Security Information and Event Management (SIEM) ist das technologische Herzstück moderner Sicherheitsüberwachung in Unternehmen. Durch die zentrale Sammlung, Korrelation und Analyse von Log- und Ereignisdaten ermöglicht SIEM die frühzeitige Erkennung von Bedrohungen und Anomalien. In diesem Kurs erwerben Teilnehmende das Wissen und die praktischen Fähigkeiten, um SIEM-Systeme effektiv zu betreiben und auszuwerten.

Kursinhalt
1. Architektur und Funktionsprinzip von SIEM-Systemen
  • Komponenten einer SIEM-Lösung: Datenquellen, Kollektoren, Korrelations-Engine
  • Log-Management und Normalisierung von Ereignisdaten
  • Marktüberblick: Splunk, Microsoft Sentinel, IBM QRadar und weitere

2. Regelwerke, Use Cases und Korrelationslogik
  • Erstellen und Anpassen von Erkennungsregeln und Use Cases
  • Korrelation von Events über mehrere Quellen hinweg
  • Tuning zur Reduktion von False Positives

3. Alerting, Dashboard-Gestaltung und Triage
  • Aufbau aussagekräftiger Security Dashboards
  • Alert-Workflows und Priorisierung nach Schweregrad
  • Erste Schritte bei der Incident-Triage im SIEM

4. Integration, Betrieb und kontinuierliche Optimierung
  • Anbindung von Endpunkten, Netzwerkgeräten und Cloud-Diensten
  • SIEM im Zusammenspiel mit SOAR und Ticketsystemen
  • Performance-Monitoring und regelmäßige Review-Prozesse

Berufliche Relevanz
  • SOC-Analysten nutzen SIEM täglich zur Bedrohungserkennung und Incident-Triage
  • Security Engineers konfigurieren und optimieren SIEM-Umgebungen für hohe Erkennungsqualität
  • IT-Sicherheitsverantwortliche gewinnen durch SIEM Transparenz über die Sicherheitslage des Unternehmens