Security Information and Event Management (SIEM)
Ein konzeptionelles Framework zur zentralen Sammlung, Korrelation und Analyse von Sicherheitsprotokollen und Ereignissen zur Erkennung und Reaktion auf Vorfälle.
Klassifikation
- KomplexitätHoch
- AuswirkungOrganisatorisch
- EntscheidungstypArchitektur
- OrganisationsreifeFortgeschritten
Technischer Kontext
Prinzipien & Ziele
Use Cases & Szenarien
Kompromisse
- Overhead und Kosten durch Speicherung großer Datenmengen
- Falsches Vertrauen in automatisierte Erkennungen
- Fehlende Integrationen erzeugen blinde Flecken
- Zeitstempel- und Zeitsynchronisation priorisieren
- Datenanreicherung (Asset- und Identity-Kontext) systematisch umsetzen
- Regeln versionieren und in Test-/Staging-Umgebungen validieren
I/O & Ressourcen
- Log-Streams (Firewall, IDS, Server, Anwendungen)
- Identity- und Access-Logs
- Threat-Intelligence-Feeds und Asset-Kontext
- Korrelationsergebnisse und priorisierte Alarme
- Compliance- und Audit-Berichte
- Forensische Datensätze und Untersuchungsskripte
Beschreibung
Security Information and Event Management (SIEM) ist ein konzeptionelles Framework zur Sammlung, Korrelation und Analyse von Sicherheitsprotokollen und Ereignissen. Es unterstützt Erkennung, Untersuchung und Reaktion auf Sicherheitsvorfälle sowie Compliance-Berichte. SIEM-Systeme bündeln Telemetrie aus verschiedenen Quellen und ermöglichen zentralisierte Überwachung und forensische Analysen.
✔Vorteile
- Schnellere Erkennung und Reaktion auf Sicherheitsvorfälle
- Zentrale Compliance- und Audit-Berichterstattung
- Verbesserte forensische Nachvollziehbarkeit
✖Limitationen
- Hoher Aufwand für korrekte Datenanreicherung und Normalisierung
- Mögliche Skalierungsprobleme bei sehr hohen Log-Volumina
- Qualitativ schwache Quellen führen zu erhöhten Fehlalarmen
Trade-offs
Metriken
- Mean Time to Detect (MTTD)
Durchschnittliche Zeit vom Auftreten eines Vorfalls bis zur Erkennung.
- False-Positive-Rate
Anteil der generierten Alarme, die sich als nicht relevant erweisen.
- Log-Ingestionsdurchsatz
Menge an verarbeiteten Log-Ereignissen pro Sekunde.
Beispiele & Implementierungen
Unternehmensweite SIEM-Einführung
Ein Finanzdienstleister setzte ein SIEM zur zentralen Überwachung ein und reduzierte mittlere Erkennungszeiten durch automatisierte Korrelation.
Cloud-natives Protokoll-Aggregationsprojekt
Ein SaaS-Unternehmen integrierte Cloud-Provider-Logs und Container-Telemetrie in ein SIEM zur besseren Sichtbarkeit.
Compliance-Reporting für ISO- und GDPR-Anforderungen
Ein Händler nutzte SIEM-Berichte, um Nachweise für Audits und Datenschutzanforderungen zu liefern.
Implementierungsschritte
Quelleninventar erstellen und Prioritäten für Log-Integration setzen
Zentrale Log-Ingestion-Pipeline implementieren und normalisieren
Korrelationsregeln entwickeln, testen und in Stufen ausrollen
Playbooks für Eskalation und Incident-Response integrieren
⚠️ Technische Schulden & Engpässe
Tech Debt
- Legacy-Integrationen mit unvollständiger Kontextanreicherung
- Monolithische Korrelations-Engine ohne horizontale Skalierung
- Fehlende Automatisierung für Routine-Untersuchungsschritte
Bekannte Engpässe
Beispiele für Missbrauch
- SIEM nur als langfristige Speicherung, ohne Analysen zu betreiben
- Alarme automatisiert schließen, ohne Analystenprüfung
- Unkritische Datenquellen erhöhen false positives massiv
Typische Fallen
- Unterschätzung des Aufwands für Datenmapping und Normalisierung
- Fehlende End-to-End-Synchronisation von Asset- und Identitätsdaten
- Nichtbeachtung von Datenschutzanforderungen bei Log-Speicherung
Erforderliche Fähigkeiten
Drivers (Architectural Drivers)
Constraints
- • Gesetzliche Aufbewahrungsfristen und Datenschutzbestimmungen
- • Begrenzte Bandbreite und Netzwerksegmente
- • Heterogene Quellen mit unterschiedlichen Protokollformaten