Im Datendschungel dem Bösen auf der Spur SIEM Security Incident und Event Monitoring
ID: 59135
Von Thomas Mörwald, Secaron AG, Hallbergmoos
In vielen IT-Umgebungen werden Log-Meldungen heutzutage stiefmütterlich behandelt. Erst bei einem konkreten Schadensfall erfolgt die Analyse von derartigen Informationen – wobei sich diese dann auf das System beschränkt, das als unmittelbare Ursache für das Problem identifiziert wurde.
Hier handelt es sich schlichtweg um zwei Log-Meldungen, die jeweils für sich betrachtet keine Gefahr darstellen. Dass gerade die geringe Zeitspanne zwischen
dem Anlegen und dem Löschen diese Aktion verdächtig macht, bleibt der herkömmlichen Log-Auswertung verborgen. Möglich ist beispielsweise, dass diese Accounts – unbeabsichtigt – mit Fehlern angelegt wurden. Auch denkbar ist aber, dass sie nur kurzzeitig erstellt wurden, um sensible Daten unter falschen Namen auszulesen. Das Beispiel macht deutlich, dass eine reaktive und auf einzelne Systeme bezogene Log-Auswertung für einen entscheidenden Nachteil bei der Sicherstellung des Betriebs und damit auch der Verfügbarkeit von IT-Umgebungen sorgt. Aus diesem Grund wird heutzutage die Erkennung von komplexen Angriffen
durch Korrelation von Log-Meldungen gefordert. Security Information and Event Management (SIEM) Tools beseitigen diese Nachteile und ermöglichen eine proaktive Bewertung des Gesamtzustandes einer IT-Umgebung. Zur Sicherstellung
ihrer Funktion basieren sie auf einer Mutli-Tier-Archtiektur. Mindestens drei Schichten sorgen für eine effiziente Verarbeitung der Informationen innerhalb des SIEM-Tools. Die Abbildung zeigt den grundsätzlichen Aufbau. Im Folgenden werden die einzelnen
Ebenen beschrieben.
Log-Erzeugung
Auf Ebene 0 werden die Log-Meldungen erzeugt. Diese können über zwei verschiedene Ansätze vom SIEM-Tool verarbeitet werden. Zunächst ist hier der
PUSH-Ansatz zu nennen. Hier werden die Log-Meldungen vom erzeugenden
System zum SIEM-Tool geschickt. Dem gegenüber steht der PULL-Ansatz. In
diesem Fall wird eine Komponente des SIEM-Tools so konfiguriert, dass sie die
Log-Meldungen von den ausgewählten Systemen in bestimmten Zeitabständen
ausliest.
Vorverarbeitung
Auf Ebene 1 erfolgt die Vorverarbeitung der Log- Meldungen. Neben der Filterung und der Normalisierung werden die Log-Meldungen hier auch aggregiert und kategorisiert.
Filterung
Die Filterung verfolgt das Ziel unnötige Log-Meldungen sofort auszusortieren. Dies ist notwendig, da die Menge der anfallenden Daten viel zu groß ist um alle Log- Meldungen zu verarbeiten.
Normalisierung
Nach der Filterung werden die verbleibenden Log-Meldungen normalisiert. Notwendig ist dies, da sich die Log- Meldungen von Hersteller zu Hersteller mitunter stark unterscheiden. Große Unterschiede bestehen auch zwischen Log-Meldungen von Betriebssystemen und Applikationen. Unerlässlich bleibt damit ein gemeinsames Format in das alle anfallenden Log-Meldungen konvertiert
werden.
Aggregation
Auf Ebene 1 erfolgt eine Aggregation von Log-Meldungen. Oftmals werden identische Log-Meldungen mehrmals hintereinander von dem gleichen System
erzeugt. Hier gilt es zu beachten, dass der Informationswert der zweiten und jeder nachfolgenden Log-Meldung gering ist. Aus diesem Grund wird nur die erste Log-Meldung weiterverarbeitet, die allerdings um die Information „Anzahl der aufgetretenen identischen Log-Meldungen“ erweitert wird.
Kategorisierung und Priorisierung
Das Ziel bei der Kategorisierung ist die Verfeinerung des Infomationswertes
von Log-Meldungen. Beispielsweise können Zoneninformationen mit aufgenommen
werden. Damit ist es möglich Log-Meldungen aus dem Hochsicherheitsbereich
entsprechend zu priorisieren. Auch erfolgt hier eine Einordnung der Log-Meldung in einem System-Typ wie Firewall, Betriebssystem, diverse Applikationen usw.
Nach Abschluss von Ebene 1 bezeichnet man die verbleibenden Log-Meldungen
als Events. Sie besitzen alle den gleichen Aufbau und lassen sich damit im SIEMTool
einfach verarbeiten.
Korrelation
Im Anschluss an Ebene 1 werden die Events korreliert. Hierzu kommt in den
meisten Fällen ein Regelsystem zum Einsatz. In diesem werden unterschiedliche
Events miteinander verknüpft. Neben Regelsystemen fi ndet sich in vielen SIEM-Tools auch eine Anomaliekomponente. Diese schlägt Alarm, wenn es zu Abweichungen vom Normalzustand der überwachten IT-Umgebung kommt.
Beide Ansätze machen es notwendig das SIEM-Tool auf die jeweilige ITUmgebung
vorzubereiten. Dies beginnt bei der Festlegung von verschiedenen Sicherheitszonen und endet mit der Definition von False Positives. Greift eine Korrelationsregel, so wird ein Alert erzeugt. Dieser ist vom gleichen Typ wie ein Event und kann somit für weitere Korrelationen verantwortlich sein.
Reaktion
Wurde ein Alert erzeugt, muss sichergestellt sein, dass auch angemessen reagiert
wird. Dazu ist es notwenig einen Security Incident Handling Prozess zu defi nieren. In diesem muss festgelegt werden, welche Events als Security Events bezeichnet werden, wie diese verarbeitet werden und vor allem welche Reaktion auf welchem Alert folgt. Hier gilt es fachliche und hierarchische Eskalation zu unterscheiden.
Fazit
Eine reaktive bzw. eine auf einzelne Systeme bezogene Log-Auswertung entspricht nicht den Anforderungen der heutigen Zeit. Gefordert werden proaktive und systemübergreifende Methoden. Durch die Korrelation von Events können Bedrohungen bereits im Vorfeld von SIEM-Tools erkannt werden. Dabei berücksichtigen diese die komplette IT-Umgebung. Folglich kann mit der
Einführung eines SIEM-Tools und den damit verbundenen Prozessen eine bessere
Absicherung von IT-Umgebungen gewährleistet werden.
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Als Unternehmensberatung in allen Fragen der Informationssicherheit setzt die Secaron AG die höchste Priorität darauf, mit ihren Kunden ein adäquates, wirtschaftliches sinnvolles Sicherheits-Niveau festzulegen. Das Dienstleistungsangebot umfasst alle Aspekte der IT-Sicherheit von der ersten Gefährdungsanalyse und Konzeption bis zur technischen Umsetzung geeigneter Schutzmaßnahmen. Secaron hilft sowohl bei der Umsetzung organisatorischer, als auch technischer Maßnahmen, um die Geschäftsprozesse der Kunden sicher ablaufen zu lassen.
Secaron AG - e.security solutions
Ludwigstraße 45
85399 Hallbergmoos
08 11 95 94-0
www.secaron.de
Datum: 18.09.2008 - 13:53 Uhr
Sprache: Deutsch
News-ID 59135
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Sabine Ziegler
Stadt:
Hallbergmoos
Telefon: 081195940
Kategorie:
Engineering
Meldungsart: Messeinformation
Versandart: Veröffentlichung
Freigabedatum: 18.09.2008
Diese Pressemitteilung wurde bisher 1132 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Im Datendschungel dem Bösen auf der Spur SIEM Security Incident und Event Monitoring"
steht unter der journalistisch-redaktionellen Verantwortung von
Secaron AG - e.security solutions (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Es bleibt also neben bereits eingesetzten Sicherheitsmaßnahmen die Aufgabe, allen Beteiligten klar zu machen, dass die Informationssicherheit wichtig ist und welchen Beitrag sie, als Person, in ihrer Rolle leisten können. Ziel muss dabei eine Sicherheitskultur sein, die Einzug in alle relevanten P
Mehr als nur Software ...
Unter dem Begriff Data Leakage Prevention (DLP) führen mehrere Softwarehersteller Lösungen in ihrem Portfolio, die solche Szenarien vermeiden sollen. Das Problem lässt sich aber nicht allein durch technische Maßnahmen lösen. Auch ein mitgehörtes Gespräch im Zug stellt einen nicht minder gefä
Weitere Mitteilungen von Secaron AG - e.security solutions
Sprachlich fit im globalen Geschäftsleben ...
Renommierte Unternehmen und viele tausend Anwender vertrauen dabei seit Jahren auf die ausgereifte Übersetzungstechnologie des Personal Translator. Der Grund: höchste Effizienz und optimaler Workflow bei allen anfallenden bersetzungsarbeiten. Linguatec präsentiert aktuell die neue Version seines
Mit dem richtigen Personaldienstleister zum Erfolg ...
Viele Unternehmen haben in den letzten Jahren ihren Anteil an externen Mitarbeitern in ihrem Unternehmen erhöht. Die vollen Auftragsbücher und die weiterhin notwendige Flexibilität für die globalen Veränderungen der Kunden haben ein starkes Wachstum dieser Branche herbeigeführt. Das Tempo des
Dichtungen auf alle Alternativen abgestimmt ...
Schon vor gut einem Jahr hat Freudenberg ein spezielles Dichtungspaket vorgestellt, das in Getriebe und Motor eine CO2-Einsparung von bis zu drei Prozent pro Fahrzeug erzielen kann. Darüber hinaus ist Freudenberg schon heute in der Lage, für alle Flex-Fuels sowie für Biodiesel, CNG/LPG, BTL wie
Mit Innovationskraft an die S ...
Die hohe Innovationskraft in Entwicklung, Produktion und Service sowie eine starke Marke sichern den langfristigen Erfolg. Mit mehr als 4 000 Mitarbeitern erwirtschaftete ElringKlinger 2007 einen Umsatz von 608 Millionen Euro. Die Unternehmensgruppe ist mit 27 Standorten weltweit präsent. Globa
