Suchen

Netzwerk-Grundlagen – Angriffserkennung, Teil 4 SIEM zur Logdaten-Analyse und -Korrelation bei Sicherheitsvorfällen

| Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Fast alle im Netzwerk organisierten Komponenten und Endgeräte liefern nützliche Daten, mit deren Hilfe man Angriffe erkennen und nachträglich analysieren kann. Um diese zu sammeln, empfiehlt sich ein zentrales System Information and Event Management (SIEM). In diesem Beitrag beschreiben wir die Möglichkeiten des SIEM am Beispiel der Enterasys-Lösung.

Firmen zum Thema

SIEM-Lösungen bieten etliche Möglichkeiten, von der Erkennung bis hin zur forensischen Analyse von Sicherheitsvorfällen.
SIEM-Lösungen bieten etliche Möglichkeiten, von der Erkennung bis hin zur forensischen Analyse von Sicherheitsvorfällen.
( Archiv: Vogel Business Media )

Unter SIEM (System Information and Event Management) oder SIM (System Information Management) versteht man die hohe Kunst, alle vorhandenen Daten aufzunehmen, zu korrelieren und daraus einen Rückschluss auf eine bestimmtes Ereignis zu treffen. Zur besseren Veranschaulichung können die Ist-Situation und die Soll-Situation (bezogen auf Security Information Management) vieler Unternehmen herangezogen werden:

Ist-Situation: Eine Vielzahl von unterschiedlichen Systemen bietet Dienste im Netzwerk. Die entstehenden Log-Nachrichten werden in unterschiedlichen Formaten auf unterschiedlichen Systemen gehalten und können sensible, wichtige Informationen enthalten.

Bildergalerie

Soll-Situation: Eine Vielzahl von bestehenden Systemen offeriert Dienste im Netzwerk. Die entstehenden, unterschiedlich formatierten Log-Messages werden zentral ausgewertet. Die wichtigsten Daten werden in einem High Level Approach dem entsprechenden Mitarbeiter aufbereitet. Aus verschiedenen Quellen werden in Echtzeit sinnvolle Schlüsse gezogen (Korrelation). Im Vordergrund steht die Information und nicht die Lognachricht.

Die SIEM-Technologie

Technologisch wird die eben beschriebene SOLL-Situation dadurch erreicht, dass alle Events in einer Datenbank gespeichert und korreliert werden. Ein Event ist eine einzelne Nachricht eines Systems innerhalb der IT Infrastruktur; dies kann eine Lognachricht eines Syslog Servers sein, ein Alarm eines Intrusion Detection Systems oder ein Flow Record eines Layer 2 / Layer 3 Systems sein.

Aus der Korrelation wird ein neuer Über-Event generiert – der so genannte Offense. Ein Offense ist ein Alarm, der aus verschiedenen Events generiert wurde. Je mehr Events zu einem Offense zusammengefasst werden, desto höher ist die Data Reduction Rate.

Das SIEM kann dabei Log-Nachrichten oder auch Flow-Daten von Netzwerkgeräten aufnehmen und diese in Relation zueinander setzen. Man könnte SIEM-Systeme als technische, virtuelle CIOs im Netzwerk bezeichnen, die alle erdenklichen Informationen aufnehmen und dem Board of Directors (den Administratoren) dann Anweisungen erteilen.

Seite 2: Enterasys Security Information and Event Management

(ID:2048700)