Security Information and Event Management (SIEM) ist das technologische Herzstück moderner Sicherheitsüberwachung in Unternehmen. Durch die zentrale Sammlung, Korrelation und Analyse von Log- und Ereignisdaten ermöglicht SIEM die frühzeitige Erkennung von Bedrohungen und Anomalien. In diesem Kurs erwerben Teilnehmende das Wissen und die praktischen Fähigkeiten, um SIEM-Systeme effektiv zu betreiben und auszuwerten.
Kursinhalt1. Architektur und Funktionsprinzip von SIEM-Systemen
- Komponenten einer SIEM-Lösung: Datenquellen, Kollektoren, Korrelations-Engine
- Log-Management und Normalisierung von Ereignisdaten
- Marktüberblick: Splunk, Microsoft Sentinel, IBM QRadar und weitere
2. Regelwerke, Use Cases und Korrelationslogik
- Erstellen und Anpassen von Erkennungsregeln und Use Cases
- Korrelation von Events über mehrere Quellen hinweg
- Tuning zur Reduktion von False Positives
3. Alerting, Dashboard-Gestaltung und Triage
- Aufbau aussagekräftiger Security Dashboards
- Alert-Workflows und Priorisierung nach Schweregrad
- Erste Schritte bei der Incident-Triage im SIEM
4. Integration, Betrieb und kontinuierliche Optimierung
- Anbindung von Endpunkten, Netzwerkgeräten und Cloud-Diensten
- SIEM im Zusammenspiel mit SOAR und Ticketsystemen
- Performance-Monitoring und regelmäßige Review-Prozesse
Berufliche Relevanz
- SOC-Analysten nutzen SIEM täglich zur Bedrohungserkennung und Incident-Triage
- Security Engineers konfigurieren und optimieren SIEM-Umgebungen für hohe Erkennungsqualität
- IT-Sicherheitsverantwortliche gewinnen durch SIEM Transparenz über die Sicherheitslage des Unternehmens