{"id":33525,"date":"2026-06-02T11:55:32","date_gmt":"2026-06-02T09:55:32","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33525"},"modified":"2026-06-01T15:55:50","modified_gmt":"2026-06-01T13:55:50","slug":"kaspersky-siem-correlation-evolution","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/kaspersky-siem-correlation-evolution\/33525\/","title":{"rendered":"Die Evolution von SIEM-Korrelationsregeln"},"content":{"rendered":"<p>Die klassische Logik eines SIEM-Systems l\u00e4sst sich wie folgt vereinfachen: Tritt erst Ereignis\u00a0A ein und dann Ereignis\u00a0B, so kann dies auf einen Angriff hindeuten, und ein IT-Sicherheitsexperte sollte benachrichtigt werden. Unter heutigen Umst\u00e4nden versagt dieses einfache Szenario jedoch zunehmend. Erst k\u00fcrzlich <a href=\"https:\/\/securelist.com\/notepad-supply-chain-attack\/118708\/\" target=\"_blank\" rel=\"noopener\">analysierten unsere Experten einen aufsehenerregenden Vorfall<\/a>: Angreifer manipulierten die Update-Infrastruktur des beliebten Programms Notepad++ und verbreiteten Malware \u00fcber den Update-Mechanismus. Es ist einfach unm\u00f6glich, im Voraus Regeln zu erstellen, die speziell darauf ausgelegt sind, solchen Szenarien zu begegnen.<\/p>\n<p>Die Angriffe werden immer ausgefeilter: Hacker verwenden legitime Tools, sie greifen die Lieferkette an, manipulieren dazu externe Software, dehnen Angriffe \u00fcber einen l\u00e4ngeren Zeitraum aus und tarnen ihr Vorgehen als normale Aktivit\u00e4ten. <strong>Mit anderen Worten: Es ist kein \u201eEinbruch\u201c in die Infrastruktur, sondern die Angreifer melden sich meistens dort an und verwenden legitime Software. <\/strong>Darum werden die klassischen, festen Regeln entweder nicht ausgel\u00f6st oder generieren massenhaft Fehlalarme. Inzwischen sind flexiblere Korrelationsszenarien erforderlich.<\/p>\n<h2>Dynamisch aktualisierte SIEM-Inhalte<\/h2>\n<p>Korrelationsinhalte sind heute kein statisches Regelwerk mehr, sondern ein Prozess: Sie entwickeln sich st\u00e4ndig weiter und passen sich aktuellen Bedrohungen an. Allein im Jahr\u00a02025 haben wir 55\u00a0Updates mit Regelpaketen f\u00fcr verschiedene Versionen und Sprachen unseres Kaspersky SIEM-Systems ver\u00f6ffentlicht. In nur einem Jahr haben wir 10\u00a0neue Regelpakete sowie 250\u00a0Erkennungsregeln und zahlreiche Verbesserungen f\u00fcr bestehende Inhalte hinzugef\u00fcgt. Im laufenden Jahr haben wir bereits 43\u00a0neue Regeln hinzugef\u00fcgt und weitere 63\u00a0verfeinert. Summa summarum sind dies \u00fcber 850\u00a0Regeln, die einen erheblichen Teil des MITRE ATT&amp;CK-Frameworks abdecken.<\/p>\n<p>Die Kaspersky SIEM-Regeln basieren auf den Erkenntnissen unserer Experten, die reale, aktuelle Angriffe analysieren: Wir st\u00fctzen uns haupts\u00e4chlich auf die Ergebnisse unseres Managed Detection and Response-Dienstes (MDR) und unserer Bedrohungsforschung. Daher decken unsere Regeln auch Szenarien ab, die brandneue Angriffsmethoden beinhalten\u00a0\u2013 von Spionage bis zur Ausweitung von Berechtigungen. Wir erkennen auch neue Angriffstechniken wie beispielsweise <a href=\"https:\/\/securelist.com\/toolshell-explained\/117045\/\" target=\"_blank\" rel=\"noopener\">ToolShell<\/a>.<\/p>\n<p>Zus\u00e4tzlich zu den geplanten Updates ver\u00f6ffentlicht das Team regelm\u00e4\u00dfig sogenannten Emergency Content\u00a0\u2013 Regels\u00e4tze f\u00fcr eine schnelle Reaktion auf neue und unerwartete Angriffsmethoden. Beispiel: Im Februar erschienen Erkennungsregeln \u00a0<a href=\"https:\/\/www.kaspersky.com\/blog\/forticloud-authentication-siem-rules\/55241\/\" target=\"_blank\" rel=\"noopener nofollow\">f\u00fcr die Umgehung der Authentifizierung in Fortinet-Produkten<\/a> \u00fcber den SSO-Mechanismus: Angreifer nutzten speziell pr\u00e4parierte SAML-Anfragen, um ohne Anmeldeinformationen auf Systeme zuzugreifen.<\/p>\n<h2>Von Ereignissen zu Angriffsketten<\/h2>\n<p>Dar\u00fcber hinaus beschreiben moderne SIEM-Regeln nicht mehr einzelne Ereignisse, sondern ganze Abfolgen von Aktionen. Die Szenarien basieren auf den verschiedenen Phasen eines Angriffs: vom ersten Zugriff \u00fcber die Rechteausweitung bis hin zur Persistenz. Die Effektivit\u00e4t von Kaspersky\u00a0SIEM wird durch die Integration mit Kaspersky\u00a0EDR und dedizierten Regels\u00e4tzen f\u00fcr Active\u00a0Directory optimiert. Dabei werden Dutzende von Szenarien zur Angriffserkennung in verschiedenen Phasen implementiert. Durch diesen Ansatz k\u00f6nnen wir nicht nur einzelne Signale sehen, sondern das gesamte Bild.<\/p>\n<h2>Integration und interne Sichtbarkeit<\/h2>\n<p>Eine weitere M\u00f6glichkeit, die Effektivit\u00e4t eines SIEM-Systems zu verbessern, besteht in der Erweiterung von Datenquellen. Ein klassisches SIEM aggregiert Ereignisse aus verschiedenen Infrastrukturebenen: von Protokollen bis hin zu Telemetriedaten aus Endpunkten und internen Systemen. Zus\u00e4tzlich enth\u00e4lt unser SIEM-System spezielle Regels\u00e4tze f\u00fcr unsere anderen L\u00f6sungen (Kaspersky Security Center, Kaspersky Security for Mail Groups, Plattform K\u00a0Anti-Targeted Attack). Dadurch k\u00f6nnen Administratoraktionen, Authentifizierung und Dienststatus \u00fcberwacht werden. Das System ist also nicht nur ein Werkzeug f\u00fcr die Angriffserkennung, sondern auch f\u00fcr die \u00dcberwachung interner Aktivit\u00e4ten.<\/p>\n<p>SIEM ist also kein pures Regelwerk mehr, sondern hat sich zu einem Erkennungssystem entwickelt, das laufend aktualisiert wird. Die Wirksamkeit wird nicht durch die Anzahl der Funde bestimmt, sondern durch deren Relevanz, Koh\u00e4renz und dadurch, wie genau sie die tats\u00e4chlichen Aktionen der Angreifer widerspiegeln. Aktuelle Informationen zu unserer Kaspersky Unified Monitoring and Analysis Platform (SIEM) <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/unified-monitoring-and-analysis-platform?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">findest du auf der offiziellen Produktseite<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"32334\">\n","protected":false},"excerpt":{"rendered":"<p>Wir erstellen regelm\u00e4\u00dfig neue SIEM-Regeln. Und dabei l\u00e4uft hinter den Kulissen ein wichtiger Prozess ab \u2013 die Evolution der eigentlichen Korrelationsregeln.<\/p>\n","protected":false},"author":2757,"featured_media":33526,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[4251,4274,3294],"class_list":{"0":"post-33525","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-benutzerkonten","9":"tag-korrelationsregeln","10":"tag-siem"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/kaspersky-siem-correlation-evolution\/33525\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/kaspersky-siem-correlation-evolution\/30712\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/kaspersky-siem-correlation-evolution\/25764\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/kaspersky-siem-correlation-evolution\/30562\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/kaspersky-siem-correlation-evolution\/32141\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/kaspersky-siem-correlation-evolution\/41787\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/kaspersky-siem-correlation-evolution\/55761\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/kaspersky-siem-correlation-evolution\/25021\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/kaspersky-siem-correlation-evolution\/30619\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/kaspersky-siem-correlation-evolution\/36221\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/kaspersky-siem-correlation-evolution\/36114\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/siem\/","name":"siem"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33525","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2757"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=33525"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33525\/revisions"}],"predecessor-version":[{"id":33529,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33525\/revisions\/33529"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/33526"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=33525"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=33525"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=33525"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}