Warum es wichtig ist
Security Information and Event Management (SIEM)-Systeme dienen als zentrales Nervensystem der Sicherheitsoperationen. Durch das Sammeln und Korrelieren von Daten aus dem gesamten Unternehmen ermöglichen SIEMs Sicherheitsteams, Bedrohungen zu erkennen, die bei isolierter Betrachtung einzelner Systeme unsichtbar wären.
Das Volumen der von modernen Organisationen generierten Sicherheitsdaten übersteigt die menschliche Kapazität für manuelle Überprüfung. Server, Firewalls, Endpunkte, Anwendungen und Cloud-Dienste produzieren jeweils Logs, die Angriffsnachweise enthalten können. SIEM aggregiert diese Daten, wendet Erkennungsregeln an und zeigt Alerts an, die eine Untersuchung rechtfertigen.
Über die Erkennung hinaus unterstützen SIEMs Compliance-Anforderungen, die Log-Aufbewahrung und Sicherheitsüberwachung vorschreiben. Vorschriften wie PCI DSS, HIPAA und SOX verlangen von Organisationen, Audit-Trails zu führen und Sicherheitsüberwachungsfähigkeiten nachzuweisen.
Für Sicherheitsexperten ist SIEM-Kompetenz fundamental. SOC-Analysten verbringen ihre Tage mit Arbeit in SIEM-Plattformen, Security Engineers bauen und optimieren Erkennungsregeln, und Architekten entwerfen SIEM-Bereitstellungen, die mit organisatorischen Anforderungen skalieren.
Wie SIEM funktioniert
Datenfluss
Kernfunktionen
Log-Sammlung
- Daten aus verschiedenen Quellen sammeln
- Verschiedene Formate parsen und normalisieren
- Ereignisse mit Kontextdaten anreichern
- Für Aufbewahrungsanforderungen speichern
Korrelation und Erkennung
- Erkennungsregeln zur Bedrohungsidentifikation anwenden
- Ereignisse über Quellen korrelieren
- Muster identifizieren, die auf Angriffe hindeuten
- Alerts nach Schweregrad priorisieren
Untersuchung und Analyse
- Über gesammelte Daten suchen
- In Vorfälle eintauchen
- Zeitleistenrekonstruktion
- Forensische Untersuchungsunterstützung
Gängige SIEM-Datenquellen:
Netzwerk:
- Firewalls und Proxies
- IDS/IPS-Systeme
- Netzwerk-Flow-Daten
- DNS-Server
Endpunkte:
- Windows-Ereignislogs
- EDR-Telemetrie
- Antivirus-Alerts
- Host-basierte Firewalls
Anwendungen:
- Webserver-Logs
- Datenbank-Audit-Logs
- Anwendungslogs
- Authentifizierungssysteme
Cloud:
- AWS CloudTrail
- Azure Activity Logs
- GCP Audit Logs
- SaaS-Anwendungslogs
Schlüsselfähigkeiten
Erkennungsregeln und Alerts
# Splunk-Erkennungsregel Beispiel: Brute-Force-Erkennung
index=security sourcetype=WinEventLog:Security EventCode=4625
| stats count by src_ip, user, dest
| where count > 10
| eval severity=case(count>50, "Hoch", count>20, "Mittel", true(), "Niedrig")
# Microsoft Sentinel KQL Beispiel
SecurityEvent
| where EventID == 4625
| summarize FailedAttempts = count() by TargetAccount, IpAddress
| where FailedAttempts > 10
Regeltypen:
- Schwellenwertbasiert: Alert, wenn Zählungen Grenzwerte überschreiten
- Sequenzbasiert: Geordnete Ereignismuster erkennen
- Anomaliebasiert: Abweichungen von der Baseline markieren
- Threat Intelligence: Indicators of Compromise abgleichen
Dashboards und Visualisierung
- Echtzeit-Sicherheitslage-Übersicht
- Trendanalyse und Metriken
- Untersuchungs-Workbenches
- Executive-Reporting
Compliance-Reporting
- Vorgefertigte Compliance-Berichtsvorlagen
- Audit-Trail-Dokumentation
- Aufbewahrungsrichtlinien-Durchsetzung
- Zugriffs-Logging und -Verifizierung
Große SIEM-Plattformen
Enterprise-Lösungen
Splunk Enterprise Security
- Marktführer mit leistungsfähiger Suchsprache (SPL)
- Umfangreiches Ökosystem und Integrationen
- Premium-Preise, hohe Ressourcenanforderungen
- Starke Community und Content-Bibliothek
Microsoft Sentinel
- Cloud-native, Azure-integriert
- Pay-per-Use-Preismodell
- KQL-Abfragesprache
- Starke Microsoft-Ökosystem-Integration
IBM QRadar
- Traditionelles Enterprise-SIEM
- Starke Korrelationsfähigkeiten
- On-Premises- und Cloud-Optionen
- Integriert mit IBM-Sicherheitsportfolio
Elastic Security
- Basierend auf Elasticsearch/Kibana
- Open-Source-Kern mit kommerziellen Features
- Flexible Bereitstellungsoptionen
- Wachsende sicherheitsspezifische Funktionen
Implementierung Best Practices
Datenstrategie
Hochwertige Quellen priorisieren
- Authentifizierungssysteme (Active Directory, IAM)
- Perimeter-Sicherheit (Firewalls, Proxies)
- Endpoint-Schutz (EDR, Antivirus)
- Kritische Anwendungslogs
- Cloud-Plattform-Logs
Normalisieren und Anreichern
- Konsistente Feldnamen über Quellen
- Mit Asset-Kontext anreichern
- Threat-Intelligence-Feeds hinzufügen
- Datenqualität aufrechterhalten
Erkennungsentwicklung
Erkennungsregel-Lebenszyklus:
1. Bedrohung identifizieren
- Intelligence-Quellen
- Vorfalls-Erkenntnisse
- MITRE ATT&CK-Mapping
2. Logik entwickeln
- Initiale Regel schreiben
- Gegen historische Daten testen
- Für Genauigkeit verfeinern
3. Bereitstellen
- In Produktion aktivieren
- Angemessenen Schweregrad setzen
- Reaktionsverfahren dokumentieren
4. Optimieren
- False-Positive-Rate überwachen
- Schwellenwerte anpassen
- Ausnahmen nach Bedarf hinzufügen
5. Pflegen
- Regelmäßige Überprüfung und Tests
- Für Umgebungsänderungen aktualisieren
- Veraltete Regeln außer Betrieb nehmen
Karriererelevanz
SIEM-Expertise ist über Sicherheitsrollen hinweg wertvoll. SOC-Analysten nutzen SIEM täglich für Alert-Untersuchungen. Security Engineers bauen und warten SIEM-Infrastruktur. Detection Engineers entwickeln Korrelationsregeln. Architekten entwerfen SIEM-Bereitstellungen.
SIEM-bezogene Rollen (US-Markt)
| Role | Entry Level | Mid Level | Senior |
|---|---|---|---|
| SOC Analyst | 55 $ | 75 $ | 100 $ |
| SIEM Engineer | 80 $ | 105 $ | 135 $ |
| Detection Engineer | 90 $ | 120 $ | 155 $ |
| Security Architect | 115 $ | 145 $ | 185 $ |
Source: CyberSeek
Wie wir SIEM unterrichten
In unserem Cybersecurity-Bootcamp lernen Sie nicht nur SIEM in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.
Behandelt in:
Modul 5: Sicherheits-Governance, Risiko und Compliance (GRC)
360+ Stunden von Experten geleitete Ausbildung • 94% Beschäftigungsquote