Ein SIEM (Security Information and Event Management) sammelt Logdaten aus der gesamten IT-Infrastruktur, normalisiert sie und korreliert Ereignisse, um sicherheitsrelevante Muster zu erkennen. Typische Datenquellen sind Firewalls, Intrusion-Detection-Systeme, Server-Logs und Authentifizierungsprotokolle. Du definierst Korrelationsregeln, die bei Verdachtsfällen automatisch Alarme auslösen. Im SOC ist das SIEM das zentrale Werkzeug für die Echtzeitüberwachung. Im ISMS dokumentierst Du das SIEM als Kontrolle für Protokollierung und Überwachung gemäß ISO 27001 Annex A 8.15-8.16. Regelmäßiges Tuning reduziert Fehlalarme.