Was ist SIEM (Security Information and Event Management)?
SIEM, die Abkürzung für Security Information and Event Management, ist ein System, das die Erfassung, Speicherung und Verwaltung von Protokollen, die von verschiedenen Geräten und Software generiert werden, zentralisiert, diese in Echtzeit analysiert, um Sicherheitsbedrohungen zu erkennen, und bei ungewöhnlichen Ereignissen Warnungen ausgibt. Unter dem Begriff SIEM versteht man auch die hierfür eingesetzte Software.
Zu den wichtigsten Funktionen von SIEM gehören:
Erfassung und Speicherung von Ereignisprotokollen:
SIEM-Systeme erfassen und speichern sicherheitsrelevante Ereignisprotokolle aus verschiedenen Quellen wie Firewalls, WAFs, Antivirensoftware, Proxyservern, Betriebssystemen und Applications. Das Sammeln zu vieler Protokolle kann jedoch den Betriebsaufwand erhöhen und Prozesse wie die Normalisierung erschweren. Daher ist es wichtig, Protokollquellen sorgfältig zu priorisieren und auszuwählen.
Normalisierung der Protokolldaten:
Die erfassten Daten müssen hinsichtlich Format und Interpretation vereinheitlicht und Redundanzen vermieden werden. Dieser Vorgang wird Normalisierung genannt.
Korrelationsanalyse über Protokolldaten hinweg:
Bestimmte Sicherheitsbedrohungen können nicht allein durch einen einzelnen Protokolleintrag erkannt werden. SIEM-Systeme analysieren mehrere Protokolleinträge gemeinsam, um Muster und Bedrohungen zu erkennen, die in einzelnen Protokollen nicht erkennbar sind. Beispielsweise sind bei Angriffen über Kennwortlisten die Anmeldeversuche im Vergleich zu Brute-Force-Angriffen deutlich geringer, sodass sie von typischen Benutzereingabefehlern nicht zu unterscheiden sind. Durch die Aggregation von Protokollen auf Grundlage der Quell-IP-Adresse und die Erkennung mehrerer Anmeldeversuche mit unterschiedlichen IDs von derselben IP aus kann SIEM Angriffe über Kennwortlisten identifizieren.
Warnungen und Berichte:
Wenn SIEM Ereignisse erkennt, die auf Sicherheitsbedrohungen hinweisen, sendet es Warnungen an die Administratoren. Darüber hinaus werden Berichte erstellt, die diese Ereignisse visuell darstellen und so eine verbesserte Verwaltung und Optimierung der Sicherheitsvorkehrungen ermöglichen.
BIG-IP von F5 zeichnet umfangreiche sicherheitsrelevante Daten auf und kann in verschiedene SIEM-Tools integriert werden, wodurch die Sicherheitsmaßnahmen durch umfassende Datenanalyse und Bedrohungserkennung weiter verbessert werden.