SIEM Log-Management: Der vollständige Leitfaden

Ereignisprotokolle bilden die Grundlage moderner Sicherheitsüberwachung, Untersuchungs- und Forensik sowie SIEM-Systeme. In diesem Kapitel erfahren Sie ausführlich, wie Protokolle aggregiert, verarbeitet und gespeichert werden und wie sie im Security Operations Center (SOC) verwendet werden.

SIEM vs. Protokollverwaltung: Was ist der Unterschied?

SIEM und Protokollverwaltung ähneln sich in folgenden Punkten:

• Beide Tools erfassen, speichern und rufen Protokolldaten in Echtzeit über Betriebssysteme, Sicherheitsgeräte, Netzwerkinfrastruktur, Systeme und Anwendungen hinweg ab.
• Beide Tools können für die Betriebsberichterstattung und Compliance-Audits verwendet werden.
• Beide Tools ermöglichen es IT- und Sicherheitsteams, Protokolle zu verwalten und zu aggregieren, Kriterien für Warnmeldungen zu definieren und auf vollständige Protokolldaten zuzugreifen, um Vorfälle weiter zu untersuchen.

SIEM und Protokollverwaltung weisen die folgenden wesentlichen Unterschiede auf:

• SIEM kombiniert Ereignisprotokolle mit Kontextinformationen zu Benutzern, Assets, Bedrohungen und Schwachstellen und kann so bei der Korrelation verwandter Ereignisse helfen. Die Protokollverwaltung bietet in der Regel keine kontextbezogene Protokollanalyse. Es obliegt dem Sicherheitsanalysten, die Daten zu interpretieren und festzustellen, ob es sich um reale Bedrohungen handelt.
• SIEM bietet Echtzeit- und historische Bedrohungsanalysen auf Basis von Protokolldaten. Es sendet außerdem Warnmeldungen, wenn potenzielle Sicherheitsbedrohungen erkannt werden, priorisiert Bedrohungen nach Schweregrad und unterstützt Sicherheitsexperten bei der systematischen Problembehebung. Protokollverwaltungstools verfügen in der Regel nicht über diese Funktionen und sind daher für die Bedrohungserkennung und Vorfallsreaktion weniger geeignet.
• SIEM aggregiert und normalisiert Protokolle in einem einheitlichen Format, um die Konsistenz aller Protokolldaten sicherzustellen. Bei der Protokollverwaltung werden Protokolldaten aus verschiedenen Quellen in der Regel nicht transformiert, was zu Inkonsistenzen und Abweichungen in den erfassten Daten führt.

Was ist Protokollüberwachung?

Protokolldateien enthalten zahlreiche Informationen, die bei der Erkennung von Problemen und Mustern in Produktionssystemen helfen können. Bei der Protokollüberwachung werden Protokolldateien gescannt, nach Mustern, Regeln oder abgeleitetem Verhalten gesucht, die auf wichtige Ereignisse hinweisen. Anschließend wird eine Warnung an das Betriebs- oder Sicherheitspersonal gesendet.

Mithilfe der Protokollüberwachung können Probleme erkannt werden, bevor sie von Benutzern wahrgenommen werden. Sie kann verdächtiges Verhalten aufdecken, das auf einen Angriff auf Unternehmenssysteme hindeuten könnte. Sie kann auch dazu beitragen, das Basisverhalten von Geräten, Systemen oder Benutzern aufzuzeichnen, um Anomalien zu identifizieren, die einer Untersuchung bedürfen.

Wie funktioniert SIEM-Logging? Grundlagen der Sicherheitsereignisprotokolle

Die Protokollaggregation und -überwachung ist eine zentrale Aufgabe von Sicherheitsteams. Das Sammeln und Analysieren von Protokollinformationen kritischer Systeme und Sicherheitstools ist die gängigste Methode, um anomale oder verdächtige Ereignisse zu identifizieren, die einen Sicherheitsvorfall darstellen könnten.

Die beiden Grundkonzepte der Sicherheitsprotokollverwaltung sind Ereignisse und Vorfälle. Ein Ereignis ist ein Ereignis, das in einem Netzwerk auf einem Endgerät auftritt. Ein oder mehrere Ereignisse können als Vorfall identifiziert werden – ein Angriff, ein Verstoß gegen Sicherheitsrichtlinien, ein unbefugter Zugriff oder eine Änderung von Daten oder Systemen ohne Zustimmung des Eigentümers.

Häufige sicherheitsrelevante Protokollereignisse

• Meldung einer Antivirensoftware, dass ein Gerät mit Malware infiziert ist
• Meldung der Firewall über Datenverkehr zu/von einer verbotenen Netzwerkadresse
• Versuch, von einem unbekannten Host oder einer unbekannten IP-Adresse auf ein kritisches System zuzugreifen
• Wiederholte fehlgeschlagene Versuche, auf ein kritisches System zuzugreifen
• Änderung der Benutzerrechte
• Verwendung unsicherer oder verbotener Protokolle/Ports

Häufige Sicherheitsvorfälle

• Von Benutzern der Organisation empfangene und aktivierte bösartige E-Mails
• Von Benutzern der Organisation aufgerufene bösartige Websites (z. B. Drive-by-Download)
• Unsachgemäße oder verbotene Nutzung durch einen autorisierten Benutzer
• Unbefugter Zugriff
• Ein Versuch, Organisationssysteme zu kompromittieren, den Zugriff darauf zu verweigern oder sie zu löschen
• Verlust oder Diebstahl von Geräten wie Laptops, Servern usw. der Mitarbeiter
• Datenleck oder Malware-Infektion über Wechseldatenträger

SIEM-Protokollanalyse

In der Sicherheitswelt ist eine SIEM-Lösung (Security Information and Event Management) das primäre System, das Protokolle aggregiert, überwacht und Warnungen zu möglichen Sicherheitssystemen generiert.

SIEM-Plattformen aggregieren historische Protokolldaten und Echtzeitwarnungen von Sicherheitslösungen und IT-Systemen wie E-Mail-Servern, Webservern und Authentifizierungssystemen.

Sie analysieren die Daten und stellen Beziehungen her, die dabei helfen, Anomalien, Schwachstellen und Vorfälle zu identifizieren. Der Hauptfokus von SIEM liegt auf sicherheitsrelevanten Ereignissen wie verdächtigen Anmeldungen, Malware oder der Eskalation von Berechtigungen.

Ziel eines SIEM-Systems ist es, sicherheitsrelevante Ereignisse zu identifizieren, die von einem menschlichen Analysten überprüft werden sollten. Darüber hinaus versendet es Benachrichtigungen. Moderne SIEM-Systeme bieten zudem umfangreiche Dashboards und Datenvisualisierungstools, mit denen Analysten aktiv nach Datenpunkten suchen können, die auf einen Sicherheitsvorfall hinweisen könnten – die sogenannte Bedrohungssuche.

Traditionelle SIEM-Protokollanalyse

Traditionell verwendete das SIEM zwei Techniken, um Warnungen aus Protokolldaten zu generieren: Korrelationsregeln, die eine Abfolge von Ereignissen angeben, die auf eine Anomalie hinweisen, die eine Sicherheitsbedrohung, eine Schwachstelle oder einen aktiven Sicherheitsvorfall darstellen könnte; und Schwachstellen- und Risikobewertung, bei der Netzwerke nach bekannten Angriffsmustern und Schwachstellen durchsucht werden.

Der Nachteil dieser älteren Techniken besteht darin, dass sie viele Fehlalarme erzeugen und neue und unerwartete Ereignistypen nicht erfolgreich erkennen können.

SIEM-Protokollanalyse der nächsten Generation

Fortschrittliche SIEMs nutzen die Technologie „User and Entity Behavior Analytics“ (UEBA). UEBA nutzt maschinelles Lernen, um menschliche Verhaltensmuster zu erkennen, automatisch Basiswerte festzulegen und verdächtiges oder anomales Verhalten intelligent zu identifizieren.

Dies kann dabei helfen, Risiken zu erkennen, die unbekannt sind oder sich mit Korrelationsregeln nur schwer definieren lassen, wie etwa Insider-Bedrohungen, gezielte Angriffe, Betrug und Anomalien über lange Zeiträume oder über mehrere Organisationssysteme hinweg.

Verwenden von Endpunktprotokollen für die Sicherheit

Traditionell konzentrierten sich Überwachungs- und Sicherheitsmaßnahmen auf den Netzwerkverkehr, um Bedrohungen zu identifizieren. Heute konzentrieren sich Endpunkte wie Desktop-Computer, Server und Mobilgeräte zunehmend auf diese. Endpunkte sind häufig das Ziel von Angreifern, die herkömmliche Sicherheitsmaßnahmen umgehen können. So kann beispielsweise ein im Zug vergessener Laptop gestohlen und zum Eindringen in Unternehmenssysteme verwendet werden. Ohne sorgfältige Überwachung der Laptop-Aktivitäten können solche und ähnliche Angriffe unentdeckt bleiben.

Windows-Ereignisprotokolle

Das Windows-Betriebssystem bietet ein Ereignisprotokoll, mit dem Anwendungen und das Betriebssystem selbst wichtige Hardware- und Softwareereignisse protokollieren können. Die Ereignisse können von einem Administrator direkt in der Windows-Ereignisanzeige angezeigt werden.

Welche Ereignisse werden protokolliert?
Zu den in Windows-Ereignisprotokollen protokollierten Ereignissen gehören Anwendungsinstallationen, Sicherheitsverwaltung (siehe Windows-Sicherheitsprotokolle unten), anfängliche Startvorgänge sowie Probleme oder Fehler. Alle diese Ereignistypen können sicherheitsrelevant sein und sollten mit Protokollaggregations- und Überwachungstools überwacht werden.

Beispiel für das Windows-Ereignisprotokoll
Warnung – 11.05.2018 10:29:47 Uhr Kernel-Event Tracing – 1 Logging

Windows-Sicherheitsprotokolle

Das Windows-Sicherheitsprotokoll ist Teil des Windows-Ereignisprotokolls. Es enthält sicherheitsrelevante Ereignisse, die von Administratoren mithilfe der Überwachungsrichtlinie des Systems festgelegt wurden. Microsoft bezeichnet das Sicherheitsprotokoll als „Ihre beste und letzte Verteidigung“ bei der Untersuchung von Sicherheitsverletzungen auf Windows-Systemen.

Welche Ereignisse werden protokolliert?
Die folgenden Typen von Windows-Protokollereignissen können als Sicherheitsereignisse definiert werden: Kontoanmeldung, Kontoverwaltung, Verzeichnisdienstzugriff, Anmeldung, Objektzugriff (z. B. Dateizugriff), Richtlinienänderung, Verwendung von Berechtigungen, Verfolgung von Systemprozessen, Systemereignisse.

iOS-Protokolle und iOS-Absturzberichte

Im Gegensatz zu Windows und Linux protokolliert das iOS-Betriebssystem standardmäßig keine System- und Anwendungsereignisse, mit Ausnahme von Anwendungsabsturzberichten. Ab iOS 10.0 bietet eine Protokollierungs-API, mit der bestimmte Anwendungen Anwendungsereignisse protokollieren und zentral auf der Festplatte speichern können. Protokollmeldungen können mit der Konsolen-App des Protokoll-Befehlszeilentools angezeigt werden.

Da iOS keinen bequemen Fernzugriff auf Protokolle bietet, sind mehrere Lösungen von Drittanbietern auf den Markt gekommen, die eine Fernerfassung und -aggregation von iOS-Protokollen ermöglichen.

Linux-Ereignisprotokolle

Linux-Protokolle zeichnen eine Zeitleiste der Ereignisse auf, die im Linux-Betriebssystem und in Linux-Anwendungen auftreten. Zentrale Systemprotokolle werden im Verzeichnis /var/log gespeichert, Protokolle für bestimmte Anwendungen können im Anwendungsordner gespeichert werden, z. B. „~/.chrome/Crash Reports“ für Google Chrome.

Welche Ereignisse werden protokolliert?
Es gibt Linux-Protokolldateien für Systemereignisse, Kernel, Paketmanager, Bootprozesse, Xorg, Apache, MySQL und andere gängige Dienste. Wie unter Windows können alle diese Ereignisse möglicherweise sicherheitsrelevant sein.

Welche Linux-Protokolle müssen am dringendsten überwacht werden?

• /var/log/syslog oder /var/log/messages – speichert alle Aktivitätsdaten im gesamten Linux-System.
• /var/log/auth.log oder /var/log/secure – speichert Authentifizierungsprotokolle
• /var/log/boot.log – beim Start protokollierte Nachrichten
• /var/log/maillog oder var/log/mail.log – Ereignisse im Zusammenhang mit E-Mail-Servern
• /var/log/kern – Kernel-Protokolle
• /var/log/dmesg – Gerätetreiberprotokolle
• /var/log/faillog – fehlgeschlagene Anmeldeversuche
• /var/log/cron – Ereignisse im Zusammenhang mit Cron-Jobs oder dem Cron-Daemon
• /var/log/yum.log – Ereignisse im Zusammenhang mit der Installation von Yum-Paketen
• /var/log/httpd/ – HTTP-Fehler und Zugriffsprotokolle mit allen HTTP-Anfragen
• /var/log/mysqld.log oder /var/log/mysql.log – MySQL-Protokolldateien

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach sind hier einige Tipps, die Ihnen dabei helfen, Protokolle effektiv zu verwalten und SIEM-Funktionen der nächsten Generation zu nutzen, um die Sicherheitsabläufe zu verbessern:

Nutzen Sie UEBA zur Erkennung von Insider-Bedrohungen
Verwenden Sie User and Entity Behavior Analytics (UEBA), um Verhaltensgrundlinien für Benutzer und Geräte zu erstellen. Achten Sie auf subtile Abweichungen in der Aktivität, wie z. B. ungewöhnliche Dateizugriffszeiten oder erweiterte Berechtigungen.

Klassifizieren Sie Protokolle nach betrieblicher Wichtigkeit
Kategorisieren Sie Protokolle basierend auf ihrer Bedeutung für Sicherheit und Compliance in Ebenen. Priorisieren Sie Protokolle mit hohem Wert (z. B. Protokolle für privilegierten Zugriff, Firewall-Verweigerungen) für die sofortige Analyse und Speicherung in Hot Tiers.

Korrelieren Sie Endpunktprotokolle mit der Netzwerkaktivität
Verknüpfen Sie Protokolle von Endpunkten (z. B. Windows-Ereignisprotokolle, EDR-Systeme) mit Netzwerkprotokollen, um einen umfassenden Überblick über potenzielle Bedrohungen wie laterale Bewegungen oder Datenexfiltration zu erhalten.

Nutzen Sie angereicherte Protokollmetadaten
Ergänzen Sie Rohprotokolle mit Metadaten wie Geolokalisierung, Gerätetyp oder Bedrohungskontext. Dies ermöglicht eine schnellere und fundiertere Bedrohungsanalyse.

Bereitstellen erweiterter Protokollfilter
Implementieren Sie dynamische Filterregeln, um das Protokollrauschen zu reduzieren, ohne relevante Ereignisse zu verlieren. Filtern Sie beispielsweise wiederholte Authentifizierungsversuche für Systeme mit geringem Risiko, während Sie gleichzeitig die Transparenz kritischer Systeme beibehalten.

Verwalten von Endpoint Detection and Response (EDR)-Protokollen

Die Endpoint Detection and Response (EDR)-Technologie hilft bei der Erkennung, Untersuchung und Eindämmung von Sicherheitsvorfällen an Unternehmensendpunkten. EDR ergänzt herkömmliche Endpunkttools wie Virenschutz, Data Loss Prevention (DLP) und SIEM. Die EDR-Technologie bietet Einblick in Ereignisse auf Endpunkten, darunter Anwendungszugriff und -aktivität, Betriebssystemvorgänge, Erstellung, Änderung, Kopieren und Verschieben von Daten, Speichernutzung und Benutzerzugriff auf vordefinierte sensible Daten.

EDR-Systeme stellen aggregierte Protokolle bereit, die es Sicherheitsteams ermöglichen, Ereignisse aus dem gesamten Endpunktportfolio des Unternehmens zu analysieren und zu untersuchen.

Symantec Endpoint Protection-Protokolle

Symantec Endpoint Protection ist eine Sicherheitssuite, die Intrusion Prevention, Firewall und Anti-Malware umfasst. Endpoint Protection-Protokolle enthalten Informationen zu Konfigurationsänderungen, sicherheitsrelevanten Aktivitäten wie Virenerkennungen, Fehlern auf bestimmten Endpunkten und ein- und ausgehendem Datenverkehr am Endpunkt.

Welche Ereignisse werden protokolliert?
Zu den Protokolltypen von Symantec Endpoint Protection gehören:

• Richtlinienänderungen
• Anwendungs- und Gerätekontrolle – Ereignisse auf Endgeräten, bei denen bestimmte Verhaltensweisen blockiert wurden
• Compliance-Protokolle
• Computerstatus – Betriebsstatus wie Computername, IP-Adresse, Infektionsstatus
• Deception Logs – Interaktion des Angreifers mit den von der Sicherheitslösung bereitgestellten „Honeypots“
• Abwehr von Netzwerk- und Host-Exploits
• Virenscan-Ereignisse
• Von Symantec erkannte Risikoereignisse
• Systemprotokoll – Informationen zu Betriebssystem und Diensten.

McAfee Endpoint Security

McAfee Endpoint Security bietet eine zentrale Verwaltung für Endgeräte, Schutz vor Malware, Anwendungseindämmung, Websicherheit, Bedrohungsforensik und maschinelle Lernanalyse zur Erkennung unbekannter Bedrohungen.

Mit der Lösung können Sie für jedes Endgerät eine von drei Protokollierungsstufen festlegen: Keine Protokollierung, Ereignisprotokollierung und Debug-Protokollierung. Die Protokolle werden auf den Endgeräten im McAfee-Ordner gespeichert.

Welche Ereignisse werden protokolliert?
McAfee Endpoint Security speichert auf jedem Endpunktgerät mehrere Protokolldateien:

• myAgent.log – aggregierte Protokolldatei mit historischen Protokollen
• myNotices.log – vom McAfee-Agenten generierte Hinweise und Warnungen
• myUninstall.log – Software-Deinstallationsereignisse
• myUpdate.log – Software-Update-Ereignisse
• myInstall.log – Softwareinstallationsereignisse

Verwalten von Firewall-Protokollen

Firewall-Protokolle sind für Sicherheitsanalysen äußerst wertvoll, da sie den Verlauf nahezu des gesamten ein- und ausgehenden Datenverkehrs Ihres Netzwerks enthalten. Schädliche Aktivitäten werden von der Firewall erfasst, auch wenn sie nicht durch bekannte Malware oder Angriffssignaturen erkannt werden. Die Analyse der Firewall-Protokolle auf ungewöhnliches Verhalten kann diese Aktivitäten wahrscheinlich erkennen.

Wenn beispielsweise ein Zero-Day-Virus Computer in Ihrem Netzwerk infiziert, obwohl er noch nicht von Antivirensoftware erkannt wird, können Firewall-Protokolle eine ungewöhnlich hohe Anzahl verweigerter oder zugelassener Verbindungen mit verdächtigen Remote-Hosts anzeigen. Eine routinemäßige Überprüfung der Firewall-Protokolle kann Trojaner oder Rootkits entdecken, die versuchen, über IRC über die Firewall hinweg eine Verbindung zu ihren Befehls- und Kontrollsystemen herzustellen.

Cisco Syslog und Protokollierungsebenen

Cisco-Router speichern Protokolle im Syslog-Format und ermöglichen die Anzeige der Protokolle über die Admin-Oberfläche. Nachrichten sind mit Nachrichtencodes gekennzeichnet – beispielsweise haben die meisten abgelehnten Verbindungen einen Nachrichtencode im Bereich 106001 bis 106023. Die meisten Firewalls verfügen über keinen lokalen Speicherplatz, daher müssen Protokolle so konfiguriert werden, dass sie an einen anderen Ort gesendet werden. Cisco ermöglicht die Speicherung von Protokollen auf einem Syslog-Server im Netzwerk, per SMTP, über den Konsolenport, Telnet oder auf verschiedene andere Arten.

Welche Protokolleinträge sind für die Analyse wichtig?

• Durch Firewall-Sicherheitsrichtlinien zugelassene Verbindungen – diese können helfen, „Lücken“ in den Sicherheitsrichtlinien zu erkennen
• Durch Firewall-Sicherheitsrichtlinien verweigerte Verbindungen – können verdächtiges oder angreifendes Verhalten aufweisen
• Die Verwendung der Deny-Rate-Protokollierungsfunktion kann DoS- oder Brute-Force-Angriffe aufdecken
• IDS-Aktivitätsmeldungen – zeigen Angriffe an, die von Cisco Intrusion Detection-Funktionen identifiziert wurden
• Benutzerauthentifizierung und Befehlsverwendung – ermöglicht Ihnen die Überprüfung und Überwachung von Änderungen der Firewall-Richtlinien
• Bandbreitennutzung – zeigt Verbindungen nach Dauer und Verkehrsaufkommen – Ausreißer könnten interessant zu untersuchen sein
• Meldungen zur Protokollverwendung – zeigen Protokolle und Portnummern an – können ungewöhnliche oder unsichere Protokolle anzeigen, die im Netzwerk verwendet werden
• NAT- oder PAT-Verbindungen – prüfen Sie, ob Sie einen Bericht über bösartige Aktivitäten in Ihrem Netzwerk erhalten

Check Point-Protokollierung

Check Point-Router können Protokolle im Syslog-Format speichern und über eine Administratoroberfläche anzeigen. Check Point-Router führen ein Sicherheitsprotokoll, in dem Ereignisse gespeichert werden, die als sicherheitsrelevant eingestuft werden.

Kategorien der im Sicherheitsprotokoll gespeicherten Ereignisse:

• Verbindung akzeptiert
• Verbindung entschlüsselt
• Verbindung unterbrochen
• Verbindung verschlüsselt
• Verbindung abgelehnt
• Verbindung überwacht – ein Sicherheitsereignis wurde überwacht, aber gemäß der aktuellen Firewall-Richtlinie nicht blockiert.
• URL erlaubt – URL, die für den Zugriff durch interne Benutzer zulässig ist
• URL gefiltert – Zugriff auf URL durch interne Benutzer nicht zulässig
• Virus erkannt – Virus in einer E-Mail erkannt
• Als potenzieller Spam gekennzeichnet – E-Mail als potenzieller Spam markiert
• Potentieller Spam erkannt – E-Mail als potenzieller Spam abgelehnt
• E-Mail erlaubt – Nicht-Spam-E-Mails wurden protokolliert
• VStream Antivirus hat eine Verbindung blockiert

Schweregrade im Check Point-Sicherheitsprotokoll:

• Rot – Verbindungsversuche werden durch die Firewall, durch vom Service Center heruntergeladene Sicherheitsrichtlinien oder benutzerdefinierte Regeln blockiert
• Orange – Datenverkehr wird als verdächtig erkannt, aber von der Firewall akzeptiert
• Grün – Datenverkehr wird von der Firewall akzeptiert

Protokollverwaltung und SIEMs der nächsten Generation

Die Protokollverwaltung war schon immer komplex und wird durch die zunehmende Verbreitung von Netzwerkgeräten, Endpunkten, Mikrodiensten und Cloud-Diensten sowie den exponentiell steigenden Datenverkehr und das Datenvolumen noch komplexer.

In einer Sicherheitsumgebung können SIEM-Lösungen (Security Information and Event Management) der nächsten Generation dabei helfen, sicherheitsrelevante Protokollereignisse zu verwalten und daraus Nutzen zu ziehen:

• SIEMs der nächsten Generation basieren auf Data-Lake-Technologie, die unbegrenzte Datenmengen historischer Protokolle speichern kann
• SIEMs der nächsten Generation verfügen über eine Technologie zur Analyse des Benutzer- und Entitätsverhaltens, die automatisch Basisaktivitäten für Geräte und Benutzer ermitteln und anomales oder verdächtiges Verhalten identifizieren kann.
• SIEMs der nächsten Generation bieten erweiterte Datenexplorationsfunktionen, die Sicherheitsanalysten bei der Bedrohungssuche unterstützen können, indem sie aktiv Protokolle durchsuchen.

Exabeam ist ein Beispiel für eine SIEM-Plattform der nächsten Generation, die diese Funktionen bietet. Sie kann Protokolle aus Unternehmenssystemen und Sicherheitstools zusammenführen und den gesamten Protokollverwaltungsprozess durchführen, einschließlich Protokollerfassung und -aggregation, Protokollverarbeitung, Protokollanalyse mithilfe erweiterter Analyse- und UEBA-Technologie sowie Warnmeldungen bei Sicherheitsvorfällen.

Lesen Sie den Gartner-Bericht

Gartner ^® Magic Quadrant™ für SIEM | 2024

Laden Sie den kostenlosen Bericht herunter, um mehr über die Erkenntnisse von Gartner zum SIEM-Markt zu erfahren.

Whitepaper lesen