Security Information & Event Management (SIEM) Lösungen

Advanced Persistent Threats mit SIEM abwehren

Seite: 2/2

Firmen zum Thema

Der NitroView Enterprise Security Manager (pdf) ist in McAfees Management-Plattform ePolicy Orchestrator (ePO) integriert. Die Einbindung dieser Lösung erlaube es Kunden, über eine einzige Management-Konsole eine vollständige Sicht auf Netzwerkinfrastruktur, spezifische Sicherheitsbedrohungen und Risiken sowie Schwachstellen in der gesamten IT-Umgebung zu haben.

Das um Netzwerkanalyse erweiterte SIEM-Produkt, das IBM als Appliance anbietet, die IBM QRadar Security-Intelligence-Plattform, überwacht Infrastruktur, Identitätsmanagement, Anwendungen und Daten. Die Appliance analysiert und korreliert Aktivitäten und Logs vieler Hard- und Softwarelösungen. Mit IBM-eigenen Securitylösungen ist eine enge Verzahnung gewährleistet. Diese sind neben dem Tivoli Endpoint Manager der IBM Security Identity Manager und IBM Security Access Manager auch IBM Guardium Database Security und IBM Security AppScan, sowie die Lösungen für Cloud Security und die Sicherheitsprodukte für die Sicherung der Infrastruktur.

Bildergalerie
Bildergalerie mit 5 Bildern

HPs SIEM-Lösung ist ArcSight Express 3.0. Die Appliance, die zwischen 500 und 15.000 EPS bewältigt, umfasst alle oben genannten Funktionen. Neu ist die Correlation Optimized Retention and Retrieval Engine (CORR-Engine) als Basisarchitektur, um dem Admin Einsicht in alle Abteilungen und in Big Data zu erlauben.

SIEM-Varianten

Die Symantec Compliance Control Suite 11 ist hingegen ein Framework, keine Appliance. Alle ihre An- und Aufgaben lassen sich mit zusätzlichen Daten aus weiteren Lösungen von Symantec oder anderen Anbietern ergänzen. In Version 11, die ab Sommer 2012 verfügbar sein soll, umfasst sie das neue Risk Manager Modul. Damit sollen IT-Verantwortliche Risiken besser einschätzen und für die Geschäftsleitung verständlich zusammenfassen können. Der Risk Manager übersetzt dabei technische Probleme in die Risiken für die Geschäftsprozesse. So hilft das Modul, Gegenmaßnahmen anhand der geschäftlichen statt ihrer isolierten technischen Bedeutung zu priorisieren. Dann versteht sogar Chef, wo's brennt.

Trend Micro Deep Security ist keine SIEM-Suite, sondern eine umfassende Schutzplattform für physische, virtuelle und webbasierte Server sowie virtuelle Desktops. Sie umfasst aber auch die Erkennung und Abwehr von Eindringlingen, eine Firewall, den Schutz von Webanwendungen, Integritätsüberwachung und Protokollprüfung. Keine der anderen Suiten legt besonderen Wert auf den Schutz und die Überwachung von virtualisierten Umgebungen, so dass hier Deep Security herausragt.

Unterm Strich

Die aktuelle Flut der Novitäten im SIEM-Bereich belegt die Attraktivität des Ansatzes für die Kunden, auch im Mittelstand. Der Interessent sollte allerdings nach zwei Kennzahlen Ausschau halten: 1) Kann das SIEM-Produkt auch Eindringlinge abwehren und zwar binnen kürzester Frist? 2) Reicht seine EPS-Kapazität für mein Netzwerk und dessen Schutzvorrichtungen aus? Die EPS-Kapazität hängt auch vom bereitgestellten RAM und den CPUs ab, denn eine SIEM-Lösung muss unbedingt skalierbar sein, etwa im Falle eines DDoS-Angriffs. Wer zudem Compliance und folglich Retention beachten muss, sollte auf genügend Storage-Kapazität achten.

Ist einer dieser beiden Faktoren nicht erfüllt (oder gar beide), könnte das SIEM-Produkt sowohl nutzlos als auch zu teuer werden. "Der Kunde", so versichert Stefan Stiehl von NetIQ, "zahlt aber nur für die EPS, die er lizenziert hat, nicht mehr." Siehe dazu das Preisbeispiel von NetIQ oben.

(ID:32353770)