Was ist Security Information Management (SIM)? - Definition von Computer Weekly

Wird dieses Einsammeln, Überwachen und Analysieren der Security-Daten automatisiert spricht man auch von einem Security Information Management System (SIMS). Manchmal wird dies auch als Security Event Management (SEM) bezeichnet, die gängigste Bezeichnung ist inzwischen aber wohl SIEM (Security Information and Event Management).

Zu den relevanten Sicherheitsinformationen gehören Protokolldaten, die aus zahlreichen Quellen generiert werden, dazu zählen: Antiviren-Software, Intrusion-Detection-Systeme (IDS), Intrusion-Prevention-Systeme (IPS), Firewalls, Router, Server, Switches und Dateisysteme.

Dabei können Systeme zur Verwaltung von Sicherheitsinformationen folgende Funktionen abbilden:

Sicherheitsrelevante Ereignisse in Echtzeit überwachen;
Aktivitäten in Echtzeit anzeigen;
Ereignisdaten aus verschiedenen Quellen in ein gemeinsames Format wie beispielsweise XML überführen;
Daten sinnvoll zusammenfassen und aggregieren;
Daten aus mehreren Quellen korrelieren;
Analysen, um Administratoren bei der Unterscheidung zwischen echten Bedrohungen und Fehlalarmen oder Falsch Positiven zu helfen;
Unterstützung bei einer automatisierten Reaktion auf Vorfälle bieten;
Warnmeldungen absetzen und Berichte generieren.

Obwohl entsprechende SIM- oder SIEM-Produkte viele Aufgaben rund um die Erfassung und Verarbeitung von sicherheitsrelevanten Informationen automatisieren können, bedarf es für einen effizienten Einsatz meist einen nicht unerheblichen Aufwand und Investitionen seitens des zu überwachenden Unternehmens.

Security Information Management (SIM)

Erfahren Sie mehr über IT-Sicherheits-Management

SIEM: Wie sich die Erkennung von Bedrohungen verändert

Security Analytics

Wie unterscheiden sich SOAR und SIEM voneinander?

Sechs gute Gründe für die Einführung von SOAR im SOC