Hilfe bei der Lösungsfindung

Aspekte einer erfolgreichen SIEM-Implementierung

13. Mai 2022, 7:00 Uhr | Norbert Nitsche und David Bischoff/am
LANline-Cartoon Betrugserkennung
© Wolfgang Traub

Security-Information- und Event-Management (SIEM) liefert bei der Detektion von IT-Sicherheitsvorfällen einen entscheidenden Mehrwert für die Informationssicherheit im Unternehmen. Damit lässt sich die Zeit bis zur Identifikation einer Bedrohung deutlich verkürzen und damit das IT-Security-Niveau erhöhen. Voraussetzung dabei ist, dass die Wahl und Implementierung der Lösung gut geplant erfolgen.

Im vergangenen Jahr gab es weltweit so viele Angriffe auf Unternehmen, NGOs und Regierungen wie nie zuvor. Nicht nur die reine Masse stellt eine Herausforderung dar, sondern auch die zunehmende Professionalität der Angriffe. Hacker lassen nichts unversucht, um Netzwerke zu kompromittieren, an Unternehmensdaten zu gelangen und Lösegelder zu erpressen.

Bei der Fülle an täglichen Bedrohungen müssen die Sicherheitsteams von Unternehmen in der Lage sein, schnell und effizient auf die Bedrohungslagen zu reagieren. Genau hier setzt SIEM an. Es kombiniert Bestandteile des Security-Information-Managements (SIM) und des Security-Event-Managements (SEM). Eine SIEM-Lösung sammelt unternehmensweit Logdaten aus zugrunde liegenden Quellen wie Servern, Endpoints, Firewalls, Intrusion-Detection- und Prevention-Systemen (IDS und IPS) sowie Anwendungen. In einer zentralen Management-Station lassen sich die Daten zusammenführen, aufbereiten sowie unter- und miteinander in Beziehung setzen und auf Dashboards visualisieren. Anhand von vorher definierten Use Cases ist es nun möglich, Auffälligkeiten und Regelverstöße automatisiert zu erkennen. Cyber-Defense-Analysten können IT-Sicherheitsvorfälle so frühzeitig identifizieren – und zwar in Bereichen, welche konventionelle IT-Sicherheits-Lösungen nicht berücksichtigen. Das bietet IT-Sicherheitsteams einen entscheidenden Vorteil, denn die Zeit, die bis zur Identifizierung einer akuten Bedrohung nötig ist (Meantime to Detect), lässt sich durch ein SIEM deutlich reduzieren.Die Voraussetzung dafür ist, dass man vor der Implementierung die relevanten Aspekte berücksichtigt. Denn SIEM ist weit mehr als ein Produkt. Die Einführung muss gut geplant sein, um enttäuschte Erwartungen und späte Kostenexplosionen zu vermeiden. Es ist elementar, die spezifischen Unternehmensanforderungen zu definieren.


  1. Aspekte einer erfolgreichen SIEM-Implementierung
  2. Das Konzept

Verwandte Artikel

Secuinfra

SIEM

IT-Sicherheit