Zurück zur Übersicht

Begriff

SIEM (Security Information and Event Management)

Security Operations S3
2 Quellen 0 Lernpfade 0 Backlinks enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

Du hast 1000 Server, 50 Firewalls, 20 Router. Alle schreien durcheinander (Logs). "Firewall blockiert IP!" "Windows Login fehlgeschlagen!" "Datenbank Fehler!" Niemand blickt durch. Ein SIEM (gesprochen "Sim") ist das zentrale Gehirn. Es saugt alle Logs aller Geräte auf. Es versteht sie, normalisiert sie und sucht Zusammenhänge (Korrelation). "Moment mal... 10 fehlgeschlagene Logins an der Firewall UND danach ein erfolgreicher DB-Zugriff von der gleichen IP? Das ist ein Angriff!"

Merksatz: Eine Softwarelösung, die Sicherheitswarnungen aus verschiedenen Quellen zentral sammelt, analysiert und korreliert, um Angriffe in Echtzeit zu erkennen.


Quick-Check

  1. Ist es teuer?
    Extrem. Splunk wird oft nach Gigabyte abgerechnet. "Logs sind das neue Gold (oder Öl)". Firmen zahlen Millionen nur für die Lizenz.
  2. Speichert es alles ewig?
    Meistens nein (zu teuer). "Hot Storage" für 30 Tage (schnelle Suche). "Cold Storage" für 1 Jahr (billig, langsam, für Compliance).
  3. Kann es automatisch reagieren?
    Jein. Das SIEM erkennt nur. Das Reagieren (Firewall sperren) macht das SOAR (siehe nächster Begriff).