Hvad er SIEM?
SIEM (Security Information and Event Management) er et system, der samler logdata fra hele IT-miljøet ét sted og analyserer dem for tegn på angreb. Hvert enkelt system i jeres virksomhed logger allerede i dag: serveren registrerer logins, firewallen registrerer trafik, og cloud-tjenesterne registrerer, hvem der tilgår hvad. Problemet er, at ingen kan overskue tusindvis af spredte logfiler manuelt. Et SIEM løser det ved at indsamle, normalisere og sammenholde alle hændelserne, så mønstre træder frem, som det enkelte system aldrig selv ville fange.
Hvordan virker et SIEM?
Et SIEM-system arbejder i tre trin:
- Logindsamling: agenter og integrationer sender logdata fra servere, klienter, netværksudstyr, SaaS-tjenester og identitetsplatforme som Microsoft Entra ID ind i én central platform.
- Korrelation: regler og maskinlæring sammenholder hændelser på tværs af kilder. Et mislykket login er støj; tyve mislykkede logins efterfulgt af et succesfuldt login fra et nyt land og en stor fildownload er et mønster.
- Alarmer: når et mønster matcher en regel, oprettes en alarm med kontekst, så en analytiker hurtigt kan vurdere, om der er tale om et reelt angreb.
Samme logdata er samtidig jeres dokumentation ved compliance-krav som NIS2, hvor I skal kunne påvise, hvad der skete under en hændelse.
SIEM vs. SOC vs. EDR
Begreberne hænger sammen, men dækker hver sit:
- SIEM er værktøjet, der samler og korrelerer logdata fra hele miljøet.
- SOC er teamet af mennesker, der overvåger alarmerne og reagerer på dem. Et SIEM uden nogen til at kigge på det giver begrænset værdi.
- EDR er den specialiserede beskyttelse på selve enhederne, altså computere og servere. EDR er typisk en af de vigtigste logkilder ind i et SIEM.
En moden sikkerhedsopsætning kombinerer alle tre: EDR fanger detaljen på enheden, SIEM samler det store billede, og SOC'et handler på det.
Microsoft Sentinel som cloud-SIEM
Traditionelle SIEM-systemer krævede egne servere og tung vedligeholdelse. Cloud-baserede løsninger har ændret det. Microsoft Sentinel kører i Azure, skalerer efter datamængden og har færdige integrationer til Microsoft 365, Microsoft Defender og hundredvis af tredjepartskilder. Microsofts egen dokumentation beskriver arkitekturen i detaljer. For virksomheder, der allerede er i Microsoft-økosystemet, er Sentinel ofte den korteste vej til en fungerende SIEM-løsning, men princippet er det samme uanset leverandør: Splunk, Elastic og andre platforme løser samme opgave. Læs mere om produktet på vores Microsoft Sentinel-side.
Sådan hjælper MI Support IT
Vi hjælper jer med at vurdere, om et SIEM giver mening for jeres størrelse og risikoprofil, vælge den rette platform, tilslutte de logkilder, der faktisk betyder noget, og sætte alarmer op, som nogen reagerer på. Det hele som en del af et samlet IT-sikkerhedsarbejde. Kontakt os for en uforpligtende snak om overvågning af jeres miljø.