Security Event Management (SEM)
Der SEM-Markt ist noch jung und die genaue Bezeichnung schwierig. Man spricht von Security Event Management (SEM) und seit Gartner den Markt analysiert auch von SIEM, wobei das I für Information steht. Mit Information sind Themen wie Reporting (Compliance) gemeint, wohingegen der Event für operative Themen wie das laufende Erkennen von Vorfällen steht. Da viele Lösungen beide Themen zu vereinen versuchen spricht Gartner vom SIEM-Markt.
Die sich ständig verändernde Bedrohungslage in der IT-Sicherheit, führt zu einem stetigen Strom von neuen Abwehrsystemen, was die Komplexität der Sicherheitsinfrastruktur laufend erhöht. SEM wirkt der steigenden Komplexität entgegen und hilft den Überblick zu behalten.
Eine SEM-Lösung analysiert ständig das Verhalten der IT-Infrastruktur und verfügt dazu über die folgenden Grundfunktionen:
- Monitoring von allen relevanten Objekten
- Normalisierung und zentralisierte Eventdaten Speicherung
- Zentrale Archivierung der Daten
- Manuelle Analyse und Berichterstellung
- Datenkorrelation und automatisierte Event-Generierung
- Reports für Compliance, Audits und Management
Dabei ist die Performance der Lösung entscheidend, da man sofort auf einen Vorfall reagieren muss und nicht erst im Nachhinein etwas dagegen unternehmen will.
Zusätzlich zu den real-time Auswertungen, nehmen die Reporting Fähigkeiten für Audits und die Erfüllung von regulatorischen Vorgaben, wie SOX oder Basel-II, ständig an Wichtigkeit zu. Auch das Management will wissen, welche Bedrohungen tatsächlich existieren und wie sie sich entwickeln. Richtig eingesetzt, erlaubt die SEM-Lösung nicht nur das ertappen von Einbrechern auf frischer Tat, sondern spart auch enormen Aufwand bei der Erfüllung der vielseitigen Reporting Anforderungen.
