Suchen

Im Test: Stonegate Intrusion Prevention System von Stonesoft

Netzwerk-Angriffe mit IPS-Appliance loggen, analysieren und abwehren

Seite: 5/6

Log-Analyse und Alerting

Generell werden erkannte Angriffe entsprechend ihres Risikopotentials in zehn Stufen unterteilt. Beim Einloggen ins Stonegate Management Center macht eine Übersicht direkt auf die gerade aktiven Meldungen aufmerksam. Eine Liste zeigt dem Administrator, wie viele Alerts es mit den Schweregraden eins bis sechs, sieben und acht beziehungsweise neun und zehn gab.

Klickt der Administrator auf den jeweiligen Eintrag, so öffnet sich eine tabellarische Auflistung der dazugehörigen Events, der Klick auf ein einzelnes Ereignis liefert detaillierte Informationen. Somit braucht ein Administrator nach dem Login nur zwei Klicks, um die Einzelheiten des wichtigsten gerade laufenden Angriffs einzusehen. Schneller geht es kaum, folglich hinterließ dieser Punkt bei uns im Test einen sehr positiven Eindruck.

Bildergalerie

In der Log-Übersicht kann der IT-Verantwortliche darüber hinaus alle vom System erfassten Ereignisse einsehen. Hier finden sich Informationen wie Zeitpunkt und Ursache des Loggings, Quell- und Zieladresse (IP- und MAC-Adressen), vorgenommener Aktion (Terminate, Permit, etc.), Scan-IP-Target, Dienst, Protokoll sowie der Nummer der Regel, die die Meldung ausgelöst hat.

Durch einen Doppelklick auf einen Eintrag landet der Verantwortliche wiederum in der Detailübersicht, die Quell- und Zielrechner (auch mit aufgelösten Namen), die vom IPS durchgeführte Aktion, eine Zusammenfassung mit kurzer Erklärung und einen HEX-Auszug der übertragenen Daten enthält. Bei der Zusammenfassung findet sich auch ein Verweis auf die zum Eintrag gehörigen CVE-Definition (Common Vulnerabilities and Exposures.

Filter der Log-Übersicht

Möchte man wissen, wie welche Vorkommnisse zusammenhängen, lassen sich verknüpfte Einträge in der Log-Übersicht mit Filtern sichtbar machen. So ist es beispielsweise möglich, die Quell-IP-Adresse eines Angriffs mit der Maus in das Filterfenster zu ziehen und damit nur die Angriffe von dieser Adresse anzuzeigen. Gleiches funktioniert für Angriffe über einen bestimmten Dienst, beispielsweise für einen Telnet-Eintrag.

Unter der Log-Liste befindet sich eine Zeitleiste, auf der die Verwaltungssoftware die Zahl der zum jeweiligen Zeitraum vorgenommenen Einträge visualisiert. Hier kann der Administrator ein Zeitintervall markieren, das Managementtool erzeugt dann eine Liste mit den dazugehörigen Daten. Alternativ ist es auch möglich, die Ausgabe durch „klassische“ Filter mit Angabe von Datum und Uhrzeit zu steuern.

Ein Icon am rechten Fensterrand weist auf einen Alarm ehin, den noch niemand bestätigt hat. Klickt er auf dieses Icon, so öffnet sich der Alarm-Browser, der nur unbestätigte Alarmmeldungen beliebigen Schweregrads enthält, damit der IT-Spezialist zeitnah reagieren kann. Die Lösung eignet sich also in gewisser Weise auch zur Echtzeitüberwachung.

Zusätzlich zur Log-Ansicht mit ihren leistungsfähigen Filterregeln und Detailinformationen bietet das System noch so genannte Übersichten an. Diese umfassen grafische Darstellungen mit Quell- und Ziel-IP-Adressen, angegriffenen Ports und so weiter. Die Übersichten lassen sich entsprechend der Anforderungen der Benutzer frei gestalten. Detailliertere Informationen erhalten die Anwender, wenn sie auf Einträge in den Grafiken doppelklicken. So führt ein Doppelklick auf die am meisten vorkommende Angreifer IP-Adresse zum Beispiel auf einer Statistikseite, die die fünf wichtigsten Angreiferadressen und die Zahl der Angriffe nennt.

Seite 6: Reporting und Auditing

(ID:2042706)