BEKOM MANAGEDSIEM & Log-ManagementLog-Aggregation, Korrelation und Analyse
BEKOM betreibt SIEM-Plattformen für Log-Aggregation, Korrelation und Alerting – mit definierten SLAs und voller Datenhoheit.
Professionelles SIEM und Log-Management
Ein Security Information and Event Management (SIEM) sammelt, normalisiert und korreliert Log-Daten aus der gesamten IT-Umgebung. Auf dieser Basis erkennt das System sicherheitsrelevante Muster und löst qualifizierte Alerts aus. BEKOM betreibt SIEM-Plattformen im Rahmen von BEKOM MANAGED Security & Compliance – als eigenständigen Service oder als Datengrundlage für das Managed SOC.
SIEM-Systeme sind geschäftskritisch für die Erkennung von Cyberangriffen, die operative Geschäftsprozesse wie Auftragsverarbeitung und Kundenkommunikation gefährden können. Regulatorische Anforderungen wie DSGVO, KRITIS oder Branchenstandards verlangen nachweisbare Sicherheitsmonitoring-Prozesse und auditfähige Log-Aufbewahrung.
Herausforderungen im SIEM-Eigenbetrieb
Der Betrieb einer SIEM-Plattform erfordert spezialisierte Kenntnisse in Log-Management, Regelwerk-Pflege und Performance-Tuning. Die meisten mittelständischen IT-Teams können diese Anforderungen nicht dauerhaft intern abdecken.
Typische Szenarien:
- Log-Quellen liefern heterogene Formate – Normalisierung und Parsing erfordern Spezialwissen pro Hersteller und System
- Korrelationsregeln müssen kontinuierlich gepflegt werden, damit neue Angriffsszenarien erkannt werden
- Die Datenmenge wächst mit jeder angebundenen Quelle – Performance-Tuning und Speichermanagement binden Kapazitäten
- Compliance-Anforderungen verlangen nachweisbare Log-Aufbewahrung und auditierbare Prozesse
Ohne qualifizierte Pflege liefert ein SIEM entweder zu viele Fehlalarme oder übersieht relevante Ereignisse – beides entwertet die Investition in die Plattform.
BEKOMs Ansatz: SIEM-Betrieb als Service
BEKOM übernimmt den laufenden Betrieb Ihrer SIEM-Plattform: Anbindung der Log-Quellen, Pflege der Korrelationsregeln, Performance-Monitoring und Reporting. Die Plattform kann in Ihrer eigenen Betriebsstätte, in einer Cloud-Umgebung oder als gehostete Instanz betrieben werden.
Leistungsumfang:
- Anbindung und Normalisierung aller relevanten Log-Quellen (Firewalls, Server, Netzwerkkomponenten, Anwendungen)
- Laufende Pflege und Optimierung der Korrelationsregeln und Erkennungslogik
- Performance-Monitoring der SIEM-Plattform: Ingestion-Rate, Speicherauslastung, Abfrage-Performance
- Regelmäßiges Reporting über Alert-Volumen, Erkennungsqualität und Systemstatus
BEKOM bleibt Ihr zentraler Ansprechpartner für den SIEM-Betrieb. Bei Bedarf integriert BEKOM die SIEM-Plattform in das Managed SOC für die qualifizierte Analyse der erkannten Ereignisse.
SIEM und SOC: Abgrenzung und Zusammenspiel
SIEM und SOC erfüllen unterschiedliche Aufgaben im Security-Betrieb. Das SIEM ist die technische Plattform – es sammelt, normalisiert und korreliert Log-Daten. Das SOC ist die organisatorische Einheit – Analysten bewerten die Ergebnisse und reagieren auf Bedrohungen.
Zusammenspiel:
- SIEM liefert die Datengrundlage: aggregierte Logs, korrelierte Ereignisse und qualifizierte Alerts
- SOC bewertet die Alerts: Triage, Validierung und Handlungsempfehlung
- Beide Services können separat oder kombiniert beauftragt werden
BEKOM betreibt SIEM auch als eigenständigen Service – etwa wenn Ihr internes Team die Analyse selbst übernimmt oder ein externer SOC-Partner die BEKOM-SIEM-Daten nutzt.
Was ein Managed SIEM leistet
BEKOM übernimmt drei Kernaufgaben im SIEM-Betrieb: die Erfassung und Normalisierung der Log-Daten, die Korrelation und das Alerting sowie das Reporting für Compliance und interne Transparenz. Der Umfang wird im Service-Design-Dokument verbindlich festgelegt.
Log-Aggregation und Normalisierung
Log-Daten aus heterogenen Quellen – Firewalls, Server, Netzwerkkomponenten, Cloud-Services, Anwendungen – werden in der SIEM-Plattform zusammengeführt und in ein einheitliches Format überführt. Die Normalisierung ist die Voraussetzung für aussagekräftige Korrelation.
Betriebsaufgaben:
Anbindung neuer Log-Quellen über standardisierte Schnittstellen (Syslog, API, Agent-basiert, Datei-Import)
Parsing und Normalisierung herstellerspezifischer Log-Formate in ein gemeinsames Datenmodell
Überwachung der Ingestion-Pipeline: Vollständigkeit, Latenz und Fehlerquoten pro Quelle
Dokumentation aller angebundenen Quellen im Service-Design-Dokument
Korrelation, Alerting und Analyse
Die SIEM-Plattform verknüpft Einzelereignisse aus verschiedenen Quellen zu sicherheitsrelevanten Mustern. Erkannte Muster lösen qualifizierte Alerts aus, die nach Kritikalität priorisiert werden.
Erkennungslogik:
Regelbasierte Korrelation: Definierte Muster wie mehrere fehlgeschlagene Anmeldungen aus verschiedenen Quellen oder ungewöhnlicher Datentransfer
Schwellenwert-Alerts: Automatische Alarme bei Überschreitung definierter Grenzwerte pro System oder Quelle
Kontinuierliche Pflege: BEKOM aktualisiert und erweitert die Regeln nach aktueller Bedrohungslage und Ihrem Risikoprofil
Filterung: Reduktion von Fehlalarmen durch kontextbezogene Regeln und dokumentierte Ausnahmedefinitionen
Reporting und Compliance-Nachweise
BEKOM stellt regelmäßige Reports über den SIEM-Betrieb bereit: Alert-Volumen, Erkennungsqualität, Log-Vollständigkeit und Systemverfügbarkeit. Die Reports sind so aufgebaut, dass sie als Compliance-Nachweise für Audits und Zertifizierungen verwendbar sind.
Reporting-Umfang:
Regelmäßige Betriebsberichte: Alert-Statistiken, Log-Quellen-Status und Ingestion-Trends über definierte Berichtszeiträume
Compliance-Nachweise: Dokumentierte Log-Aufbewahrung, nachvollziehbare Korrelationsregeln und Änderungshistorie
Audit-Unterstützung: BEKOM stellt bei Bedarf Auditoren und Prüfern die erforderlichen Nachweise bereit
Transparenz: Zugang zur SIEM-Oberfläche für den Echtzeit-Überblick über Ihre erfassten und korrelierten Daten
Datenhoheit und Betriebsmodelle
SIEM-Plattformen verarbeiten sicherheitskritische Log-Daten aus Ihrer gesamten IT-Umgebung. Die Frage, wo diese Daten gespeichert werden und wer darauf zugreifen kann, ist für viele Organisationen ein zentrales Entscheidungskriterium.
Speicherort und Datenhoheit
Die Speicherorte der Log-Daten werden im Service-Design-Dokument verbindlich festgelegt. BEKOM vereinbart die DSGVO-konforme Verarbeitung vertraglich – unabhängig davon, ob die Plattform in Ihrer eigenen Betriebsstätte, in BEKOMs Infrastruktur oder bei einem qualifizierten Partner betrieben wird.
Datenhoheit:
Vertraglich festgelegter Speicherort: deutsche Rechenzentren oder EU-Rechenzentren nach Ihrer Vorgabe
Definierte Aufbewahrungsfristen nach Ihren regulatorischen Anforderungen (z. B. 90 Tage, 1 Jahr, 3 Jahre)
Kontrollierter Zugriff: Rollenbasierte Berechtigungen für BEKOM, Partner und Ihr Team
Dokumentiertes Löschkonzept: Definierte Löschprozesse nach Ablauf der vereinbarten Aufbewahrungsfrist
Plattform-Optionen
BEKOM betreibt SIEM-Plattformen herstellerunabhängig. Die Technologieauswahl richtet sich nach Ihren bestehenden Anforderungen, dem Log-Volumen und den gewünschten Analysefunktionen.
Unterstützte Ansätze:
Open-Source-basiert: Wazuh, OpenSearch, Elastic Stack – bei Bedarf in Kombination mit BEKOM OPEN PRO
Kommerzielle Plattformen: Splunk, QRadar, Microsoft Sentinel – wenn bereits im Einsatz oder gewünscht
Hybrid: Bestehende Plattform beibehalten, BEKOM übernimmt den laufenden Betrieb und die Regelwerk-Pflege
Migration: Übernahme und Ablösung einer bestehenden SIEM-Installation im strukturierten Verfahren
BEKOM als zentraler Ansprechpartner
Unabhängig von der gewählten Plattform und dem Betriebsmodell bleibt BEKOM Ihr Ansprechpartner für den gesamten SIEM-Betrieb. Die Aufgabenverteilung wird im Service-Design-Dokument als RACI-Matrix verbindlich festgelegt.
Steuerung und Koordination (BEKOM):
Integration neuer Log-Quellen und Pflege der Parser-Konfigurationen
Performance-Monitoring und Kapazitätsplanung der SIEM-Plattform
Koordination bei Plattform-Updates, Migrationen und Erweiterungen
Regelmäßiges Reporting und Abstimmung mit Ihrem Sicherheitsteam
Eigenbetrieb vs. Managed SIEM
Der Aufbau und Betrieb einer eigenen SIEM-Plattform erfordert spezialisiertes Know-how und laufende Investitionen in Personal, Lizenzen und Infrastruktur. BEKOM bietet SIEM-Betrieb als Service mit planbarer Kostenstruktur.
SIEM-Eigenbetrieb: laufende Kostentreiber
- Personalkosten: SIEM-Spezialisten für Regelwerk-Pflege, Parser-Entwicklung und Performance-Tuning sind auf dem Arbeitsmarkt rar und binden langfristig Budget
- Lizenzkosten: Kommerzielle SIEM-Plattformen berechnen nach Ingestion-Volumen oder Nutzerzahl – bei wachsender IT-Umgebung steigen die Kosten kontinuierlich
- Infrastrukturkosten: Log-Speicherung erfordert wachsende Storage-Kapazitäten, Rechenleistung für Korrelation und redundante Systeme für Verfügbarkeit
- Prozesskosten: Regelwerk-Entwicklung, Use-Case-Engineering und Compliance-Dokumentation erfordern laufende qualifizierte Pflege
Managed SIEM: planbare Kosten mit BEKOM
- Monatspauschale statt variabler Aufwände für Lizenzen, Personal und Infrastruktur – der SIEM-Umfang ist im Service-Design-Dokument festgelegt
- Skalierbarkeit: Log-Volumen und Quellen-Anzahl anpassbar, BEKOM dimensioniert die Plattform entsprechend
- Kein Aufbau eigener SIEM-Expertise und kein eigenes Regelwerk-Engineering erforderlich
- Transparente Kostenstruktur: Im Security-Assessment erstellt BEKOM ein Betriebskonzept mit nachvollziehbarer Kalkulation
BEKOM bietet Zugang zu strukturiertem SIEM-Betrieb über eine planbare Monatspauschale. Im Security-Assessment erfasst BEKOM Ihre Log-Quellen, das erwartete Datenvolumen und Ihre Compliance-Anforderungen – und erstellt daraus ein Betriebskonzept mit transparenter Kostenstruktur.
Verwandte Themen: Managed SIEM verzahnt sich mit Managed SOC für die operative 24/7-Analyse und Managed Vulnerability für Schwachstellen-Korrelation; auf Open-Source-Plattform-Ebene knüpft Logging & Log-Management an; für KRITIS-spezifische SIEM-Anforderungen siehe das Szenario OPNsense für KRITIS.
Häufige Fragen zum Managed SIEM
Welche Log-Quellen kann BEKOM anbinden?
BEKOM bindet alle gängigen Log-Quellen an die SIEM-Plattform: Firewalls, Server (Linux, Windows), Netzwerkkomponenten, Cloud-Services (AWS, Azure, Google Cloud), Anwendungen und Datenbanken. Die Anbindung erfolgt über standardisierte Schnittstellen wie Syslog, API, Agent-basierte Erfassung oder Datei-Import. Proprietäre Formate werden über individuelle Parser normalisiert. Die Liste der angebundenen Quellen wird im Service-Design-Dokument dokumentiert und laufend aktualisiert.
Welche SIEM-Plattformen betreibt BEKOM?
BEKOM betreibt SIEM-Plattformen herstellerunabhängig – Open-Source-basiert (Wazuh, OpenSearch, Elastic Stack) ebenso wie kommerzielle Produkte (Splunk, QRadar, Microsoft Sentinel). Die Auswahl richtet sich nach Ihren bestehenden Anforderungen, dem Log-Volumen und dem gewünschten Funktionsumfang. Falls bereits eine SIEM-Plattform im Einsatz ist, kann BEKOM den laufenden Betrieb der bestehenden Installation übernehmen und weiterentwickeln.
Wo werden unsere Log-Daten gespeichert?
Der Speicherort wird im Service-Design-Dokument verbindlich festgelegt. Abhängig vom gewählten Betriebsmodell erfolgt die Speicherung in Ihrer eigenen Betriebsstätte, in BEKOMs Infrastruktur oder bei einem qualifizierten Partner – jeweils in deutschen oder EU-Rechenzentren. Aufbewahrungsfristen, Zugriffsberechtigungen und Löschprozesse werden vertraglich vereinbart. Sie behalten die volle Kontrolle über Ihre Log-Daten und deren Verwendung.
Was ist der Unterschied zwischen SIEM und SOC?
Das SIEM ist die technische Plattform: Es sammelt, normalisiert und korreliert Log-Daten und generiert qualifizierte Alerts. Das SOC ist die organisatorische Einheit: Analysten bewerten die Alerts, klassifizieren Bedrohungen und koordinieren die Reaktion auf Sicherheitsvorfälle. BEKOM bietet beide Services separat oder kombiniert an. Wenn ein SOC die SIEM-Daten analysieren soll, integriert BEKOM die Plattform in das Managed SOC.
Was kostet ein Managed SIEM im Vergleich zum Eigenbetrieb?
Die Kosten hängen vom Log-Volumen, der Anzahl angebundener Quellen, der gewählten Plattform und den Aufbewahrungsfristen ab. Ein eigenes SIEM erfordert laufende Investitionen in Lizenzen, Storage, Personal und Regelwerk-Pflege. BEKOM bietet stattdessen eine planbare Monatspauschale für den definierten Leistungsumfang. Im Security-Assessment erfasst BEKOM Ihre Anforderungen und erstellt ein Betriebskonzept mit transparenter Kostenstruktur.
Wie läuft die Übernahme einer bestehenden SIEM-Plattform ab?
BEKOM startet mit einem strukturierten Assessment: Erfassung der vorhandenen SIEM-Plattform, der angebundenen Log-Quellen, des aktuellen Regelwerks und der bestehenden Betriebsprozesse. Auf dieser Basis entsteht ein Übernahmeplan mit Migrationsstrategie, Validierung der bestehenden Regeln und definierten Übergabepunkten. Das interne Team wird in die Übergabe eingebunden und erhält eine vollständige Dokumentation aller übernommenen Systeme.
Können bestehende Korrelationsregeln übernommen werden?
BEKOM prüft bestehende Korrelationsregeln im Rahmen des Assessments auf Aktualität, Wirksamkeit und Kompatibilität mit der Zielplattform. Funktionierende Regeln werden übernommen und in die BEKOM-Betriebsprozesse integriert. Veraltete oder unwirksame Regeln werden identifiziert und durch aktuelle Erkennungsmuster ersetzt. Das bestehende Regelwerk geht nicht verloren – es wird validiert, dokumentiert und systematisch weiterentwickelt.
Welche Transparenz erhalten wir über den SIEM-Betrieb?
BEKOM stellt regelmäßige Reports bereit: Alert-Statistiken, Log-Quellen-Status, Ingestion-Trends, Regelwerk-Änderungen und Compliance-Nachweise über definierte Berichtszeiträume. Die Berichtsfrequenz und der Detailgrad werden im Service-Design-Dokument vereinbart. Bei sicherheitsrelevanten Ereignissen erhalten Sie zeitnahe Benachrichtigungen mit dokumentierter Handlungsempfehlung. Zusätzlich haben Sie direkten Zugang zur SIEM-Oberfläche für den Echtzeit-Überblick über alle erfassten und korrelierten Daten Ihrer Umgebung.
Welche Kosten entstehen beim Wechsel von einem SIEM-Eigenbetrieb zu BEKOM MANAGED SIEM?
Der Wechsel zu BEKOM MANAGED SIEM erfolgt ohne Einrichtungsgebühren oder Migrationspauschalen. BEKOM übernimmt die Integration bestehender Log-Quellen und die Übertragung relevanter Korrelationsregeln. Die monatlichen Betriebskosten richten sich nach der Anzahl der Log-Quellen und dem Datenvolumen. Bestehende SIEM-Hardware kann weiterhin genutzt oder durch BEKOM-Infrastruktur ersetzt werden. Ein Rückwechsel zum Eigenbetrieb ist jederzeit möglich, da alle Konfigurationen dokumentiert übergeben werden.
Nächster Schritt: Security-Assessment anfragen
Der Einstieg beginnt mit einem Security-Assessment: Erfassung Ihrer Log-Quellen, Analyse der bestehenden SIEM-Infrastruktur und Empfehlung für das passende Betriebsmodell.
Das SIEM-Assessment verschafft Klarheit über Ihre aktuelle Log-Management-Architektur und identifiziert alle sicherheitsrelevanten Datenquellen in der IT-Umgebung. BEKOM erstellt eine detaillierte Bestandsaufnahme der Log-Volumen, Korrelationsregeln und Compliance-Anforderungen. Das Ergebnis ist eine konkrete Service-Design-Empfehlung für den Betriebsumfang des Managed SIEM inklusive Integrationsstrategie für bestehende Security-Tools.
Assessment anfragen
Kontaktieren Sie BEKOM für ein unverbindliches Security-Assessment. Gemeinsam mit Ihrem IT-Team erfassen wir Ihre Log-Quellen, das erwartete Datenvolumen und Ihre Compliance-Anforderungen.
SIEM-Konzept erstellen
Auf Basis des Assessments entsteht ein konkretes Betriebskonzept: Empfohlene SIEM-Plattform, Umfang der Log-Anbindung, Korrelationsregeln, Aufbewahrungsfristen und transparente Kostenstruktur.
Betrieb aufnehmen
Nach Ihrer Freigabe übernimmt BEKOM die Anbindung der Log-Quellen, die Konfiguration der Korrelationsregeln und den Start des laufenden SIEM-Betriebs nach den vereinbarten Prozessen und SLAs.