SIEM aggregiert Logs aus der gesamten Infrastruktur, korreliert Ereignisse und erkennt Sicherheitsvorfälle.
Wie SIEM funktioniert¶
- Log-Sammlung aus allen Quellen
- Normalisierung und Parsing
- Ereigniskorrelation
- Anomalie- und Regelerkennung
- Alerting und Response
Open-Source SIEM¶
- Wazuh: HIDS + SIEM, agentenbasiert
- Elastic SIEM: Elasticsearch + Kibana + Detection Rules
- Grafana Loki + Promtail: Leichtgewichtige Log-Aggregation
Detection Rules¶
Elastic SIEM Detection Rule¶
- rule: name: Multiple Failed Logins type: threshold query: ‘event.category:authentication AND event.outcome:failure’ threshold: field: source.ip value: 10 severity: high interval: 5m
Wichtigste Erkenntnis¶
SIEM = zentrale Sichtbarkeit. Wazuh für kleines Budget, Elastic SIEM für Flexibilität, Splunk/Sentinel für Enterprise.
securitysiemmonitoringsoc