Zum Inhalt springen
cyber-security.eu
DEEN

SIEM

Ein SIEM bündelt Log- und Telemetriedaten, korreliert sie und liefert die Grundlage für Detection und Incident Response. Diese Seite erklärt Funktion, wichtige Datenquellen und typische Fehler.

Für wen ist diese Seite relevant?

Diese Seite richtet sich an Security-Verantwortliche, SOC-Lead, Detection Engineers, IT-Leitung und Entscheider, die ein SIEM einführen oder vorhandene Lösungen bewerten.

Was ein SIEM leistet

Ein SIEM sammelt sicherheitsrelevante Daten aus vielen Quellen, normalisiert sie, speichert sie und untersucht sie auf Muster. Aus Detection-Use-Cases entstehen Alarme. Berichte und Dashboards helfen bei Reife, Compliance und Risiko-Sichtbarkeit.

Welche Datenquellen sind wichtig?

Typische Quellen mit hohem Wert:

- Identity: Active Directory, Entra ID, Single Sign-on
- Endpoints: EDR-Telemetrie
- E-Mail: Mail-Gateway, Microsoft 365 / Google Workspace
- Netzwerk: Firewall, Proxy, DNS
- Cloud: AWS, Azure, GCP, SaaS-Plattformen
- Anwendungen: Webanwendungen, kritische Geschäftsanwendungen

Nicht jede Quelle in voller Tiefe nötig. Wichtig ist Abdeckung der Top-Risiken.

Logqualität schlägt Tool-Auswahl

Häufiger Fehler: zu viele Logs ohne Use Cases. Ein SIEM, das nur als Datenmüllhalde betrieben wird, erzeugt Kosten ohne Wirkung.

Wichtiger als das Produkt sind:

- Saubere Normalisierung
- Klare Use Cases mit Geschäftsbezug
- Definierte Verantwortlichkeit pro Logquelle
- Tuning gegen False Positives

Use Cases und Detection

Wirksame Detection orientiert sich an realen Angreifer-Vorgehensweisen, etwa an MITRE ATT&CK, und an der eigenen Kronjuwelen-Liste.

Kombiniert man Identitäts-, Endpoint- und Cloud-Daten, lassen sich viele realistische Szenarien abdecken, ohne dass die Regelbibliothek explodiert.

Zusammenhang mit SOC und Incident Response

Das SIEM ist das zentrale Werkzeug für Detection im SOC und liefert im Vorfall den Datenraum für Forensik und Eindämmung. Ohne sauberes SIEM oder vergleichbare Lösung ist Incident Response oft Stochern im Nebel.

Auswahl und Betrieb

Bei der Auswahl spielen Datenmengen, Lizenzmodell, Integrationen, Detection-Inhalte, Reifegrad der Cloud-Variante und das realistische Betriebskonzept eine Rolle.

Für den Betrieb sind Detection Engineering, Use-Case-Lifecycle, Tuning und Qualitätsmessung Daueraufgaben, nicht Einmalprojekte.

Typische Fehler

- Viele Logs ohne Use Cases
- Keine klare Eigentümerschaft für Logquellen
- Fehlende Normalisierung
- Detection-Inhalte vom Hersteller ungetuned übernommen
- Aufbewahrungsfristen ohne Abstimmung mit Recht und Datenschutz

Checkliste

  • Klare Use-Case-Bibliothek mit Geschäftsbezug
  • Wichtige Logquellen vollständig angebunden
  • Saubere Normalisierung und Datenmodell
  • Regelmäßiges Tuning gegen False Positives
  • Aufbewahrungsfristen rechtlich abgestimmt
  • Detection Engineering als eigene Rolle
  • Verantwortlichkeit je Logquelle definiert

Häufige Fragen

+Brauchen wir ein eigenes SIEM?

Nicht immer. Für viele Organisationen ist ein Managed-Detection-Service mit sauberer Endpoint-Telemetrie ausreichend.

+Was ist wichtiger: viele Logs oder die richtigen?

Die richtigen. Logqualität und Use-Case-Pflege schlagen Datenmenge.

+Wie hängen SIEM und EDR zusammen?

EDR liefert tiefe Endpoint-Sicht, SIEM korreliert über viele Quellen. Beides ergänzt sich, ersetzt sich aber nicht.

Verwandte Themen

Was ist ein SOC?

Ein Security Operations Center bündelt Menschen, Prozesse und Technik, um Cyber-Vorfälle früh zu erkennen, strukturiert zu behandeln und nachhaltig zu lernen. Diese Seite zeigt Aufgaben, Modelle und typische Fallstricke.

Incident Response

Ein Sicherheitsvorfall verlangt einen klaren Prozess, geübte Rollen und vorbereitete Kommunikation. Wer im Ernstfall improvisiert, verliert Zeit und macht Fehler. Diese Seite zeigt die Phasen, Verantwortlichkeiten und typischen Stolpersteine.

Ransomware: Risiken und Erstmaßnahmen

Ransomware bleibt eines der teuersten Cyber-Risiken. Sie ist meist die Folge einer Verkettung von Schwächen, nicht eines einzelnen Klicks. Diese Seite zeigt typische Muster, wirksame Maßnahmen und eine geordnete Erstreaktion.

TIBER-EU

TIBER-EU ist das europäische Rahmenwerk für bedrohungsgeführte Resilienztests in kritischen Funktionen. Diese Seite erklärt die Grundidee, Phasen und den Bezug zu DORA und TLPT - bewusst auf hoher Ebene und ohne Anleitung zu konkreten Angriffstechniken.

Cyber Security für Unternehmen

Wirksame Unternehmenssicherheit verbindet Governance mit konkreten technischen und organisatorischen Maßnahmen. Diese Seite zeigt, worauf Entscheider und IT-Verantwortliche zuerst achten sollten - sachlich, ohne Panik und mit klarer Priorisierung.

Phishing

Phishing ist nach wie vor einer der häufigsten Einstiegswege. Moderne Angriffe wirken professionell, nutzen vertraute Marken und passen sich an. Technische Filter, Awareness und ein einfacher Meldeweg gehören zusammen.

Endpoint Detection and Response

EDR liefert Telemetrie und Reaktionsmöglichkeiten direkt auf Endgeräten. Es ist heute Standard in vielen Organisationen und ergänzt klassischen Endpoint-Schutz um Detection und Response.

Extended Detection and Response

XDR verbindet Telemetrie aus mehreren Quellen, um Bedrohungen schneller und in besserem Kontext zu erkennen. Diese Seite ordnet den Begriff jenseits von Marketing ein.

Threat Intelligence

Threat Intelligence ist mehr als eine Liste von IOCs. Sie ist aufbereitetes, einordnendes Wissen über Angreifer, Techniken und Risiken - und nur dann nützlich, wenn sie zu Entscheidungen führt.