Ereigniskorrelation (Event correlation)

Im Bereich der Cybersicherheit treten ständig Ereignisse auf. Diese reichen von einem Benutzer, der sich anmeldet, über eine Datei, die aufgerufen wird, bis hin zum Starten einer Anwendung. Für sich genommen mögen diese Ereignisse harmlos erscheinen. Doch wenn sie in Verbindung mit anderen analysiert werden, können Muster entstehen, die auf potenzielle Sicherheitsbedrohungen hinweisen.

Hier kommt die Ereigniskorrelation ins Spiel. Es handelt sich um eine Methode, die in Sicherheitsinformations- und Ereignismanagement- (SIEM-)Systemen verwendet wird, um diese einzelnen Ereignisse zu aggregieren, in Beziehung zu setzen und zu bewerten. Dadurch wird die Erkennung komplexer Bedrohungen ermöglicht, die durch einzelne Ereignisse möglicherweise nicht aufgedeckt werden.

Der Prozess beinhaltet die Einrichtung vordefinierter Regeln oder die Nutzung von maschinellem Lernen, um Muster zu identifizieren. Wenn sich beispielsweise ein Benutzer von New York aus anmeldet und dann innerhalb von Minuten von Los Angeles aus, könnte diese Unmöglichkeit einen Alarm auslösen und auf einen möglichen Bruch hinweisen.

Ereigniskorrelation geht es nicht nur darum, Bedrohungen zu erkennen; es ist auch entscheidend für die Reduzierung von Falschpositiven. Durch das Verständnis des Kontexts, in dem Ereignisse auftreten, können Sicherheitsteams gutartige Aktivitäten herausfiltern und sich auf echte Bedrohungen konzentrieren.