIEM-Systemen integrieren?

Die Network Analytics Logs von Cloudflare können in SIEM-Dashboards integriert werden. Dadurch erhält man einen maximalen Einblick in den Traffic auf Schicht 3 und 4 sowie in DDoS-Angriffe. Mit dem Log Push-Dienst von Cloudflare können Nutzer außerdem den automatischen Export von Zero Trust-Protokollen an Speicherziele von Drittanbietern oder SIEM-Tools konfigurieren. Dies hilft, ein nahtloses und umfassendes System zur Erkennung von Bedrohungen aufrechtzuerhalten. Es erleichtert auch den Nachweis der Einhaltung von Vorschriften gegenüber Regulierungsbehörden.