Ereigniskorrelation (Event Correlation / Log Correlation)

Ereigniskorrelation bezeichnet die automatisierte Verknüpfung und Analyse von Sicherheitsereignissen aus unterschiedlichen Quellen (Firewall, IDS, Endpoint, Applikation) mit dem Ziel, zusammenhängende Angriffsmuster zu erkennen, die einzeln betrachtet unauffällig wären. SIEM-Systeme implementieren Korrelationsregeln und Machine-Learning-Modelle, um zeitlich und räumlich verteilte Ereignisse zu Angriffsketten zusammenzufügen und False Positives zu reduzieren. In IT-Vergaben für SOC- und SIEM-Dienste sollten Auftraggeber die Anzahl und Qualität vordefinierter Korrelationsregeln, den Prozess zur Regelanpassung und die Eskalationszeiten bei bestätigten Angriffsketten als messbare Leistungskriterien vertraglich festhalten.