SIEM
Was ist SIEM?
SIEMPlattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
Security Information and Event Management (SIEM) ist die zentrale Log-Analytics-Plattform eines SOC. Es nimmt Logs und Telemetrie von Firewalls, Endpunkten, Identity-Providern, Cloud-APIs, Anwendungen und Netzwerk-Sensoren auf, normalisiert sie und legt sie ab, sodass Korrelationsregeln, statistische Baselines und ML-Modelle priorisierte Alarme erzeugen. Moderne SIEMs (Splunk, Microsoft Sentinel, Elastic, Chronicle, QRadar) unterstützen Detection-as-Code, UEBA, Threat-Intelligence-Anreicherung und SOAR-Integration für automatisierte Reaktion. Das SIEM ist das führende System für Incident-Untersuchungen, Compliance-Reporting und langfristige forensische Aufbewahrung.
● Beispiele
- 01
Microsoft Sentinel korreliert fehlgeschlagene Azure-AD-Anmeldungen mit EDR-Alerts zur Erkennung von Password-Spraying.
- 02
Eine Splunk-Korrelation, die feuert, wenn sich ein Service-Konto aus einem ungewöhnlichen Land anmeldet.
● Häufige Fragen
Was ist SIEM?
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet SIEM?
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
Wie schützt man sich gegen SIEM?
Schutzmaßnahmen gegen SIEM kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.