Next Generation Firewalls und Operational Intelligence

Das gesamte Netzwerk im Blick

Seite: 3/3

Firmen zum Thema

Apps sorgen für mehr Übersicht

Splunk bietet viele Erweiterungspakete bzw. Apps, unter anderem zur Weiterverarbeitung und Darstellung von Logdaten. Darunter gibt es auch eine App speziell für die Palo Alto Firewalls, mit der die Feld-Extraktionen nicht selbst definiert werden müssen.

Alle Anwendungen und Nutzer-Aktivitäten können so über das gesamte Netzwerk sowie die Sicherheitsinfrastruktur korreliert werden – in Echtzeit und aus historischer Perspektive. Damit entfällt die Ereignisanalyse, ein Prozess, der sonst Tage gedauert hat und von manueller sowie fehleranfälliger Datengewinnung gekennzeichnet war.

Die App verwendet kontextuell angereicherte Informationen zur Netzwerksicherheit (inkl. zu APTs von WildFire), eine für Transparenz zu sorgen. Während bei herkömmlichen Netzwerksicherheitslösungen die Daten auf Port, Protokoll und IP-Adresse beschränkt sind, stellt Palo Alto Networks aussagekräftigere Informationen wie Applikationen, Anwender und Schadinhalte innerhalb der Splunk-Software bereit.

Zusammenarbeit mit anderen Systemen

Sowohl Palo Alto Networks als auch Splunk bieten offene Schnittstellen zur Kommunikation und Interaktion mit anderen Systemen. Ein möglicher Anwendungsfall wäre die Übertragung von Login-Informationen an die Firewall, um benutzerbezogene Freischaltungen nutzen zu können.

Beim Einsatz von Windows kann ein Agent die entsprechenden Daten liefern. Bei anderen Systemen gelingt dies nur, wenn ein zentraler Authentisierungsdienst via LDAP eingesetzt wird. Wenn keine zentrale Authentisierung eingesetzt wird, lassen sich die Logs zentral sammeln und über Splunk automatisiert durchsuchen, um die Login-Namen anschließend an die Firewall zu übertragen.

Ein weiteres Anwendungsszenario ist die Korrelation zwischen von der Firewall identifizierten Angriffen und im Netzwerk bekannten Sicherheitslücken. Die Informationen von einem Schwachstellen-Scanner werden dabei in Splunk importiert und über IP-Adressen und die CVE-Nummer mit den Firewall-Logs in Beziehung gebracht.

So sieht man, ob ein von der Firewall registrierter Angriff auf dem Zielsystem erfolgreich sein würde. Der Grundstein zu einem einfachen SIEM-System ist damit gelegt.

(ID:42317400)