Strategisches Log-Management

Erst die Korrelation von Event-Logs dient der Netzwerk-Sicherheit

27.03.2009 | Autor / Redakteur: Gisela Knabl / Stephan Augsten

Event-Logging zahlt sich erst dann aus, wenn alle wichtigen Mitarbeiter und Ressourcen auf eine zentrale Plattform zugreifen können.
Event-Logging zahlt sich erst dann aus, wenn alle wichtigen Mitarbeiter und Ressourcen auf eine zentrale Plattform zugreifen können.

Log-Daten sind in Netzwerken die wesentliche Informationsquelle, um Hard- und Software-Probleme sowie Ressourcen-Engpässe zu lokalisieren oder um Risiken und Angriffe insbesondere im Vorfeld zu identifizieren. Jede IT-Komponente von Router, Firewall und Datenbank über das Betriebssystem bis hin zur Anwendung liefert Log-Files zu jeder Aktion. Einen wirklichen Mehrwert bieten die Daten aber erst dann, wenn sie miteinander in Beziehung gebracht werden.

Eine korrelierende Analyse von Log-Daten und gesetzten Richtlinien erlaubt es, anhand von Mustern drohende Probleme zu erkennen. Diesen Vorteil gilt es zu nutzen – das heißt, aus den Roh-Informationen der Log-Files schnell strategisch verwertbare Erkenntnisse zu gewinnen.

Schritt eins dazu ist die lückenlose Sammlung und Normierung aller Log-Daten. Nur dann sind Zusammenhänge auch präzise erkennbar. Im zweiten Schritt gilt es, Daten für beschleunigte Suchen und Basisanalysen zu indexieren, um zeitnah Maßnahmen gegen drohende Probleme ergreifen zu können. Angesichts der schieren Massen an Log-Daten – allein eine E-Mail erzeugt etwa vier Log-Files – ist dazu ein hoher Automatisierungsgrad mit ausgefeilten Algorithmen erforderlich.

Im dritten Schritt folgt eine integrierte Auswertung der Log-Daten anhand spezifischer Unternehmensziele. Während die einen Unternehmen vordergründig auf die Konformität mit gesetzlichen und industriellen Vorgaben (Compliance) abzielen, stehen bei anderen eher Sicherheitsaspekte oder hohe Anforderungen an die IT-Performance mit schneller Fehleridentifizierung im Fokus.

Strategisches Log-Management gewinnt an Bedeutung

Die meisten Unternehmen sammeln die Log-Daten einzelner Netzkomponenten. Bei Problemen können sie in diesen Log-Silos zumindest manuell nach Fehlerquellen suchen – als letzte Maßnahme, sofern keine andere Lösung gefunden wurde.

Inwieweit Unternehmen bereits dazu übergegangen sind, aus ihrem brachliegenden Datengrab an Log-Files geschäftliche Vorteile zu ziehen, untersucht regelmäßig das SANS-Institut. Diese Organisation ist die weltweit größte für Trainings und Zertifizierungen im Bereich Informationssicherheit.

Der 2008 gemeinsam mit dem Log-Management-Spezialisten LogLogic herausgegebene Markt-Report zeigt, dass der Anteil der Unternehmen mit Log-Servern kontinuierlich von 38 Prozent in 2006 auf 75 Prozent in 2008 gestiegen ist. 80 Prozent der Unternehmen sammeln Log-Daten, 67 Prozent archivieren sie.

Seite 2: Log-Management gehört laut SANS-Studie zu Best Practices

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2020537 / Monitoring und KI)