Netzwerk-Grundlagen – Angriffserkennung, Teil 4

SIEM zur Logdaten-Analyse und -Korrelation bei Sicherheitsvorfällen

13.12.2010 | Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

SIEM-Lösungen bieten etliche Möglichkeiten, von der Erkennung bis hin zur forensischen Analyse von Sicherheitsvorfällen.
SIEM-Lösungen bieten etliche Möglichkeiten, von der Erkennung bis hin zur forensischen Analyse von Sicherheitsvorfällen.

Fast alle im Netzwerk organisierten Komponenten und Endgeräte liefern nützliche Daten, mit deren Hilfe man Angriffe erkennen und nachträglich analysieren kann. Um diese zu sammeln, empfiehlt sich ein zentrales System Information and Event Management (SIEM). In diesem Beitrag beschreiben wir die Möglichkeiten des SIEM am Beispiel der Enterasys-Lösung.

Unter SIEM (System Information and Event Management) oder SIM (System Information Management) versteht man die hohe Kunst, alle vorhandenen Daten aufzunehmen, zu korrelieren und daraus einen Rückschluss auf eine bestimmtes Ereignis zu treffen. Zur besseren Veranschaulichung können die Ist-Situation und die Soll-Situation (bezogen auf Security Information Management) vieler Unternehmen herangezogen werden:

Ist-Situation: Eine Vielzahl von unterschiedlichen Systemen bietet Dienste im Netzwerk. Die entstehenden Log-Nachrichten werden in unterschiedlichen Formaten auf unterschiedlichen Systemen gehalten und können sensible, wichtige Informationen enthalten.

Soll-Situation: Eine Vielzahl von bestehenden Systemen offeriert Dienste im Netzwerk. Die entstehenden, unterschiedlich formatierten Log-Messages werden zentral ausgewertet. Die wichtigsten Daten werden in einem High Level Approach dem entsprechenden Mitarbeiter aufbereitet. Aus verschiedenen Quellen werden in Echtzeit sinnvolle Schlüsse gezogen (Korrelation). Im Vordergrund steht die Information und nicht die Lognachricht.

Die SIEM-Technologie

Technologisch wird die eben beschriebene SOLL-Situation dadurch erreicht, dass alle Events in einer Datenbank gespeichert und korreliert werden. Ein Event ist eine einzelne Nachricht eines Systems innerhalb der IT Infrastruktur; dies kann eine Lognachricht eines Syslog Servers sein, ein Alarm eines Intrusion Detection Systems oder ein Flow Record eines Layer 2 / Layer 3 Systems sein.

Aus der Korrelation wird ein neuer Über-Event generiert – der so genannte Offense. Ein Offense ist ein Alarm, der aus verschiedenen Events generiert wurde. Je mehr Events zu einem Offense zusammengefasst werden, desto höher ist die Data Reduction Rate.

Das SIEM kann dabei Log-Nachrichten oder auch Flow-Daten von Netzwerkgeräten aufnehmen und diese in Relation zueinander setzen. Man könnte SIEM-Systeme als technische, virtuelle CIOs im Netzwerk bezeichnen, die alle erdenklichen Informationen aufnehmen und dem Board of Directors (den Administratoren) dann Anweisungen erteilen.

Seite 2: Enterasys Security Information and Event Management

 

Was bringt Enterasys Security Management ...

 

Über Enterasys Networks

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2048700 / Sicherheitsvorfälle)