# SIEM Das Enginsight SIEM (Security Information and Event Management) sammelt umfassende Sicherheitsinformationen aus verschiedenen internen und externen Log-Quellen, analysiert eingehende Log-Daten und stellt diese in einem zentralen [Data Lake](/docs/manual/bedienung-der-plattform/siem/data-lake.md) für die Weiterverarbeitung zur Verfügung. So können bspw. anhand von [Workflows](/docs/manual/bedienung-der-plattform/siem/workflows.md) kritische Ereignismuster erkannt werden. Diese können wiederum in [Playbooks](/docs/manual/bedienung-der-plattform/siem/orchestrierung-soar/playbooks.md) dazu genutzt werden, automatisierte Reaktionsabläufe zu definieren und auszuführen. *** ## Voraussetzungen * Das Enginsight SIEM ist ein separat lizenziertes Add-on zur Enginsight Plattform. Für den Betrieb benötigst du eine gültige On-Premises-Lizenz von Enginsight. * Das SIEM muss [auf gesonderten Servern installiert und konfiguriert](/docs/manual/installation-und-konfiguration/installation-und-konfiguration/enginsight-siem.md) werden. *** ## Navigation :computer-mouse: Klicke auf das **SIEM**-Symbol ![](/files/nRVGU9mKuPDJlHUlswsf) in der Sidebar, um das **SIEM**-Menü zu öffnen. {% hint style="info" %} **Bitte beachte**: Die Reihenfolge der Menü-Oberpunkte ist individuell per Drag-&-Drop anpassbar. Eventuell hat dein Menü also eine andere Reihenfolge als hier angezeigt. {% endhint %} Das **SIEM**-Menü ist wie folgt aufgebaut: {% columns %} {% column width="33.33333333333333%" %}
{% endcolumn %} {% column width="66.66666666666667%" %} * [Data Lake](/docs/manual/bedienung-der-plattform/siem/data-lake.md): Der Data Lake dient als zentrale Datenquelle, die alle durch Kollektoren gesammelten Roh-Daten aus den verschiedensten Logs zusammenbringt, indexiert und gruppiert. * [Cockpits](/docs/manual/bedienung-der-plattform/siem/cockpits.md): Hier kannst du benutzerdefinierte Dashboards für dein SIEM erstellen. * [Ereignisse](/docs/manual/bedienung-der-plattform/siem/ereignisse.md): Hier findest du einen Überblick über alle Vorkommnisse, die mithilfe deiner erstellten Workflows in den gesammelten Logs erfasst wurden. * [Workflows](/docs/manual/bedienung-der-plattform/siem/workflows.md): Hier kannst du basierend auf Streams Bedingungen definieren, die ein Ereignis auslösen, wenn sie erfüllt werden. * [Streams](/docs/manual/bedienung-der-plattform/siem/streams.md): Hier kannst du Log-Filter nutzen und erstellen, mit denen du Roh-Logs aus dem Data Lake gezielt filtern und anzeigen lassen kannst. * [Exporte](/docs/manual/bedienung-der-plattform/siem/exports.md): Hier findest du alle im Data Lake erstellten Export-Dateien. * [Allgemeine Kollektoren](/docs/manual/bedienung-der-plattform/siem/allgemeine-kollektoren.md): * [Event Relay](/docs/manual/bedienung-der-plattform/siem/allgemeine-kollektoren/event-relay.md): Hier kannst du Event-Relais einrichten, mit denen du den Enginsight Agenten Pulsar als Syslog-Relais einsetzen kannst, der Syslog-Daten von Quellen empfängt, auf denen kein Pulsar installiert werden kann. * [Protokolldateien](/docs/manual/bedienung-der-plattform/siem/allgemeine-kollektoren/protokolldateien.md): Hier kannst du Protokolldatei-Kollektoren einrichten, mit denen du Roh-Daten aus spezifischen Log-Dateien ausgewählter Hosts sammeln kannst. * [Host Kollektoren](/docs/manual/bedienung-der-plattform/siem/host-kollektoren.md): * [Windows-Ereignisprotokoll](/docs/manual/bedienung-der-plattform/siem/host-kollektoren/windows-ereignisprotokoll.md): Hier kannst du Kollektoren für Windows-Ereignisprotokolle einrichten, mit denen du Roh-Daten aus betriebssystem- und herstellerspezifischen Logs ausgewählter Windows-Hosts sammeln kannst. * [macOS Unified Logs](/docs/manual/bedienung-der-plattform/siem/host-kollektoren/macos-unified-logs.md): Hier kannst du Kollektoren für macOS Unified Logs einrichten, mit denen du Roh-Daten aus betriebssystemspezifischen Logs ausgewählter macOS-Hosts sammeln kannst. * [Linux Syslog](/docs/manual/bedienung-der-plattform/siem/host-kollektoren/linux-syslog.md): Hier kannst du Kollektoren für Linux-Syslogs einrichten, mit denen du Roh-Daten aus Syslogs ausgewählter Linux-Hosts sammeln kannst. * [API-Kollektoren](/docs/manual/bedienung-der-plattform/siem/api-kollektoren.md): Hier kannst du vorgefertigte Kollektoren für bekannte Hersteller nutzen und konfigurieren, mit denen du Roh-Daten aus verbundenen Cloud-Anwendungen sammeln kannst. * [Erweiterte Einstellungen](/docs/manual/bedienung-der-plattform/siem/erweiterte-einstellungen.md): * [Extraktoren](/docs/manual/bedienung-der-plattform/siem/erweiterte-einstellungen/extraktoren.md): Hier kannst Extraktoren erstellen, mit denen du spezifische Informationen aus Quellfeldern gesammelter Logs ziehen und diese in andere Zielfelder integrieren kannst. * [Benutzerdefinierte Felder](/docs/manual/bedienung-der-plattform/siem/erweiterte-einstellungen/benutzerdefinierte-felder.md): Hier kannst du benutzerdefinierte Felder erstellen, Log-Einträge im Data Lake um weitere Informationen zu ergänzen. * [BadIP Ausnahmen](/docs/manual/bedienung-der-plattform/siem/erweiterte-einstellungen/badip-ausnahmen.md): Hier kannst du Regelwerke erstellen, um spezifische IP-Adressen oder ganze Subnetze explizit auf die Whitelist oder die Blacklist zu setzen. * [Eingangsfilter](/docs/manual/bedienung-der-plattform/siem/erweiterte-einstellungen/eingangsfilter.md): Hier kannst du Eingangsfilter für den Enginsight Agenten Pulsar erstellen, wenn dieser als Kollektor für das SIEM fungiert, um irrelevante Log-Daten ausgewählter Hosts auszufiltern, bevor sie überhaupt an das SIEM gesendet werden. * [Log-TTLs](/docs/manual/bedienung-der-plattform/siem/erweiterte-einstellungen/log-ttls.md): Hier kannst du benutzerdefinierte Log-Speicherzeiten für ausgewählte Hosts festlegen. * [Obfuskatoren](/docs/manual/bedienung-der-plattform/siem/erweiterte-einstellungen/obfuskatoren.md): Hier kannst du Obfuskatoren erstellen, mit denen du Feldwerte in ausgewählten Feldern verschleiern kannst. * [Erforderliche Services](/docs/manual/bedienung-der-plattform/siem/erforderliche-services.md): * [Loggernaut](/docs/manual/bedienung-der-plattform/siem/erforderliche-services/loggernaut.md): Hier erhältst du eine Übersicht über alle angelegten Loggernaut-Komponenten, die du für alle Funktionen des SIEMs benötigst. * [Tracer](/docs/manual/bedienung-der-plattform/siem/tracer.md): * [Modelle](/docs/manual/bedienung-der-plattform/siem/tracer/modelle.md): Hier kannst du benutzerdefinierte Modelle für die KI-basierte Überwachung und Zeitreihenanalyse von Streams erstellen. * [Orchestrierung (SOAR)](/docs/manual/bedienung-der-plattform/siem/orchestrierung-soar.md): * [Playbooks](/docs/manual/bedienung-der-plattform/siem/orchestrierung-soar/playbooks.md): Hier kannst du Playbooks anlegen, um auch komplexere Reaktionsabläufe auf sicherheitsrelevante Ereignisse zu orchestrieren und automatisieren. * [Flows](/docs/manual/bedienung-der-plattform/siem/orchestrierung-soar/flows.md): Hier findest du eine Auflistung aller Playbook-Durchläufe. * [LLM Provider](/docs/manual/bedienung-der-plattform/siem/orchestrierung-soar/llm-provider.md): Hier kannst du LLM-Anbieter einbinden, um KI-Ressourcen im Kontext des Data Lakes und in Playbooks einzusetzen. {% endcolumn %} {% endcolumns %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/siem.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.