SIEM

Een SIEM (Security Information and Event Management) is een platform dat beveiligingsgebeurtenissen uit meerdere bronnen centraal verzamelt, correleert en analyseert. Het combineert logbeheer met realtime detectie van verdacht gedrag.

Wat een SIEM doet

  • Verzamelen — logs van servers, firewalls, IDS en applicaties aggregeren
  • Correleren — patronen verbinden die over meerdere systemen verspreid zijn
  • Alerting — meldingen sturen bij verdachte combinaties van gebeurtenissen
  • Rapportage — compliance-rapporten genereren

SIEM vs. losse monitoring

Een gewone monitoring-tool signaleert dat server A veel mislukte logins heeft. Een SIEM ziet dat diezelfde server een minuut later een verbinding opende naar een verdacht IP-adres — en koppelt die twee gebeurtenissen.

Zie ook

  • monitoring — brede observability
  • syslog — loggingstandaard als SIEM-invoerbron
  • ids-ips — inbraakdetectie als SIEM-databron
  • fail2ban — eenvoudige lokale reactie op verdacht gedrag
beveiligingmonitoring