Unter einem „SIEM-Tool (Security Information and Event Management)“ versteht man eine Sicherheitslösung, die sicherheitsrelevante Ereignisse und Logdaten aus verschiedenen IT-Systemen, Anwendungen, Netzwerkkomponenten und Cloud-Diensten zentral sammelt, korreliert und auswertet. Ziel eines SIEM ist es, Sicherheitsvorfälle schneller zu erkennen, Zusammenhänge zwischen einzelnen Ereignissen sichtbar zu machen, Compliance-Anforderungen zu erfüllen und die Incident-Response-Prozesse im Unternehmen zu unterstützen.
Zentrale Log- und Ereignissammlung: Automatisiertes Einsammeln von Logdaten und Events aus Servern, Firewalls, Endgeräten, Anwendungen, Cloud-Services und Identity-Systemen.
Ereigniskorrelation: Verknüpfung einzelner Events über Regeln und Use Cases, um Muster, Angriffsketten (Kill Chain) und Anomalien zu erkennen.
Echtzeit-Alarmierung: Generierung von Alerts bei sicherheitskritischen Ereignissen, z. B. bei verdächtigen Login-Versuchen, Malware-Hinweisen oder Richtlinienverstößen.
Dashboards & Security Monitoring: Visualisierung der Sicherheitslage in übersichtlichen Dashboards, inkl. KPI- und Statusübersichten für Security Operations Center (SOC) und Management.
Threat Intelligence-Integration: Anbindung externer Bedrohungsdatenquellen (Threat Feeds), um bekannte bösartige IP-Adressen, Domains, Hashes oder Angriffsmuster automatisch zu erkennen.
Anomalie- und Verhaltensanalyse: Einsatz von statistischen Verfahren und teilweise Machine Learning, um ungewöhnliches Nutzer-, System- oder Netzwerkverhalten aufzuspüren.
Vorfallmanagement (Incident Handling): Unterstützung bei der Analyse, Priorisierung und Bearbeitung von Sicherheitsvorfällen, z. B. durch Workflows, Ticketing-Integration und Playbooks.
Forensische Analyse und Log-Suche: Leistungsfähige Such- und Filterfunktionen, um historische Ereignisse zu rekonstruieren, Root-Cause-Analysen durchzuführen und Beweise zu sichern.
Compliance- und Audit-Reporting: Erstellung von Berichten zur Erfüllung gesetzlicher und regulatorischer Anforderungen (z. B. ISO 27001, DSGVO, branchenspezifische Normen).
Rollen- und Berechtigungskonzept: Steuerung von Zugriffsrechten auf Dashboards, Daten und Funktionen für unterschiedliche Rollen (z. B. SOC-Analyst, Auditor, Management).
Automatisierung / SOAR-Integration: Kopplung mit Security Orchestration, Automation and Response (SOAR), um Reaktionsmaßnahmen (z. B. Sperren von Konten, Blockieren von IPs) teil- oder vollautomatisiert auszulösen.
Ein Unternehmen konsolidiert Logdaten aus Firewalls, Active Directory, E-Mail-Gateways und Cloud-Anwendungen, um Angriffsversuche zentral zu erkennen.
Ein SOC überwacht in Echtzeit verdächtige Anmeldeversuche aus ungewöhnlichen Ländern und leitet bei korrelierten Events automatisch Incident-Response-Maßnahmen ein.
Ein Finanzdienstleister nutzt SIEM-Reports, um Nachweise für externe Audits und Compliance-Prüfungen bereitzustellen.
Ein Produktionsbetrieb analysiert mithilfe des SIEM Sicherheitsvorfälle in seinem OT-/IIoT-Netzwerk und korreliert diese mit Ereignissen aus der Office-IT.
Ein Managed Security Service Provider (MSSP) überwacht die Umgebungen mehrerer Kunden über eine zentrale SIEM-Plattform.
Splunk Enterprise Security
IBM Security QRadar SIEM
Microsoft Sentinel
Elastic SIEM (Elastic Security)
LogRhythm SIEM
Micro Focus ArcSight (OpenText ArcSight)
AlienVault / AT&T Cybersecurity USM
