Security Information and Event Management Solutions

Die Zahl der Würmer, Viren, Hacker und böswilligen Attacken steigt jeden Tag. Vor diesem Hintergrund greifen Unternehmen auf die besten heterogenen Sicherheitsinfrastrukturen ihrer Klasse zurück, um sich und ihre Ressourcen zu schützen. Indem Unternehmen aber Millionen von Euro in eine ganze Reihe von Sicherheitslösungen wie Antiviren-Gateways, Firewalls und Intrusion Detection Systeme investieren, setzen sie sich selbst einem neuen Problem aus: der zunehmenden Komplexität.
Ohne den Einsatz eines intelligenten Managements und automatisierter Verknüpfungen müssen sich zahlreiche Unternehmen der Herausforderung stellen, dass sich ihre Sicherheitsprogramme in eine komplexe Zusammenstellung von ungleichen Systemen entwickelt haben, die eine erdrückende Datenflut erzeugen, aber wenige Einblicke in echte Gefahren und Angriffe gewähren. Diese Situation mag zwar in der Vergangenheit hingenommen worden sein, aber aufgrund des zunehmenden Drucks durch Compliance-Anforderungen und der immer vielfältiger werdenden Gefahren setzen Unternehmen heute die SIEM-Technologie ein, um Informationsrisiken zentral zu verwalten und kritische IT-Assets zu schützen.

Grundlegende Bausteine

  • Leistungsstarke Zusammentragung und Verarbeitung: Die Zusammentragung, Normalisierung, Gruppierung und Filterung von Millionen Ereignissen von tausenden Netzwerk-Assets in einem kontrollierbaren Datenstrom bildet die solide Grundlage eines SIEM-Systems. Hierbei erfolgt eine Priorisierung nach Risiko, gefährdeten Schwachstellen und der Bedeutung der betroffenen Assets. Die Schicht für die Zusammentragung der Daten muss in der Lage sein, eine enorme Zahl von Ereignissen effizient zu managen ohne das Netzwerk zu stark zu belasten. Außerdem dürfen an den überwachten Systemen so wenige Änderungen wie möglich vorgenommen werden (z. B. agentenlose Umsetzung).



  • Langfristige Archivierung zu niedrigen Kosten: Die aktuellen Richtlinien und Normen schreiben vor, dass Ereignisse und Vorfälle über einen Zeitraum von mehreren Jahren archiviert werden. Daher ist es heute wichtiger denn je, die Ereignisse kostengünstig und sicher zu speichern und gleichzeitig den einfachen und schnellen Datenabruf für Analyse- und Berichtszwecke zu gewährleisten.



  • Verknüpfung in Echtzeit: Hinter zahlreichen relevanten und gefährlichen Aktionen steckt oftmals mehr als ein Ereignis. Bei der Verknüpfung werden die Beziehungen zwischen den einzelnen Ereignissen identifiziert und Rückschlüsse auf die Bedeutung dieser Beziehungen gezogen. Die Ereignisse und ihre Beziehungen werden überdies in eine bestimmte Rangfolge gebracht. So wird ein Rahmen für die entsprechenden zu ergreifenden Maßnahmen geschaffen. Eine derartige Verknüpfung sollte in Echtzeit erfolgen, sodass die Vorfälle so schnell wie möglich identifiziert werden können. Der Zeitfaktor spielt bei der SIEM-Technologie eine wichtige Rolle.

Moderne Analysefunktionen
Wenn Ereignisse auftauchen, die einer Untersuchung bedürfen, liefern die SIEM-Tools vielfältige Test-Tools, mit denen Ihre Teammitglieder ein Ereignis näher beleuchten und dessen Einzelheiten und Beziehungen bestimmen können.
Zu den fortschrittlichen Analyseoptionen zählen Tools für das Data-Mining, die Mustererkennung sowie die visuelle Analyse. Mit diesen Tools können Sie unter anderem bisher unbekannte Gefahren (Identifikation am Tag Null), unangemessene Nutzerprofile sowie sonstige schwer erkennbare schleichende Gefahren identifizieren.

Visualisierung und Berichtserstellung
Die Sicherheitsmitarbeiter sehen sich oft konfrontiert mit eskalierten Ereignissen, die zeitaufwändige Analysen für die Problemlösung und Behebung von Schwachstellen erfordern. Mit der SIEM-Lösung von S&T profitieren Sie von einer leistungsstarken und interaktiven Funktionsleiste für das Sicherheitsmanagement, mit der Sie relevante Gefahren umgehend prüfen können.

Besonders wichtig ist die Unterrichtung aller Personen, die bei der Sicherheit Ihres Netzwerks eine Rolle spielen, zum Status der Netzwerksicherheit. Dazu zählen zum Beispiel IT- und Sicherheitsmanager, Führungskräfte und Auditoren. Die Erstellung von Berichten zu vergangenen Ereignissen und Trends ist ebenfalls ein Kernelement von SIEM.

Reaktion mit Workflow
Der Workflow-Rahmen bietet eine anpassungsfähige Struktur von Eskalationsstufen, um zu gewährleisten, dass die relevanten Ereignisse an die richtigen Personen innerhalb der erforderlichen Zeit weitergeleitet werden. Automatische Reaktionen sind ebenfalls möglich, bedenken Sie aber, dass die besten Reaktionen, genauso wie die Angriffe selbst, von Menschenhand stammen. Mit den SIEM-Systemen können Ihre Teammitglieder sofort Untersuchungen durchführen, sachkundige Entscheidungen treffen und angemessene und zeitnahe Maßnahmen ergreifen, um identifizierte Gefahren und Angriffe zu beheben.

Die wichtigsten Vorteile
  • SIEM bietet einen ganzheitlichen Blick auf den Sicherheitsstatus aller relevanten IT-Services.


  • SIEM liefert Informationen über die Qualität der Gefahren, die Auswirkungen der Gefahren auf die IT-Services und den Compliance-Status (intern, extern, regulatorisch).


  • SIEM unterstützt Sie dabei, noch mehr Nutzen aus Ihren bestehenden Sicherheitsinvestitionen zu ziehen.


  • SIEM hilft Ihnen bei der schnellen Untersuchung und Bestimmung der Grundursachen für Sicherheitsprobleme und -verstöße, wodurch Sie eine bessere Chance haben, die Kosten derartiger Ereignisse zu minimieren.