Suchen

Netzwerk-Grundlagen – Angriffserkennung, Teil 5 Enterasys SIEM – Schnittstellen zu Fremdsystemen und Automated Response

| Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Das Security Information and Event Management (SIEM) lebt davon, Events und Flows von verschiedensten Systemen zu lesen. Wie wir im vorangegangenen Beitrag zur Angriffserkennung beleuchtet haben, werden Events korreliert, um vernünftige Aussagen zu formen (Offense). Dabei gilt es, Systeme und Anwendungen anderer Hersteller sowie des Kunden zu berücksichtigen.

Firmen zum Thema

Um automatisch auf Sicherheitsvorfälle reagieren zu können, muss ein SIEM möglichst viele Daten miteinander in Beziehung setzen.
Um automatisch auf Sicherheitsvorfälle reagieren zu können, muss ein SIEM möglichst viele Daten miteinander in Beziehung setzen.
( Archiv: Vogel Business Media )

Eines der Ziele, die das Enterasys SIEM verfolgt, ist dem Administrator bei verifizierten, schwerwiegenden Problemstellungen sinnvolle Informationen zu liefer. So stellt es dar, um was es sich bei diesem Vorfall genau handelt (Security Incident, Angriff, abfallende Verfügbarkeit eines Dienstes, ausgefallener Server, etc.), wie kritisch dieser ist, was dadurch beeinflusst wird und wer (welche Identität) dieses Problem verursacht hat.

Dabei offeriert das SIEM dem Administrator nicht nur die IP Adresse des Initiators, sondern auch weiterführende, identitätsbezogene Informationen. Hierzu gehören Username, Usergruppe, Switchport, Switch-IP-Adresse, Name des Switches, Policy, MAC Adresse, Authentifizierungsmethode und ob der Benutzer „nur“ kabelgebunden oder kabellos online ist oder mehrere Verbindungsmöglichkeiten nutzt (z.B. wired und wireless und zusätzlich VPN). Wie ein solches Asset aussieht, zeigt Bild 1 der Bildergalerie.

Bildergalerie

Der Administrator kann nun die integrierten Enterasys-Schnittstellen zu nutzen, um einen bestimmten Benutzer eine neue Policy zuzuweisen oder eine MAC-Adresse für eine bestimmte Zeit vom Netzwerk zu nehmen (siehe Abbildung 2 in der Bildergalerie). Dabei kann die Lösung spielend erweitert werden, so dass zum Beispiel externe Skripte aufgerufen werden, die als Parameter die IP Adresse eines Angreifers übergeben bekommen.

Interne Erweiterungsmöglichkeiten und Schnittstellen

Oftmals ist es so, dass in komplexen Kundenumgebungen exotische Applikationen nicht bekannter und kaum verbreiteter Hersteller implementiert wurden. Möglicherweise haben Kunden auch eigene Applikationen entworfen, die per Default von den gängigen SIEM-Lösungen nicht unterstützt werden.

Diese Quellen können sehr wertvolle Daten enthalten, die einen spürbaren Mehrwert während des Korrelationsprozesses darstellen. Deshalb bietet das Enterasys SIEM einen sehr einfachen und effektiven Weg an nicht bekannte Logfile-Formate zu lesen und in die Korrelation aufzunehmen.

Dabei muss der Administrator lediglich ein generisches / universales Device anlegen und definieren, wie die Events von diesem System interpretiert werden sollen, welches Protokoll zur Datenübertragung genutzt wird und was die Events von diesem System zu bedeuten haben. Die folgenden Screenshots zeigen, wie dieser Prozess mit Hilfe der Konfigurationsoberfläche innerhalb weniger Minuten realisiert werden kann.

SIEM - Sensordevices (Archiv: Vogel Business Media)

Schritt 1 – Sensor-Devices: Anlegen eines neuen generischen Devices, damit Logfiles von diesem System aufgenommen werden und entsprechend der Mustererkennung, die man selbst anpassen kann, gelesen und ausgewertet werden.

SIEM - QidMapping (Archiv: Vogel Business Media)

Schritt 2 – SIEM-QidMapping: Zuordnen des Events, so dass die SIEM „weiß“, in welche Kausalkette dieser Event gehört und wie dieser Event innerhalb des Korrelationsverlaufs zu behandeln ist.

Inhalt

  • Seite 1: Interne Erweiterungsmöglichkeiten und Schnittstellen
  • Seite 2: Respond and Remediate
  • Seite 3: Automatische Reaktion auf Sicherheitsprobleme

(ID:2048764)