Die Qualität eines SIEM hängt von den richtigen Log-Quellen ab. Zu wenige Quellen = blinde Flecken. Zu viele = Kostenlawine und Noise. Dieser Artikel erklärt welche Daten ein SIEM sammeln sollte und warum.
Welche Log-Quellen sind für ein SIEM unverzichtbar
Must-Have-Quellen (Tier 1): Windows Event Logs / Active Directory (Authentication, Privilege Escalation, Account Changes), Firewall-Logs (erlaubte/geblockte Verbindungen, Flows), VPN-Logs (Remote-Access, Fehlversuche), DNS-Logs (Domain-Anfragen, Indicator of Compromise), Endpoint/EDR-Logs (Prozesse, Dateizugriffe, Netzwerkverbindungen). Ohne diese Quellen: massive blinde Flecken.
Welche Log-Quellen kommen als zweite Priorität
Tier-2-Quellen: E-Mail-Gateway-Logs (Phishing-Erkennung, Anhang-Scans), Web-Proxy-Logs (URL-Kategorisierung, verdächtige Downloads), Cloud-Logs (Azure AD Sign-In, AWS CloudTrail), Vulnerability Scanner-Ergebnisse, Netflow-Daten (Netzwerkverkehrsanalyse), Webserver-Logs, Datenbank-Audit-Logs. Werden angebunden wenn Tier-1 stabil läuft.
Wie viele Log-Daten fallen typisch an
Log-Volumen: stark abhängig von Infrastruktur. Typisch: 1–5 GB/Tag für KMU (50–200 MA), 10–100 GB/Tag für mittlere Unternehmen, 100 GB–mehrere TB/Tag für Konzerne. Log-Volumen bestimmt SIEM-Lizenzkosten bei vielen Anbietern. Optimierung: Logs filtern vor Ingestion (nicht alles, was ein System loggen kann, muss ins SIEM).
Was ist Log-Normalisierung und warum ist sie wichtig
Log-Normalisierung: unterschiedliche Log-Formate (Windows EventLog, Syslog, CEF, JSON, LEEF) werden in ein einheitliches Schema konvertiert. Ohne Normalisierung: Korrelationsregeln können keine quelle-übergreifenden Muster erkennen. Normalisierung ermöglicht: 'Selbe IP in Firewall-Log geblockt + kurz danach erfolgreicher VPN-Login' = Alert. Aufwendiger Teil der SIEM-Implementierung.
Wie lange sollen Log-Daten aufbewahrt werden
Aufbewahrungsempfehlungen: Hot Storage (SIEM, sofort abfragbar): 30–90 Tage. Warm Storage (komprimiert, schnell abrufbar): 6–12 Monate. Cold Storage (Archiv, langsam abrufbar): 12–36 Monate. NIS2: keine feste Pflicht, aber 12–24 Monate empfohlen für Incident Response. PCI-DSS: 12 Monate, 3 Monate sofort verfügbar. Forensik: je länger, desto besser (Angriffe bleiben oft lange unentdeckt).
✓ Checkliste: Welche Daten werden im SIEM gesammelt?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Welche Daten werden im SIEM gesammelt? ist für Unternehmen jeder Größe relevant. Professionelle Umsetzung schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen. APASEC begleitet Sie von der ersten Analyse bis zur nachhaltigen Implementierung.
APASEC unterstützt Sie — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
Must-Have-Quellen (Tier 1): Windows Event Logs / Active Directory (Authentication, Privilege Escalation, Account Changes), Firewall-Logs (erlaubte/geblockte Verbindungen, Flows), VPN-Logs (Remote-Access, Fehlversuche), DNS-Logs (Domain-Anfragen, Indicator of Compromise), Endpoint/EDR-Logs (Prozesse, Dateizugriffe, Netzwerkverbindungen). Ohne diese Quellen: massive blinde Flecken.
Tier-2-Quellen: E-Mail-Gateway-Logs (Phishing-Erkennung, Anhang-Scans), Web-Proxy-Logs (URL-Kategorisierung, verdächtige Downloads), Cloud-Logs (Azure AD Sign-In, AWS CloudTrail), Vulnerability Scanner-Ergebnisse, Netflow-Daten (Netzwerkverkehrsanalyse), Webserver-Logs, Datenbank-Audit-Logs. Werden angebunden wenn Tier-1 stabil läuft.
Log-Volumen: stark abhängig von Infrastruktur. Typisch: 1–5 GB/Tag für KMU (50–200 MA), 10–100 GB/Tag für mittlere Unternehmen, 100 GB–mehrere TB/Tag für Konzerne. Log-Volumen bestimmt SIEM-Lizenzkosten bei vielen Anbietern. Optimierung: Logs filtern vor Ingestion (nicht alles, was ein System loggen kann, muss ins SIEM).
Log-Normalisierung: unterschiedliche Log-Formate (Windows EventLog, Syslog, CEF, JSON, LEEF) werden in ein einheitliches Schema konvertiert. Ohne Normalisierung: Korrelationsregeln können keine quelle-übergreifenden Muster erkennen. Normalisierung ermöglicht: 'Selbe IP in Firewall-Log geblockt + kurz danach erfolgreicher VPN-Login' = Alert. Aufwendiger Teil der SIEM-Implementierung.
Aufbewahrungsempfehlungen: Hot Storage (SIEM, sofort abfragbar): 30–90 Tage. Warm Storage (komprimiert, schnell abrufbar): 6–12 Monate. Cold Storage (Archiv, langsam abrufbar): 12–36 Monate. NIS2: keine feste Pflicht, aber 12–24 Monate empfohlen für Incident Response. PCI-DSS: 12 Monate, 3 Monate sofort verfügbar. Forensik: je länger, desto besser (Angriffe bleiben oft lange unentdeckt).