SIEM Administrator

SIEM steht für “Security Information and Event Management”, also ein Managementsystem, das sicherheitsrelevante Informationen und Ereignisse auswertet. Diese Systeme sammeln unterschiedliche Informationen von ebenso unterschiedlichen Systemen, um sie dann automatisch gegeneinander abzugleichen. Damit das SIEM weiß, wie es die Ereignisse bewerten soll, ob kritisch oder nicht, muss es diese Regeln „lernen“. Hier ist dann der SIEM Administrator am Zug.

Ein SIEM Admin konfiguriert das SIEM, damit es auf die sicherheitsrelevanten Informationen und Ereignisse reagiert und diese meldet. Ein SIEM ist der zentrale Teil eines SOC. Die Informationen für das SIEM liefern verschiedene Geräte in Form von Logfiles, als Nachrichten (zB Syslog) oder auch spezielle Sensoren, etwa eine Personenschleuse im Rechenzentrum. Die Anbindung der verschiedenen Informationsquellen ist die Aufgabe der SIEM Administratoren. Sie sorgen dafür, dass die Quellen („Sources“) korrekte und brauchbare Daten anliefern, damit diese wiederum mit den passenden Regeln im SIEM ausgewertet werden.

Kernkompetenzen:

• Kenntnisse in Netzwerkprotokollen und Server-Logs
• Grundsätzliche Programmier- oder Skriptingkenntnisse (Bash, Powerscript u.a.)
• Linux
• Hohe Lernbereitschaft