In zehn Schritten zum SIEM

Systemanforderungen klären

Jedes SIEM-System ist nur so gut wie der Mitarbeiter, der es bedient. Deshalb ist die Absprache mit den Mitarbeitern im IT-Betrieb notwendig. Zu klären ist unter anderem, wer für den Systembetrieb verantwortlich ist und welche SLAs gelten. Zudem muss berücksichtigt werden, wann das SIEM-System aktiv ist, welche Support-Leistungen der Hersteller erbringt und welche Schulungen erforderlich sind.

Reporting definieren

Log-Daten sollen nicht nur visualisiert, sondern auch in Berichten zusammengefasst werden. Diese sind wiederum die Grundlage für Verbesserungen. Daher sollte eine flexible Gestaltung der Reports gewährleistet sein, unabhängig, welche Daten ausgewertet und in welchen Kontext sie gestellt werden.

Regelmäßig überprüfen

Eine IT-Umgebung ist dynamisch. Daher sollte regelmäßig eine Evaluierung der SIEM-Lösungen erfolgen. Anhand dieser Bestandsaufnahme lässt sich beispielsweise ermitteln, welche Komponenten erweitert oder hinzugefügt werden müssen. Speziell dann, wenn ein Unternehmen Sicherheitszertifizierungen vornehmen lässt, etwa gemäß ISO 2700x, ist eine solche regelmäßige interne Standortbestimmung unabdingbar.

Fazit

SIEM ist ein zentraler Baustein jeder IT-Sicherheits- und Compliance-Strategie. Allerdings sollte Unternehmen bewusst sein, dass ein Security Incident and Event Management "gelebt" werden muss. Es reicht nicht aus, ein SIEM-System zu implementieren - und fertig. SIEM erfordert, dass die involvierten Abteilungen, Fachbereiche, Administratoren und die Geschäftsverantwortlichen eng zusammenarbeiten. Erst dann kann ein Security Incident and Event Management sein volles Potenzial entfalten. (sh)