SIEM
Technologieplattform für Log-Aggregation, Korrelation und Echtzeit-Alarmierung. SIEM erkennt Sicherheitsvorfälle und meldet sie - die Reaktion automatisiert SOAR, den menschlichen Betrieb organisiert das SOC. Das SIEM ist das 'Auge', SOAR der 'Arm' und SOC das 'Gehirn'.
SIEM (Security Information and Event Management) kombiniert zwei Vorgängertechnologien:
- SIM (Security Information Management): Langfristige Speicherung und Analyse von Log-Daten
- SEM (Security Event Management): Echtzeit-Überwachung und Korrelation von Sicherheitsereignissen
SIEM-Funktionen
Log Collection: Sammlung von Logs aus Firewalls, IDS/IPS, Endpoints, Servern, Anwendungen, Active Directory, Cloud-Diensten
Normalization: Vereinheitlichung unterschiedlicher Log-Formate in ein gemeinsames Schema (z. B. Common Event Format, STIX/TAXII)
Correlation Rules: Verknüpfung einzelner Ereignisse zu Angriffsmustern. Beispiel: Drei fehlgeschlagene Logins + erfolgreiches Login von unbekannter IP = Brute-Force-Alert
UEBA (User and Entity Behavior Analytics): Baseline des Normalverhaltens lernen und Abweichungen erkennen - z. B. Hans loggt sich täglich 08-18 Uhr ein, heute um 03:00 Uhr mit 500 Downloads
Alerting: Priorisierte Warnungen an das SOC-Team basierend auf Schweregrad und Kontext
Dashboards & Reporting: Visualisierung von Sicherheitskennzahlen, Compliance-Berichte für NIS2 und ISO 27001
SIEM-Produkte am Markt
| Produkt | Besonderheit |
|---|---|
| Microsoft Sentinel | Cloud-nativ, Azure-Integration, KQL-Abfragesprache, SOAR integriert |
| Splunk Enterprise Security | Marktführer, SPL-Abfragesprache, größtes Ecosystem |
| IBM QRadar | Enterprise-bewährt, guter DACH-Support |
| Elastic SIEM | Open Source, Sigma-kompatibel, günstigerer Einstieg |
SIEM vs. SOAR vs. XDR
| Technologie | Fokus |
|---|---|
| SIEM | Log-Aggregation, Korrelation, Alerting |
| SOAR | Automatisierte Reaktion auf SIEM-Alerts (Playbooks) |
| XDR | Integrierte Erkennung über Endpoint, Netzwerk, Cloud - siloübergreifend |
SIEM und SOAR sind komplementär: SIEM erkennt den Brute-Force-Angriff → Alert an SOAR → SOAR prüft die IP, sperrt den Account und benachrichtigt den Analysten.
Moderne Plattformen wie Microsoft Sentinel kombinieren SIEM und SOAR in einem Produkt.
SIEM und NIS2/ISO 27001
NIS2 Art. 21 und ISO 27001 A.8.15 fordern explizit Monitoring und Logging von Sicherheitsereignissen. Ein SIEM ist die Standardlösung zur Erfüllung dieser Anforderungen. Für kleinere Unternehmen kann Managed SIEM (MSSP) kosteneffektiver sein als ein eigenes System.
