Begriff
SIEM (Security Information and Event Management)
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Du hast 1000 Server, 50 Firewalls, 20 Router. Alle schreien durcheinander (Logs). "Firewall blockiert IP!" "Windows Login fehlgeschlagen!" "Datenbank Fehler!" Niemand blickt durch. Ein SIEM (gesprochen "Sim") ist das zentrale Gehirn. Es saugt alle Logs aller Geräte auf. Es versteht sie, normalisiert sie und sucht Zusammenhänge (Korrelation). "Moment mal... 10 fehlgeschlagene Logins an der Firewall UND danach ein erfolgreicher DB-Zugriff von der gleichen IP? Das ist ein Angriff!"
Merksatz: Eine Softwarelösung, die Sicherheitswarnungen aus verschiedenen Quellen zentral sammelt, analysiert und korreliert, um Angriffe in Echtzeit zu erkennen.
Die Könige: Splunk, Elastic Security, Microsoft Sentinel. Im Security Operations Center (SOC) starren Analysten auf SIEM-Dashboards. Wenn eine "Correlation Rule" zuschlägt ("Ransomware Pattern erkannt"), wird ein Ticket erstellt.
1. Normalisierung
Jedes Gerät spricht anders.
Cisco Firewall: src_ip=1.2.3.4
Windows Server: SourceAddress: 1.2.3.4
Das SIEM übersetzt alles in ein gemeinsames Format ("Common Information Model"). Nur so kann man suchen: search IP=1.2.3.4.
2. UEBA (User and Entity Behavior Analytics)
Moderne SIEMs nutzen KI. Sie lernen: "Hans aus der Buchhaltung loggt sich immer um 8:00 Uhr ein." Wenn Hans sich plötzlich nachts aus Russland einloggt, schlägt das SIEM Alarm, auch ohne dass es eine feste Regel dafür gibt.
1. Das Problem der Log-Inkonsistenz (Normalization)
Ein SIEM ist nur so gut wie seine Parser.
Ein Windows-Event-Log sieht völlig anders aus als ein Linux-Syslog oder ein AWS-CloudTrail-Event.
Um sie vergleichbar zu machen, nutzt man das Common Information Model (CIM).
Jedes eingehende Log-Fragment wird "zerhackt" und in feste Felder gepresst: time, action, user, src_ip, status.
Ohne diese Normalisierung könntest du keine Dashboard-Suche machen wie "Zeige mir alle Logins von User 'Hans' über ALLE Systeme hinweg". Ein Großteil der Arbeit eines SIEM-Admins besteht darin, kaputte Parser für exotische Hardware (z.B. Industriesteuerungen oder alte Mainframes) zu schreiben.
2. Korrelation & Lookups
Die wahre Magie ist die Korrelation.
Eine Regel könnte lauten: WENN (Event_ID=4625 [Failed Login] > 5 innerhalb 1 Minute) UND (Event_ID=4624 [Success Login] folgt direkt danach) DANN generiere ALERT 'Brute Force Erfolg'.
Moderne SIEMs nutzen zusätzlich Threat Intelligence Feeds. Sie gleichen jede gesehene IP-Adresse automatisch mit Listen von bekannten Botnets oder Hacker-Servern ab.
Erscheint eine IP aus einem aktuellen Darknet-Report in deinen Logs, blinkt sofort die rote Lampe, auch wenn der User eigentlich noch gar nichts "Böses" getan hat.
3. UEBA: Die Abkehr von statischen Regeln
Hacker nutzen heute oft legitime Accounts (Compromised Credentials). Da hilft keine statische Regel ("Wenn Admin-Login, dann okay"). UEBA (User and Entity Behavior Analytics) erstellt Profile von jedem User. Das System berechnet eine Baseline: "User 'Sarah' greift täglich auf 5 Files zu, nutzt Excel und ist in München." Greift Sarahs Account plötzlich auf 500 Files zu und nutzt Powershell-Befehle, steigt ihr Risk Score massiv an. Das SIEM meldet die Anomalie nicht als "Angriff", sondern als "Verhaltensabweichung", was oft der einzige Weg ist, Insider-Threats oder Spione in der eigenen Firma zu entdecken.
Quick-Check
Ist es teuer?
Extrem. Splunk wird oft nach Gigabyte abgerechnet. "Logs sind das neue Gold (oder Öl)". Firmen zahlen Millionen nur für die Lizenz.Speichert es alles ewig?
Meistens nein (zu teuer). "Hot Storage" für 30 Tage (schnelle Suche). "Cold Storage" für 1 Jahr (billig, langsam, für Compliance).Kann es automatisch reagieren?
Jein. Das SIEM erkennt nur. Das Reagieren (Firewall sperren) macht das SOAR (siehe nächster Begriff).