Spring til hovedindhold

IT-sikkerhed

Hvad er SIEM?

SIEM samler logdata fra hele jeres IT-miljø og slår alarm ved mistænkelig aktivitet. Forstå hvordan et SIEM virker, og hvornår det giver mening.

Kort sagt

SIEM står for Security Information and Event Management og er et system, der indsamler logdata fra hele jeres IT-miljø, korrelerer hændelserne og udløser alarmer, når noget ser mistænkeligt ud.

Hvor en firewall eller et antivirusprogram kigger på ét område ad gangen, samler et SIEM billedet på tværs af servere, netværk, cloud-tjenester og brugerkonti, så angreb kan opdages, mens de er i gang. Systemet er relevant for virksomheder, der vil opdage sikkerhedshændelser hurtigt, og for organisationer med compliance-krav som NIS2, hvor logning og hændelseshåndtering skal dokumenteres.

De vigtigste pointer er, at et SIEM kun er et værktøj, at værdien afhænger af, hvilke logkilder I tilslutter, og at nogen skal reagere på alarmerne, typisk et SOC. Moderne cloud-baserede løsninger som Microsoft Sentinel har gjort teknologien tilgængelig for mindre organisationer. MI Support IT hjælper danske virksomheder med at vælge, implementere og drive en SIEM-løsning, der matcher deres størrelse og risikoprofil.

Tilbage til ordbogen

Hvad er SIEM?

SIEM (Security Information and Event Management) er et system, der samler logdata fra hele IT-miljøet ét sted og analyserer dem for tegn på angreb. Hvert enkelt system i jeres virksomhed logger allerede i dag: serveren registrerer logins, firewallen registrerer trafik, og cloud-tjenesterne registrerer, hvem der tilgår hvad. Problemet er, at ingen kan overskue tusindvis af spredte logfiler manuelt. Et SIEM løser det ved at indsamle, normalisere og sammenholde alle hændelserne, så mønstre træder frem, som det enkelte system aldrig selv ville fange.

Hvordan virker et SIEM?

Et SIEM-system arbejder i tre trin:

  1. Logindsamling: agenter og integrationer sender logdata fra servere, klienter, netværksudstyr, SaaS-tjenester og identitetsplatforme som Microsoft Entra ID ind i én central platform.
  2. Korrelation: regler og maskinlæring sammenholder hændelser på tværs af kilder. Et mislykket login er støj; tyve mislykkede logins efterfulgt af et succesfuldt login fra et nyt land og en stor fildownload er et mønster.
  3. Alarmer: når et mønster matcher en regel, oprettes en alarm med kontekst, så en analytiker hurtigt kan vurdere, om der er tale om et reelt angreb.

Samme logdata er samtidig jeres dokumentation ved compliance-krav som NIS2, hvor I skal kunne påvise, hvad der skete under en hændelse.

SIEM vs. SOC vs. EDR

Begreberne hænger sammen, men dækker hver sit:

  • SIEM er værktøjet, der samler og korrelerer logdata fra hele miljøet.
  • SOC er teamet af mennesker, der overvåger alarmerne og reagerer på dem. Et SIEM uden nogen til at kigge på det giver begrænset værdi.
  • EDR er den specialiserede beskyttelse på selve enhederne, altså computere og servere. EDR er typisk en af de vigtigste logkilder ind i et SIEM.

En moden sikkerhedsopsætning kombinerer alle tre: EDR fanger detaljen på enheden, SIEM samler det store billede, og SOC'et handler på det.

Microsoft Sentinel som cloud-SIEM

Traditionelle SIEM-systemer krævede egne servere og tung vedligeholdelse. Cloud-baserede løsninger har ændret det. Microsoft Sentinel kører i Azure, skalerer efter datamængden og har færdige integrationer til Microsoft 365, Microsoft Defender og hundredvis af tredjepartskilder. Microsofts egen dokumentation beskriver arkitekturen i detaljer. For virksomheder, der allerede er i Microsoft-økosystemet, er Sentinel ofte den korteste vej til en fungerende SIEM-løsning, men princippet er det samme uanset leverandør: Splunk, Elastic og andre platforme løser samme opgave. Læs mere om produktet på vores Microsoft Sentinel-side.

Sådan hjælper MI Support IT

Vi hjælper jer med at vurdere, om et SIEM giver mening for jeres størrelse og risikoprofil, vælge den rette platform, tilslutte de logkilder, der faktisk betyder noget, og sætte alarmer op, som nogen reagerer på. Det hele som en del af et samlet IT-sikkerhedsarbejde. Kontakt os for en uforpligtende snak om overvågning af jeres miljø.

Skal vi tage en snak om din virksomhed og jeres behov?

Rigtige mennesker taler til rigtige mennesker. Vi vender tilbage samme dag.