Netzwerk-Grundlagen – Angriffserkennung, Teil 5

Enterasys SIEM – Schnittstellen zu Fremdsystemen und Automated Response

14.12.2010 | Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Um automatisch auf Sicherheitsvorfälle reagieren zu können, muss ein SIEM möglichst viele Daten miteinander in Beziehung setzen.
Um automatisch auf Sicherheitsvorfälle reagieren zu können, muss ein SIEM möglichst viele Daten miteinander in Beziehung setzen.

Das Security Information and Event Management (SIEM) lebt davon, Events und Flows von verschiedensten Systemen zu lesen. Wie wir im vorangegangenen Beitrag zur Angriffserkennung beleuchtet haben, werden Events korreliert, um vernünftige Aussagen zu formen (Offense). Dabei gilt es, Systeme und Anwendungen anderer Hersteller sowie des Kunden zu berücksichtigen.

Eines der Ziele, die das Enterasys SIEM verfolgt, ist dem Administrator bei verifizierten, schwerwiegenden Problemstellungen sinnvolle Informationen zu liefer. So stellt es dar, um was es sich bei diesem Vorfall genau handelt (Security Incident, Angriff, abfallende Verfügbarkeit eines Dienstes, ausgefallener Server, etc.), wie kritisch dieser ist, was dadurch beeinflusst wird und wer (welche Identität) dieses Problem verursacht hat.

Dabei offeriert das SIEM dem Administrator nicht nur die IP Adresse des Initiators, sondern auch weiterführende, identitätsbezogene Informationen. Hierzu gehören Username, Usergruppe, Switchport, Switch-IP-Adresse, Name des Switches, Policy, MAC Adresse, Authentifizierungsmethode und ob der Benutzer „nur“ kabelgebunden oder kabellos online ist oder mehrere Verbindungsmöglichkeiten nutzt (z.B. wired und wireless und zusätzlich VPN). Wie ein solches Asset aussieht, zeigt Bild 1 der Bildergalerie.

Der Administrator kann nun die integrierten Enterasys-Schnittstellen zu nutzen, um einen bestimmten Benutzer eine neue Policy zuzuweisen oder eine MAC-Adresse für eine bestimmte Zeit vom Netzwerk zu nehmen (siehe Abbildung 2 in der Bildergalerie). Dabei kann die Lösung spielend erweitert werden, so dass zum Beispiel externe Skripte aufgerufen werden, die als Parameter die IP Adresse eines Angreifers übergeben bekommen.

Interne Erweiterungsmöglichkeiten und Schnittstellen

Oftmals ist es so, dass in komplexen Kundenumgebungen exotische Applikationen nicht bekannter und kaum verbreiteter Hersteller implementiert wurden. Möglicherweise haben Kunden auch eigene Applikationen entworfen, die per Default von den gängigen SIEM-Lösungen nicht unterstützt werden.

Diese Quellen können sehr wertvolle Daten enthalten, die einen spürbaren Mehrwert während des Korrelationsprozesses darstellen. Deshalb bietet das Enterasys SIEM einen sehr einfachen und effektiven Weg an nicht bekannte Logfile-Formate zu lesen und in die Korrelation aufzunehmen.

Dabei muss der Administrator lediglich ein generisches / universales Device anlegen und definieren, wie die Events von diesem System interpretiert werden sollen, welches Protokoll zur Datenübertragung genutzt wird und was die Events von diesem System zu bedeuten haben. Die folgenden Screenshots zeigen, wie dieser Prozess mit Hilfe der Konfigurationsoberfläche innerhalb weniger Minuten realisiert werden kann.

SIEM - Sensordevices
SIEM - Sensordevices

Schritt 1 – Sensor-Devices: Anlegen eines neuen generischen Devices, damit Logfiles von diesem System aufgenommen werden und entsprechend der Mustererkennung, die man selbst anpassen kann, gelesen und ausgewertet werden.

SIEM - QidMapping
SIEM - QidMapping

Schritt 2 – SIEM-QidMapping: Zuordnen des Events, so dass die SIEM „weiß“, in welche Kausalkette dieser Event gehört und wie dieser Event innerhalb des Korrelationsverlaufs zu behandeln ist.

Inhalt

 

Über Enterasys Networks

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2048764 / Sicherheitsvorfälle)