Ein SIEM verheiratet die Funktionen von Security-Information-Management- (SIM) und Security-Event-Management-(SEM)-Systemen. Wie ein SIM sammelt es Daten, wertet diese mit Bezug zur Unternehmens-Compliance aus, also der Umsetzung von Prozessdefinitionen und geltenden Richtlinien, und erlaubt das Erstellen von Berichten über die Einhaltung ebendieser Maßgaben.
Wie ein SEM sammelt es Logdaten von Anwendungen und Betriebssystemen und kann so (fast) in Echtzeit einen Überblick über den Zustand der Unternehmens-IT liefern und auch rechnerübergreifende Events korrelieren und auswerten. Ein SIEM kann also alle Aspekte der praktischen IT-Sicherheit beobachten und erlaubt die Konfiguration von Alarmbedingungen.
Splunk [1] bietet grundsätzlich zwei Modi für die Eingabe von Logdaten. Zum einen lässt sich ein Clientsystem so konfigurieren, dass es selbst die anfallenden Daten zum Splunk-System weiterleitet. Dafür installieren Sie einen Universal-Forwarder und konfigurieren diesen so, dass Logdaten ausgelesen und an die Splunk-Instanz gesendet werden. So können Sie einfach über die Remote-Installation in Ihrem Unternehmen die Rechner an Splunk
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.