Definition

Security Information Management (SIM)

Wird dieses Einsammeln, Überwachen und Analysieren der Security-Daten automatisiert spricht man auch von einem Security Information Management System (SIMS). Manchmal wird dies auch als Security Event Management (SEM) bezeichnet, die gängigste Bezeichnung ist inzwischen aber wohl SIEM (Security Information and Event Management).

Zu den relevanten Sicherheitsinformationen gehören Protokolldaten, die aus zahlreichen Quellen generiert werden, dazu zählen: Antiviren-Software, Intrusion-Detection-Systeme (IDS), Intrusion-Prevention-Systeme (IPS), Firewalls, Router, Server, Switches und Dateisysteme.

Dabei können Systeme zur Verwaltung von Sicherheitsinformationen folgende Funktionen abbilden:

  • Sicherheitsrelevante Ereignisse in Echtzeit überwachen;
  • Aktivitäten in Echtzeit anzeigen;
  • Ereignisdaten aus verschiedenen Quellen in ein gemeinsames Format wie beispielsweise XML überführen;
  • Daten sinnvoll zusammenfassen und aggregieren;
  • Daten aus mehreren Quellen korrelieren;
  • Analysen, um Administratoren bei der Unterscheidung zwischen echten Bedrohungen und Fehlalarmen oder Falsch Positiven zu helfen;
  • Unterstützung bei einer automatisierten Reaktion auf Vorfälle bieten;
  • Warnmeldungen absetzen und Berichte generieren.

Obwohl entsprechende SIM- oder SIEM-Produkte viele Aufgaben rund um die Erfassung und Verarbeitung von sicherheitsrelevanten Informationen automatisieren können, bedarf es für einen effizienten Einsatz meist einen nicht unerheblichen Aufwand und Investitionen seitens des zu überwachenden Unternehmens.

Diese Definition wurde zuletzt im Oktober 2020 aktualisiert

Erfahren Sie mehr über IT-Sicherheits-Management