Verteidigung und Betrieb
SIEM
Definition
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
Beispiele
- Microsoft Sentinel korreliert fehlgeschlagene Azure-AD-Anmeldungen mit EDR-Alerts zur Erkennung von Password-Spraying.
- Eine Splunk-Korrelation, die feuert, wenn sich ein Service-Konto aus einem ungewöhnlichen Land anmeldet.
Verwandte Begriffe
Security Operations Center (SOC)
Zentralisiertes Team und Einrichtung, das die IT-Umgebung einer Organisation rund um die Uhr überwacht, Sicherheitsvorfälle erkennt, untersucht und darauf reagiert.
SOAR
Plattform, die SOC-Workflows automatisiert und orchestriert, indem sie Erkennungen, Anreicherungen und Response-Aktionen in Playbooks verkettet, die übergreifend über Security-Tools ausgeführt werden.
UEBA (User and Entity Behavior Analytics)
Analytischer Sicherheitsansatz, der das normale Verhalten von Nutzern und Entitäten profiliert und statistische Abweichungen meldet, die auf Kompromittierung oder Insidermissbrauch hindeuten.
Log Analysis
Log Analysis — definition coming soon.
Threat Intelligence
Evidenzbasiertes Wissen über Bedrohungen und Akteure — inklusive Indikatoren, TTPs und Kontext — zur Steuerung von Sicherheitsentscheidungen und Detection.
Indicator of Compromise (IoC)
Indicator of Compromise (IoC) — definition coming soon.