Suchen

Netzwerk-Grundlagen – Angriffserkennung, Teil 4

SIEM zur Logdaten-Analyse und -Korrelation bei Sicherheitsvorfällen

Seite: 2/2

Firmen zum Thema

Enterasys Security Information and Event Management

Ein Security Information und Event Management System lebt also davon, Events und Flows von verschiedensten Systemen unterschiedlicher Hersteller zu lesen. Diese Events werden wiederum genutzt, um sie durch das Korrelieren mit anderen Events (aus anderen Systemen) zu einer vernünftigen Aussage zu formen (Offense).

Basierend auf den Offenses im Netzwerk ist es mithilfe der Secure-Networks-Strategie von Enterasys möglich, bestimmte Aktionen anzustoßen. Grundlage hierfür ist die Möglichkeit, die vorhandenen Offenses einfach und klar strukturiert darzustellen.

Bildergalerie

Das Enterasys Security Information & Event Management (SIEM) ist auch für sehr große Infrastrukturen ausgelegt und somit mandantenfähig. Jeder Benutzer kann dabei selbst definieren, welche Informationen er zu Beginn seiner Session sehen möchte.

Das Enterasys SIEM ist wie eine Art Zwiebel aufgebaut. An der obersten Schicht befindet sich das Ergebnis, das Endresultat, der gezogene Schluss basierend auf verschiedenen korrelierten Events (Offense). Der Anwender ist jedoch in der Lage sich bis zur Kerninformation vor zu arbeiten, indem er (im übertragenen Sinne) Schale für Schale von der Zwiebel entfernt.

In die Offense-Bewertung fließen beim Enterasys SIEM auch die Ergebnisse von Vulnerability-Assessment-Systemen (Sicherheitslücken-Scannern) mit ein. In Kombination mit den in dieser Serie aufgezeigten Systeme (HIDS, NIDS, SIEM, etc.) hat man die Möglichkeit, auf vielfältige Gefahren mit der entsprechenden Aktion zu reagieren.

Gefahren können dabei auch aktiv aus dem Netzwerk fern gehalten werden. Ein wichtiger Bestandteil dieser Secure-Network-Strategie ist es, dass dabei eine Vielzahl von Fremdherstellern einbezogen werden können. Wie das funktioniert, beleuchten wir im fünften und letzten Teil der Reihe „Angriffserkennung“.

Über den Autor

(Archiv: Vogel Business Media)

Markus Nispel ist als Vice President Solutions Architecture zuständig für die strategische Produkt- und Lösungsentwicklung bei Enterasys. Sein Fokus liegt auf dem Ausbau der Sicherheits- und dort insbesondere der Network-Access-Control-Lösung (NAC) von Enterasys; hier zeichnet er als Architekt verantwortlich. Diese Position knüpft an seine vorherige Tätigkeit bei Enterasys als Director Technology Marketing an. Bereits hier war er intensiv in die weltweite Produktentwicklung und -strategie von Enterasys im Office des CTO involviert. Darüber hinaus berät er Key Accounts in Zentraleuropa, Asien und dem mittleren Osten bei strategischen Netzwerkentscheidungen und verantwortet die technischen Integrationsprojekte zwischen Enterasys und der Siemens Enterprise Communications Group.

In Zentraleuropa und Asien verantwortet er zudem das Security Business Development und steht mit einem Team an Security Spezialisten für die Implementierung von Security Projekten mit höchsten Anforderungen bereit.

Vor seiner Tätigkeit für Enterasys Networks war Markus Nispel als Systems Engineer bei Cabletron Systems aktiv. Hier führte er 1998 die ersten Layer 3 Switches für den europäischen Kundenstamm ein.

Markus Nispel studierte an der Fachhochschule der Deutschen Telekom in Dieburg und schloss sein Studium 1996 als Dipl.-Ing. Nachrichtentechnik erfolgreich ab. Erste Berufserfahrung sammelte er unter anderem bei der E-Plus Mobilfunk GmbH innerhalb der Netzwerkoptimierungsgruppe für DCS Mobile Networks.

(ID:2048700)