SIEM

Mit diesem Beitrag ‚SIEM‘ startet die Betrachtung der Verteidigerseite (Blue Team) der IT-Sicherheit auf meinem Blog;)

Was ist ein SIEM?

Die Abkürzung SIEM steht für Security Information and Event Management und beschreibt (grob gesagt) ein System, welches Informationen über sicherheitsrelevante IT-Systeme und Anwendungen sammelt, diese korreliert, bei Bedarf alarmiert und die Bewertung von Alarmen für Analysten vereinfacht.

Die Grundidee eines SIEM kommt also aus der Ecke Big Data bzw. Datenanalyse. Nahezu jedes IT-Systemen (egal ob Client, Server oder IoT-Gerät) oder Anwendung generiert Log-Dateien. Diese enthalten extrem wertvolle Informationen, aber liegen meist in unterschiedlichen Qualitäten und Formaten vor und sind weit verteilt über die gesamte IT-Infrastruktur.

Ein SIEM hat idealerweise den Sinn all diese Informationen zentral zu sammeln, zu vereinheitlichen und auswertbar zu machen.

Logging: Grundvoraussetzung für ein SIEM

Die Informationen, welche ein SIEM auswerten soll, liegen meist in Logdateien auf dem jeweiligen System vor, welches die Logs erzeugt. Der erste Schritt muss also sein die Logs an einer Stelle zentral zu sammeln. In diesem Zuge sollten diese Logs gleich noch in eine Form gebracht werden (bspw. CEF) . Diesen Schritt nennt man Log Management.

SIEM vs. SIM vs. SEM

Anschließend müssen diese Logdateien analysiert, visualisiert und (wichtig!) gespeichert werden. Das wäre dann – streng genommen – Security Information Management.

Zu guter Letzt werden die einzelnen Logs zu Events korreliert. So ist beispielsweise eine Logeintrag mit einem failed Login unauffällig, aber (je nach System) 500 failed Login-Logs pro Minute könnten zu einem ‚Possible Brute Force‘-Event korelliert werden. Dieser Schritt würde dann Security Event Management genannt werden. Dazu gehört natürlich auch noch die Visualisierung und eventuell noch forensische Analysen.

Alles zusammen ergibt dann ein SIEM. Mehr zu den Prozessen innerhalb eines SIEMs folgt in weiteren Beiträgen.