Tech

SIEM für Mittelstand und Kommunen

Firewall, Endpoint Security, Cloud-Dienste und Benutzerkonten erzeugen täglich
große Mengen an Sicherheitsdaten. Jede einzelne Lösung erkennt einen Teil
der Aktivitäten innerhalb der IT-Umgebung.

Doch wer erkennt, wenn mehrere zunächst unauffällige Ereignisse
zusammen einen Cyberangriff ergeben?

Genau hier setzt ein SIEM an. Es führt sicherheitsrelevante Informationen
aus unterschiedlichen Systemen zusammen, analysiert Zusammenhänge und
macht verdächtige Aktivitäten zentral sichtbar.

Dadurch erhalten Unternehmen, mittelständische Betriebe und Kommunen
eine bessere Grundlage, um Bedrohungen zu priorisieren und auf
Sicherheitsvorfälle zu reagieren.

Ein SIEM-System schafft eine zentrale Sicht auf Ereignisse,
die ansonsten über zahlreiche Systeme, Protokolle und Administrationsoberflächen
verteilt wären.

Es ersetzt bestehende Sicherheitslösungen nicht. Stattdessen verbindet es deren
Informationen und hilft dabei, aus einzelnen Warnungen ein nachvollziehbares
Gesamtbild zu erstellen.

Was ist ein SIEM?

SIEM steht für Security Information and Event Management.
Ein SIEM sammelt Protokoll- und Ereignisdaten aus unterschiedlichen Quellen,
speichert sie zentral und analysiert sie anhand definierter Regeln,
Muster und weiterer Erkennungsverfahren.

Zu diesen Daten können beispielsweise fehlgeschlagene Anmeldungen,
administrative Änderungen, Firewall-Verbindungen, Endpoint-Warnungen
oder Zugriffe auf Cloud-Dienste gehören.

Der Nutzen entsteht vor allem durch die Verknüpfung dieser Informationen.
Eine einzelne fehlgeschlagene Anmeldung ist normalerweise noch kein
Sicherheitsvorfall. Erfolgen jedoch zahlreiche Anmeldeversuche aus einem
ungewöhnlichen Land und wird kurz darauf ein neues Administratorkonto angelegt,
entsteht ein deutlich relevanterer Zusammenhang.

Ein SIEM sammelt nicht nur Logs

Eine reine Logsammlung archiviert technische Ereignisse.
Ein SIEM soll zusätzlich erkennen, welche Ereignisse sicherheitsrelevant sind,
wie sie zusammenhängen und welche davon zuerst untersucht werden müssen.

Der entscheidende Mehrwert liegt daher nicht in der Datenmenge,
sondern in der sinnvollen Analyse und Priorisierung.

Warum reichen Firewall und Endpoint Security allein nicht aus?

Moderne Sicherheitslösungen schützen jeweils einen bestimmten Bereich.
Eine Firewall bewertet Netzwerkverbindungen, Endpoint Security überwacht
Arbeitsplätze und Server und ein Identity-System protokolliert Anmeldungen
sowie Berechtigungsänderungen.

Ein komplexer Angriff betrifft jedoch häufig mehrere dieser Bereiche gleichzeitig.
Ohne eine zentrale Analyse bleiben zusammengehörige Ereignisse in unterschiedlichen
Systemen verteilt.

Sicherheitslösung Was sie sieht Was ohne zentrale Korrelation fehlen kann
Firewall Verbindungen, Ports, Protokolle und blockierten Datenverkehr Ob eine Verbindung mit einem kompromittierten Benutzerkonto
oder einem verdächtigen Prozess zusammenhängt.
Endpoint Security Prozesse, Dateien und Aktivitäten auf Arbeitsplätzen und Servern Ob derselbe Benutzer gleichzeitig ungewöhnliche Cloud- oder Netzwerkzugriffe ausführt.
Identity-System Anmeldungen, Konten, Rollen und Berechtigungen Ob eine Anmeldung auf einem bereits auffälligen oder kompromittierten Gerät erfolgt.
Cloud-Plattform Zugriffe und Änderungen innerhalb des jeweiligen Cloud-Dienstes Ob vergleichbare Aktivitäten gleichzeitig in lokalen Systemen stattfinden.

Ein SIEM führt diese Perspektiven zusammen. Dadurch kann aus mehreren
einzelnen Warnungen ein zusammenhängender Sicherheitsvorfall werden.

Wie erkennt ein SIEM einen Angriff?

Das folgende Beispiel zeigt, wie verschiedene Ereignisse erst durch ihre
Kombination eine klare Bedeutung erhalten.

1

Mehrere Anmeldungen schlagen fehl

Ein Benutzerkonto erzeugt innerhalb kurzer Zeit zahlreiche fehlgeschlagene
Anmeldeversuche. Für sich allein könnte dies auch durch ein vergessenes
Passwort verursacht worden sein.

2

Eine Anmeldung erfolgt aus einer ungewöhnlichen Region

Kurz darauf gelingt eine Anmeldung über eine IP-Adresse oder einen Standort,
der bisher nicht mit dem Benutzerkonto in Verbindung stand.

3

Auf einem Endgerät startet ein auffälliger Prozess

Die Endpoint-Security-Lösung meldet die Ausführung eines ungewöhnlichen
Skripts oder den Missbrauch eines administrativen Systemwerkzeugs.

4

Berechtigungen werden verändert

Das Benutzerkonto wird einer privilegierten Gruppe hinzugefügt
oder erhält Zugriff auf zusätzliche Systeme.

5

Das SIEM verbindet die Ereignisse

Die zeitliche und technische Korrelation zeigt, dass es sich nicht
um voneinander unabhängige Warnungen, sondern möglicherweise um
eine Kontoübernahme handelt.

6

Der Vorfall wird priorisiert

Das Security-Team erhält einen Alarm mit den relevanten Ereignissen
und kann das Konto sperren, das Gerät isolieren und weitere Zugriffe prüfen.

Ein SIEM verhindert den Angriff nicht automatisch in jeder Situation.
Es schafft jedoch die Transparenz, um einen möglichen Vorfall schneller
zu erkennen und gezielter zu untersuchen.

Welche Datenquellen kann ein SIEM auswerten?

Der Nutzen eines SIEM hängt stark davon ab, welche Datenquellen angebunden
werden und ob deren Informationen für die definierten Sicherheitsziele relevant sind.

Firewalls

Erlaubte und blockierte Verbindungen, Ports, Protokolle,
Quell- und Zieladressen.

Endpoints

Prozesse, Malware-Warnungen, Systemänderungen und verdächtige Aktivitäten.

Active Directory

Anmeldungen, Konten, Gruppenmitgliedschaften und administrative Änderungen.

Microsoft 365

Benutzeranmeldungen, E-Mail-Aktivitäten, Freigaben und Änderungen an Konten.

Cloud-Dienste

Zugriffe, Konfigurationsänderungen und Aktivitäten in Cloud-Workloads.

VPN-Systeme

Externe Zugriffe, Verbindungszeiten und auffällige Anmeldeversuche.

Server

Betriebssystemereignisse, Zugriffe auf Dienste und administrative Aktionen.

Anwendungen

Zugriffe, Fehler, Berechtigungsänderungen und sicherheitsrelevante Fachverfahren.

Threat Intelligence

Informationen zu bekannten schädlichen IP-Adressen, Domains,
Angriffsmethoden und kompromittierten Daten.

Es ist nicht sinnvoll, von Beginn an jede technisch verfügbare Datenquelle
vollständig einzulesen. Besser ist ein priorisierter Ansatz, der mit den
wichtigsten Systemen und konkreten Erkennungszielen beginnt.

Was passiert mit den gesammelten Daten?

Ein SIEM durchläuft mehrere Verarbeitungsschritte, bevor aus technischen
Rohdaten ein verwertbarer Sicherheitsalarm entsteht.

  1. Datenerfassung:
    Protokolle und Ereignisse werden aus den angebundenen Systemen übernommen.
  2. Normalisierung:
    Unterschiedliche Datenformate werden in eine einheitlich auswertbare
    Struktur gebracht.
  3. Anreicherung:
    Ereignisse können um Kontext wie Benutzer, Standort,
    Geräteinformationen oder Threat Intelligence ergänzt werden.
  4. Korrelation:
    Mehrere Ereignisse werden anhand von Zeit, Benutzer, Gerät
    oder anderen Merkmalen miteinander verbunden.
  5. Erkennung:
    Regeln und Analyseverfahren identifizieren verdächtige Muster.
  6. Priorisierung:
    Warnungen werden nach Risiko und möglicher Auswirkung bewertet.
  7. Untersuchung:
    Security-Verantwortliche prüfen den Kontext und leiten
    geeignete Maßnahmen ein.

Welche Aufgaben sollte ein SIEM konkret erfüllen?

Zentrale Transparenz

Sicherheitsereignisse aus unterschiedlichen Systemen werden
über eine gemeinsame Plattform sichtbar.

Angriffsmuster erkennen

Einzelne Aktivitäten werden miteinander verbunden,
um komplexere Angriffe zu identifizieren.

Warnungen priorisieren

Kritische Vorfälle sollen von weniger relevanten
technischen Ereignissen unterscheidbar sein.

Untersuchungen unterstützen

Analysten können nachvollziehen, welche Benutzer,
Systeme und Zeiträume betroffen sind.

Nachweise bereitstellen

Ereignisse und Reaktionen können für Audits,
interne Prüfungen und Compliance-Prozesse dokumentiert werden.

Reaktionen automatisieren

In Verbindung mit geeigneten Prozessen oder SOAR-Funktionen
können definierte Reaktionen automatisiert angestoßen werden.

Was ist der Unterschied zwischen SIEM, SOC, SOAR und XDR?

Die Begriffe werden häufig gemeinsam verwendet, beschreiben jedoch
unterschiedliche Technologien und organisatorische Ansätze.

Begriff Bedeutung Schwerpunkt
SIEM Security Information and Event Management Zentrale Sammlung, Analyse und Korrelation sicherheitsrelevanter Daten.
SOC Security Operations Center Team, Prozesse und Organisation zur Überwachung und Bearbeitung
von Sicherheitsvorfällen.
SOAR Security Orchestration, Automation and Response Automatisierung und Orchestrierung wiederkehrender
Analyse- und Reaktionsschritte.
XDR Extended Detection and Response Erkennung und Reaktion über mehrere eng miteinander
verbundene Sicherheitsbereiche.

Ein SIEM ist somit eine technische Plattform.
Ein SOC beschreibt dagegen die Menschen und Prozesse,
die eine solche Plattform betreiben und auf Meldungen reagieren.

SOAR kann wiederkehrende Abläufe automatisieren.
XDR verfolgt ebenfalls einen bereichsübergreifenden Ansatz,
ist jedoch häufig stärker an die Daten und Produkte einer
bestimmten Sicherheitsplattform gebunden.

Benötigt jedes Unternehmen ein SIEM?

Nicht jede Organisation benötigt sofort ein umfangreiches SIEM mit
zahlreichen Datenquellen und einem eigenen Security Operations Center.

Ein SIEM wird besonders relevant, wenn:

  • zahlreiche Systeme und Sicherheitslösungen überwacht werden müssen,
  • Warnungen über unterschiedliche Oberflächen verteilt sind,
  • kritische oder sensible Daten verarbeitet werden,
  • mehrere Standorte oder hybride IT-Umgebungen bestehen,
  • Sicherheitsvorfälle nachvollziehbar untersucht werden müssen,
  • interne oder regulatorische Anforderungen eine zentrale Protokollierung verlangen,
  • ein internes oder externes Security-Team auf Warnungen reagieren kann.

Für eine kleine Umgebung kann zunächst eine gezielte Überwachung
besonders kritischer Systeme ausreichen. Bei wachsenden Infrastrukturen
steigt jedoch der Nutzen einer zentralen Analyse.

SIEM für Mittelstand und Kommunen

Mittelständische Unternehmen und Kommunen verfügen häufig über
gewachsene IT-Landschaften mit Fachanwendungen, Cloud-Diensten,
mehreren Standorten und unterschiedlichen Sicherheitsprodukten.

Gleichzeitig stehen nicht immer ausreichend interne Ressourcen zur Verfügung,
um jede Administrationsoberfläche dauerhaft zu überwachen.
Ein SIEM kann hier eine gemeinsame Sicht auf besonders relevante Ereignisse schaffen.

Wichtig ist jedoch ein angemessener Umfang. Ein zu komplexes System,
das mehr Warnungen erzeugt als bearbeitet werden können,
verbessert die Sicherheit nicht automatisch.

Ein SIEM muss zur verfügbaren Organisation passen

Die technische Frage lautet:
Welche Ereignisse können wir erkennen?

Die organisatorische Frage lautet:
Wer prüft diese Ereignisse und wer reagiert im Ernstfall?

Beide Fragen müssen bereits bei der Planung beantwortet werden.

SIEM selbst betreiben oder als Managed Service nutzen?

Ein SIEM benötigt auch nach der technischen Einführung kontinuierliche Betreuung.
Regeln müssen angepasst, Datenquellen geprüft und Warnungen bewertet werden.

Betriebsmodell Vorteile Voraussetzungen
Eigenbetrieb Volle interne Kontrolle und direkte Einbindung
in vorhandene IT- und Sicherheitsprozesse.
Ausreichend Fachwissen, definierte Zuständigkeiten
und verfügbare Reaktionszeiten.
Managed SIEM Unterstützung bei Plattformbetrieb,
Überwachung und Bewertung von Meldungen.
Klare Leistungsdefinition, Eskalationswege
und abgestimmte Verantwortlichkeiten.
Hybrides Modell Kombination aus internem Systemwissen
und externer Security-Expertise.
Saubere Übergaben, gemeinsame Prozesse
und klar geregelte Entscheidungsbefugnisse.

Für viele mittelständische Unternehmen und Kommunen ist ein hybrider
oder betreuter Ansatz sinnvoll, weil dadurch interne Kenntnisse erhalten
bleiben und gleichzeitig externe Security-Ressourcen genutzt werden können.

Wie läuft die Einführung eines SIEM ab?

  1. Ziele definieren:
    Zunächst wird festgelegt, welche Risiken und Angriffsszenarien
    erkannt werden sollen.
  2. Datenquellen priorisieren:
    Kritische Systeme wie Identity, Firewall, Endpoint Security
    und zentrale Server werden zuerst betrachtet.
  3. Technische Anbindung:
    Logs werden sicher übertragen, verarbeitet und auf Vollständigkeit geprüft.
  4. Erkennungsregeln einrichten:
    Regeln und Anwendungsfälle werden an die tatsächliche Umgebung angepasst.
  5. Alarmierung definieren:
    Für unterschiedliche Schweregrade werden Empfänger,
    Eskalationswege und Reaktionszeiten festgelegt.
  6. Pilotbetrieb durchführen:
    Datenqualität, Fehlalarme und organisatorische Abläufe
    werden unter realen Bedingungen überprüft.
  7. Schrittweise erweitern:
    Weitere Systeme und Erkennungsfälle werden erst nach
    Stabilisierung des Grundbetriebs integriert.
  8. Kontinuierlich optimieren:
    Regeln, Dashboards und Prozesse werden regelmäßig
    an neue Systeme und Bedrohungen angepasst.

Welche Erkennungsfälle sollten zuerst umgesetzt werden?

Statt möglichst viele Regeln gleichzeitig zu aktivieren,
sollte mit wenigen relevanten Anwendungsfällen begonnen werden.

  • Mehrfache fehlgeschlagene Anmeldungen und Brute-Force-Versuche
  • Anmeldungen aus ungewöhnlichen Ländern oder Netzwerken
  • Neu angelegte oder veränderte Administratorkonten
  • Unerwartete Änderungen an privilegierten Gruppen
  • Deaktivierung von Sicherheits- oder Protokollierungsfunktionen
  • Verdächtige Aktivitäten auf Endgeräten und Servern
  • Verbindungen zu bekannten schädlichen IP-Adressen oder Domains
  • Auffällige Datenübertragungen und ungewöhnliche Zugriffszeiten
  • Manipulation kritischer Systeme oder Konfigurationen

Die Auswahl sollte sich an den wichtigsten Geschäftsprozessen,
kritischen Systemen und realistischen Angriffsszenarien orientieren.

Welche Rolle spielt Cyber Threat Intelligence im SIEM?

Ein SIEM erkennt zunächst, was innerhalb der eigenen IT-Umgebung geschieht.
Cyber Threat Intelligence
ergänzt diese interne Sicht um Informationen zu externen Bedrohungen.

Dazu gehören beispielsweise bekannte schädliche IP-Adressen,
Domains, Angriffsmethoden oder Hinweise auf kompromittierte Zugangsdaten.

Werden solche Informationen in die SIEM-Analyse eingebunden,
lassen sich interne Ereignisse besser einordnen.
Eine Verbindung zu einer bekannten Angreifer-Infrastruktur erhält
dadurch eine höhere Priorität als eine gewöhnliche externe Verbindung.

Wie ergänzen sich SIEM und Endpoint Security?

Endpoint Security liefert detaillierte Informationen zu Prozessen,
Dateien und Aktivitäten auf Arbeitsplätzen und Servern.
Das SIEM verbindet diese Informationen mit weiteren Datenquellen,
beispielsweise aus Firewalls, Identitätssystemen oder Cloud-Diensten.

Erkennt die Endpoint-Security-Lösung einen auffälligen Prozess,
kann das SIEM prüfen, ob der betreffende Benutzer gleichzeitig
ungewöhnliche Anmeldungen oder Netzwerkverbindungen verursacht hat.

So entsteht ein umfassenderes Bild als bei der isolierten Betrachtung
eines einzelnen Endgeräts.

Wie ergänzen sich SIEM und Penetrationstests?

Ein Penetrationstest
prüft, ob Schwachstellen tatsächlich ausgenutzt werden können
und wie weit ein Angreifer in eine Umgebung eindringen könnte.

Ein SIEM überwacht dagegen den laufenden Betrieb.
Es soll verdächtige Aktivitäten erkennen, wenn ein echter oder
simulierter Angriff stattfindet.

Pentests können daher auch genutzt werden, um zu prüfen,
ob bestehende SIEM-Regeln relevante Angriffsschritte tatsächlich erkennen.
Dadurch wird nicht nur die technische Schwachstelle getestet,
sondern auch die Wirksamkeit der Überwachung.

Typische Fehler bei der SIEM-Einführung

  • Es werden möglichst viele Daten gesammelt, ohne zuvor klare Sicherheitsziele zu definieren.
  • Standardregeln werden ungeprüft übernommen und nicht an die eigene Umgebung angepasst.
  • Die Qualität und Vollständigkeit der angebundenen Logs wird nicht kontrolliert.
  • Zu viele Fehlalarme führen dazu, dass wichtige Meldungen übersehen werden.
  • Es ist nicht festgelegt, wer außerhalb der regulären Arbeitszeiten reagiert.
  • Datenaufbewahrung und Kosten werden erst nach der Einführung betrachtet.
  • Das SIEM wird als einmaliges Projekt statt als kontinuierlicher Prozess verstanden.
  • Warnungen werden erzeugt, aber es fehlen konkrete Incident-Response-Abläufe.

Wie lassen sich zu viele SIEM-Alerts vermeiden?

Eine große Zahl an Warnungen bedeutet nicht automatisch eine gute Erkennung.
Werden täglich mehr Meldungen erzeugt, als das zuständige Team prüfen kann,
entsteht sogenannte Alert Fatigue.

Um dies zu vermeiden, sollten:

  • Regeln an die eigene IT-Umgebung angepasst werden,
  • bekannte legitime Aktivitäten sauber berücksichtigt werden,
  • Alarme nach Risiko und betroffenen Systemen priorisiert werden,
  • mehrere zusammengehörige Ereignisse zu einem Vorfall gebündelt werden,
  • nicht relevante Datenquellen oder Regeln überarbeitet werden,
  • Erkennungsregeln regelmäßig auf ihre Wirksamkeit geprüft werden.

Welche Rolle spielen NIS2 und ISO 27001?

Ein SIEM kann Organisationen dabei unterstützen,
sicherheitsrelevante Ereignisse zentral zu protokollieren,
mögliche Vorfälle zu erkennen und Reaktionen nachvollziehbar zu dokumentieren.

Damit kann es einen Beitrag zu einem strukturierten
Informationssicherheits- und Risikomanagement leisten.

Ein SIEM-System allein führt jedoch nicht automatisch zur Erfüllung
aller Anforderungen aus NIS2, ISO 27001 oder anderen Vorgaben.
Erforderlich sind zusätzlich definierte Verantwortlichkeiten,
dokumentierte Prozesse, Risikobewertungen und ein funktionierendes
Incident Management.

SIEM mit Elastic bei n-komm

n-komm unterstützt Unternehmen, Mittelstand und Kommunen bei der Planung,
Einführung und dem Betrieb von SIEM-Lösungen.

Im Mittelpunkt steht dabei nicht die möglichst schnelle Sammlung
großer Datenmengen. Zunächst werden relevante Systeme,
konkrete Erkennungsziele und die vorhandenen Reaktionsmöglichkeiten betrachtet.

Im SIEM-Umfeld setzt n-komm unter anderem auf Elastic.
Die Plattform kann Sicherheitsdaten aus unterschiedlichen Quellen
zentral zusammenführen, durchsuchen und analysieren.

Abhängig von der jeweiligen Ausgangslage unterstützt n-komm unter anderem bei:

  • Bewertung des tatsächlichen SIEM-Bedarfs
  • Auswahl und Priorisierung relevanter Datenquellen
  • Technischer Integration in die bestehende IT-Landschaft
  • Entwicklung geeigneter Erkennungs- und Alarmierungsregeln
  • Aufbau von Dashboards und Auswertungen
  • Optimierung von Warnungen und Reduzierung von Fehlalarmen
  • Definition von Eskalations- und Incident-Response-Prozessen
  • Verknüpfung mit Endpoint Security, CTI und weiteren Sicherheitsmaßnahmen

Häufige Fragen zu SIEM

Was ist ein SIEM einfach erklärt?

Ein SIEM sammelt sicherheitsrelevante Daten aus unterschiedlichen
IT-Systemen und wertet sie zentral aus. Dadurch können zusammenhängende
verdächtige Aktivitäten schneller erkannt und untersucht werden.

Wofür steht SIEM?

SIEM steht für Security Information and Event Management.
Der Begriff beschreibt die zentrale Sammlung, Analyse und Verwaltung
von Sicherheitsinformationen und technischen Ereignissen.

Was ist der Unterschied zwischen SIEM und SOC?

Ein SIEM ist eine technische Plattform zur Sammlung und Analyse
von Sicherheitsdaten. Ein SOC ist die organisatorische Einheit aus
Menschen, Prozessen und Technologien, die Sicherheitsvorfälle überwacht und bearbeitet.

Ist ein SIEM auch für den Mittelstand sinnvoll?

Ja. Ein SIEM kann für mittelständische Unternehmen sinnvoll sein,
wenn mehrere Systeme, Standorte oder Sicherheitslösungen zentral
überwacht werden müssen. Umfang und Betriebsmodell sollten jedoch
zu den vorhandenen Ressourcen passen.

Welche Daten sammelt ein SIEM?

Ein SIEM kann unter anderem Daten aus Firewalls, Endpoints,
Servern, Active Directory, VPN-Systemen, Cloud-Diensten
und Anwendungen sammeln. Welche Quellen sinnvoll sind,
hängt von den definierten Sicherheitszielen ab.

Ersetzt ein SIEM Firewall und Endpoint Security?

Nein. Ein SIEM ersetzt bestehende Schutzlösungen nicht.
Es führt deren Informationen zusammen und hilft dabei,
übergreifende Zusammenhänge und mögliche Angriffsketten zu erkennen.

Kann ein SIEM Cyberangriffe verhindern?

Ein SIEM dient in erster Linie der Erkennung, Analyse und Priorisierung
von Sicherheitsereignissen. In Verbindung mit definierten Reaktionsprozessen
oder Automatisierungsfunktionen können jedoch auch Gegenmaßnahmen ausgelöst werden.

Was ist ein Managed SIEM?

Bei einem Managed SIEM unterstützt ein externer Dienstleister
beim Betrieb der Plattform, bei der Überwachung von Warnungen
oder bei der Bewertung möglicher Sicherheitsvorfälle.

Wie lange dauert die Einführung eines SIEM?

Die Dauer hängt von der Anzahl der Datenquellen,
der Komplexität der Infrastruktur und den gewünschten
Erkennungsfällen ab. Eine schrittweise Einführung beginnt
üblicherweise mit einer begrenzten Anzahl kritischer Systeme.

Wie hoch sind die Kosten für ein SIEM?

Die Kosten hängen unter anderem von der Datenmenge,
der Aufbewahrungsdauer, dem Funktionsumfang,
der Anzahl der Datenquellen und dem gewählten Betriebsmodell ab.
Deshalb sollte die Planung auf konkreten Sicherheitszielen
statt auf einer möglichst umfassenden Datensammlung basieren.

Unterstützt ein SIEM bei NIS2 und ISO 27001?

Ein SIEM kann die zentrale Protokollierung,
Erkennung von Sicherheitsvorfällen und Dokumentation von Reaktionen unterstützen.
Es ist jedoch nur ein Bestandteil eines vollständigen
Informationssicherheits- und Compliance-Konzepts.

SIEM-Bedarf für Ihre IT-Umgebung bewerten

Sie möchten Sicherheitsereignisse zentral überwachen,
Warnungen aus unterschiedlichen Systemen zusammenführen
oder Ihre bestehenden Erkennungsprozesse verbessern?

n-komm unterstützt Sie dabei, relevante Datenquellen,
konkrete Erkennungsziele und ein passendes Betriebsmodell
für Ihre Organisation zu definieren.

SIEM unverbindlich anfragen

Source link

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button
Close

Adblock Detected

kindly turn off ad blocker to browse freely