Wie funktioniert SIEM

Ein SIEM-System sammelt alle für die IT-Sicherheit relevanten Daten an einer zentralen Stelle und untersucht sie auf Unregelmäßigkeiten. Durch die zentrale Betrachtung lassen sich Trends und Muster, die vom gewohnten Schema abweichen und auf gefährliche Aktivitäten hinweisen, leichter bemerken.
Gesammelt werden die Daten meist von sogenannten Software-Agenten. Diese überwachen wichtige Punkte der IT-Sicherheit wie Firewalls, Server, Router, Intrusion Detection Systeme (IDS), Intrusion Prevention Systeme (IPS) und verschiedene Anwendungen. Das SIEM strukturiert die gesammelten Daten und vergleicht sie mit dem Normalzustand. So kann es feststellen, ob jemand versucht, unerlaubt auf eine Firewall zuzugreifen oder ein Passwort zu knacken – z.B. bei einer Häufung fehlerhafter Anmeldeversuche. Wird ein potentielles Problem erkannt, verschickt das System einen Alarm, protokolliert das Event und kann über angebundene Tools laufende Angriffe automatisch eingrenzen oder gar stoppen.

Welche Ziele hat SIEM

Eine SIEM-Lösung erleichtert das Sicherheitsmanagement erheblich, da es große Mengen an sicherheitsrelevanten Daten automatisch und in Echtzeit überwacht und beurteilt. So werden Vorfälle erkannt, die sonst womöglich nicht entdeckt worden wären. Aus den protokollierten Daten erstellt das System eine Zeitachse des Angriffs und sogar Compliance- und Audit-Berichte. Aus diesen Informationen können Rückschlüsse über dessen Art und die Auswirkungen auf das Unternehmen gezogen werden. So kann das Sicherheitspersonal richtig auf die Bedrohungen reagieren und den Ursprung des Angriffs sowie die kompromittierten Systeme identifizieren. Dass im Vorfeld mögliche Szenarien schon eingehend durchdacht wurden, ermöglicht souveränes Handeln im Ernstfall.

Vorteile von SIEM

Die Hauptvorteile eines SIEM-Systems sind also:

  • Bedrohungen werden schnell und zuverlässig erkannt.
  • Es werden umgehend die richtigen Gegenmaßnahmen eingeleitet.
  • Dadurch kann der verursachte Schaden begrenzt werden.
  • Sicherheitsrelevante Ereignisse werden revisionssicher gespeichert.

SIEM und essendi xc

Auch unser Zertifikatsmanager essendi xc kann in eine SIEM-Lösung eingebunden werden und seine Meldungen an ein SIEM-System weiterleiten. xc selbst ist vor Cyberangriffen durch verschiedene Vorkehrungen geschützt. Das Audit-Log dokumentiert ab der Systemanmeldung alle Aktionen, die User über das Tool anstoßen. Mithilfe von Templates und Policies erfolgt die Beantragung von Zertifikaten Compliance-gerecht. Rollenbasierte Zugriffe und Berechtigungen stellen sicher, dass User nur die Zertifikate sehen und bearbeiten, für die sie berechtigt sind. Zudem prüft xc in festgelegten Intervallen den Zertifikatsbestand, bemerkt unautorisierte Abweichungen und verschickt eine entsprechende Warnmeldung.