ISPIN Modell «SIEM»
SIEM (Security Information und Event Management) hat die Aufgabe, aus verteilten Status- und Log-Informationen von Systemen zwei wesentliche Prozesse sicherzustellen:
- Realtime Reporting: Erkennen von möglichen Incidents durch das Sammeln, Analysieren und Korrelieren aktueller Log- und System-Information.
Diese Informationen werden genutzt, um die aktuelle Situation der überwachten Umgebung zu kennen und wo nötig Massnahmen einzuleiten. Um die Einleitung einer Massnahme zu provozieren, können verschiedene Arten von Alarmierungen definiert werden.
Stakeholder für Realtime-Reports ist vor allem der IT-Betrieb. - Historical Reporting: Analyse und statistische Aufbereitung der gesammelten Informationen.
Zustandsinformationen, welche über eine längere Zeit hinweg gesammelt wurden, können zur Compliance-Messung der überwachten Umgebung sowie für das Threat- und Capacity-Management genutzt werden.
Stakeholders für historische und statistische Reports sind vor allem die Abteilungen IT-Risk/-Security, IT-Betrieb und IT-Engineering.
Das Modell einer SIEM-Lösung ist als «Middleware» zwischen der IT-Infrastruktur und den organisatorischen IT-Prozessen (ITIL) angesiedelt.