Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Datacenter & Verkabelung > Frühzeitig über Sicherheitsverstöße informiert werden – aber wie?

Security-Information- und Event-Management-Systeme (SIEM)

Frühzeitig über Sicherheitsverstöße informiert werden – aber wie?

16. Februar 2011, 11:29 Uhr | Christian Ehlen Consultant IT-Security bei Twinsec
Fortsetzung des Artikels von Teil 1

„SIEM löst den gordischen Sicherheitsknoten“

Was SIEM-Systeme zusätzlich können ist eine Echtzeitanalyse von sicherheitsrelevanten Ereignisdaten, die Korrelation von verschiedenen Ereignisquellen sowie die frühzeitige Alarmierung und Reaktion bei Vorfällen. Um dies zu erreichen, durchlaufen SIEM-Lösungen die elementaren Phasen der Log- und Ereignisdaten-Sammlung, der Normalisierung dieser Daten und der anschließenden Korrelation und Alarmierung. Um an die relevanten Log- und Ereignisdaten der Quellsysteme zu gelangen, sollte SIEM sowohl Push- als auch Pull-Mechanismen vorhalten. Für beides müssen die Kollektoren als passive Elemente und die Agenten als aktive Elemente nahtlos zusammenwirken.


Die meisten Hersteller von SIEM-Systemen offerieren eine große Vorauswahl für gängige Log- und Ereignisquellen. Die Daten werden anschließend gefiltert, aggregiert und kategorisiert sowie durch Normalisierung in ein einheitliches Format gebracht. Das Gros der Informationen wird bereits in dieser frühen Phase gefiltert und aggregiert, damit keine unnötigen Re-dundanzen entstehen und später die rechenintensiven Prozesse sich voll auf die Auswertung der werthaltigen Daten konzentrieren können. In der Phase der Kategorisierung sollten Inhalte der Logs verfeinert beziehungsweise durch typenspezifische Informationen ergänzt werden können. Das vereinfacht für die spätere Priorisierung das Erstellen der Korrelationslogik und der dazu passenden Korrelationsregeln.


Die normalisierten Informationen werden anschließend an ein zentrales System weitergeleitet, welches  das Ausgangsereignis mit anderen Ereignissen korreliert. Dabei werden gemäß des hinterlegten Logik- und Regelwerks die unterschiedlichen Ereignisse meist durch Anwendung boolscher Operatoren verknüpft. Weitere mögliche Korrelationsmechanismen basieren auf Mustererkennung oder statistischen Analysen (Anomalieerkennung). In dieser Phase erweist sich, wie intelligent das SIEM-System tatsächlich ist. Für ein effektives Security-Monitoring sollten die Entscheider außerdem ihr Augenmerk auf die Feinjustierung der Korrelationsregeln lenken. So sollten besonders kritische Ereignisse nicht durch eine Masse an wertlosen Informationen (falsch-positive) verdeckt werden. Unter dieser Voraussetzung können die verantwortlichen Personen über einen Incident-Management-Prozess schnell alarmiert werden.

Diskutieren Sie mit auf facebook

Anbieter zum Thema

Rittal GmbH & Co. KG
AixpertSoft GmbH
Panduit
Riello UPS GmbH
dtm Datentechnik Moll GmbH
Matchmaker+
zu Matchmaker+
  1. Frühzeitig über Sicherheitsverstöße informiert werden – aber wie?
  2. „SIEM löst den gordischen Sicherheitsknoten“

Lesen Sie mehr zum Thema

Server, Datacenter
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Server, Datacenter

Neue Jobs für Rootsey und Krebs

Lenovo verändert Führungsstruktur

FTS ist jetzt Fsas

Fujitsu unter neuer Flagge

Stuart Enghofer startet am 1. April

Führungswechsel in der SAP-Business Unit von Akquinet

Abstand zu Nvidia verkürzen

AMD kauft Serverhersteller ZT Systems

Boomender RZ-Markt fordert Effizienz

Wachstums-Schmerzen lindern

Matchmaker+
EKINOPS Deutschland GmbH

EKINOPS Deutschland GmbH
Plusnet GmbH

Plusnet GmbH
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
Panduit

Panduit