Pattarin - stock.adobe.com

Tipp

SIEM in fünf Schritten reibungslos implementieren

Die SIEM-Einführung oder Migration muss nicht unbedingt holperig verlaufen. Eine ordentliche Planung und schrittweise Bereitstellung können dies verhindern. Ein Leitfaden hilft.

Karen Kent
von
Zuletzt aktualisiert: 05 März 2026

SIEM (Security Information and Event Management) ist seit langem ein Eckpfeiler des SOC (Security Operations Center) und der Sicherheitsstrategie von Unternehmen. SIEM sammelt, korreliert und zentralisiert Sicherheitsdaten, um eine effizientere und effektivere Erkennung von Bedrohungen und Reaktion auf Vorfälle zu ermöglichen.

SIEM lässt sich in Tools, Dienste und Endpunkte eines gesamten Unternehmens integrieren und verarbeitet riesige Datenmengen, sodass die Migration ein umfangreiches Unterfangen ist. Die gute Nachricht ist, dass eine durchdachte und strategische Planung den Unterschied zwischen einer holprigen und einer reibungslosen Bereitstellung ausmachen kann. Wenn Sie kürzlich SIEM-Technologie erworben haben oder gerade dabei sind, dies zu tun, lassen Sie uns einige Best Practices für die Implementierung betrachten.

Wichtige Schritte bei der SIEM-Bereitstellung

Obwohl jede Bereitstellung individuell ist, sind die folgenden wichtigen Schritte für die meisten oder alle SIEM-Implementierungen empfehlenswert.

1. Die Architektur des SIEM festlegen

Die SIEM-Architektur umfasst alle unterstützenden Systeme, auf denen SIEM basiert und mit denen es interagiert. In dieser Phase sollten Sie die aktuellen und zukünftigen Anforderungen der Plattform in Bezug auf Leistung, Ausfallsicherheit und Sicherheit sorgfältig abwägen.

Identifizieren und priorisieren Sie die wichtigsten SIEM-Anwendungsfälle Ihres Unternehmens, die als Grundlage für Entscheidungen über die Architektur dienen sollten. Wenn Sie Anwendungsfälle kennen, die SIEM allein nicht abdeckt, sollten Sie den Einsatz zusätzlicher ergänzender Technologien oder Techniken in Betracht ziehen. Heutzutage kombinieren Unternehmen SIEM häufig mit anderen Tools, wie beispielsweise SOAR und XDR.

Beachten Sie bei der Konzeption der SIEM-Architektur und der Planung ihrer Bereitstellung sowohl die primären als auch die tangentialen Kosten. Zu den möglichen unerwarteten Kosten zählen unter anderem:

  • Bedrohungsinformationen werden in das SIEM eingespeist.
  • Migration gespeicherter Protokolldaten vom bestehenden SIEM zum neuen SIEM.
  • Parallelbetrieb des alten SIEM und des neuen SIEM aufgrund einer schrittweisen Migration oder Anforderungen zur Protokollaufbewahrung.
  • Langfristige Aufbewahrung von Protokolldaten.
  • Schulung der Mitarbeiter zum neuen SIEM.
  • Datenaufnahmegestützte Preismodelle, die zu unvorhergesehenen Kostensteigerungen führen können. Im Falle eines ungewöhnlichen Sicherheitsvorfalls könnten beispielsweise massive Sprünge in der Protokollierung zu explodierenden Kosten führen.

2. Die Bereitstellung planen

Die Planungsphase kann aufgrund der Vielzahl von Systemen, die mit SIEM interagieren, unerwartet komplex sein. Beispielsweise muss eine SIEM-Plattform mit allen Technologien integriert werden, auf die sie für Informationen angewiesen ist, darunter Protokolle, Intelligence-Feeds, Schwachstellen- und Asset-Management-Systeme sowie alle anderen Technologien, die wichtige Informationen liefern.

Die Bereitstellung muss auch alle Technologien umfassen, die das SIEM selbst nutzt – beispielsweise SOAR (Security Orchestration, Automation and Response), EDR (Endpoint Detection and Response) sowie andere Tools zur Reaktion auf Vorfälle.

Wenn Sie über ein älteres SIEM-System verfügen, müssen Sie außerdem Folgendes berücksichtigen:

  • Welche benutzerdefinierten Dashboards, Konfigurationen und Workflows müssen migriert werden, um Kontinuität zu gewährleisten und sicherzustellen, dass wichtige Sicherheitswarnungen nicht übersehen werden?
  • Muss das Unternehmen ältere Protokolldaten aufbewahren, beispielsweise um gesetzliche Anforderungen zu erfüllen oder Leistungsbasiswerte festzulegen? Wenn ja, legen Sie fest, wie und wo die älteren Daten gespeichert werden sollen – zum Beispiel im alten SIEM, im neuen SIEM oder auf einer Datenverwaltungsplattform eines Drittanbieters.
  • Gibt es bekannte oder unbekannte Benutzer außerhalb von SecOps, deren Anwendungsfälle den Umfang der Migration erweitern und zusätzliche Herausforderungen mit sich bringen könnten?

3. Eine schrittweise Bereitstellung des SIEM durchführen

Eine schnelle Umstellung auf ein neues SIEM kann zu unübersichtlichen Zuständen und Verwirrung führen, sodass es nahezu unmöglich ist, die Ursache eines bestimmten Problems zu lokalisieren und zeitnah zu beheben.

Daher ist es am besten, das alte und das neue SIEM parallel zu betreiben und nach und nach weitere Systeme mit der neuen Plattform zu testen und zu integrieren. Beheben Sie alle auftretenden Störungen. Testen Sie das SIEM, um Leistung, Ausfallsicherheit und Sicherheit zu beurteilen.

Ein Manko: Der längere Betrieb von zwei SIEM-Lösungen kann zu einer Überlastung der Mitarbeitenden führen. Sicherheitsverantwortliche müssen ein Gleichgewicht zwischen methodischen und effizienten Bereitstellungen finden.

4. Konfigurieren und optimieren

SIEM-Lösungen erfordern eine umfangreiche manuelle Konfiguration zu Beginn – mit ständigen Neukonfigurationen im Laufe der Zeit –, um Fehlalarme und falsche Negativmeldungen auf einem angemessenen Niveau zu halten. Erstellen und verfeinern Sie Regelsätze und Filter, optimieren Sie Warnmeldungen, Schwellenwerte und Auslöser und entwickeln und verfeinern Sie Dashboards und Berichte, um den Anforderungen des Unternehmens gerecht zu werden.

5. Richtlinien, Prozesse und Verfahren aktualisieren

Idealerweise beginnt diese Arbeit bereits in den vorherigen Schritten und wird abgeschlossen, wenn SIEM kurz vor der vollständigen Produktionsbereitstellung steht. Schulen Sie das Personal in der Verwendung und Wartung des neuen SIEM.

Erfahren Sie mehr über IT-Sicherheits-Management