Suchen

Netzwerk-Grundlagen – Angriffserkennung, Teil 4 SIEM zur Logdaten-Analyse und -Korrelation bei Sicherheitsvorfällen

Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Fast alle im Netzwerk organisierten Komponenten und Endgeräte liefern nützliche Daten, mit deren Hilfe man Angriffe erkennen und nachträglich analysieren kann. Um diese zu sammeln, empfiehlt sich ein zentrales System Information and Event Management (SIEM). In diesem Beitrag beschreiben wir die Möglichkeiten des SIEM am Beispiel der Enterasys-Lösung.

Firmen zum Thema

SIEM-Lösungen bieten etliche Möglichkeiten, von der Erkennung bis hin zur forensischen Analyse von Sicherheitsvorfällen.
SIEM-Lösungen bieten etliche Möglichkeiten, von der Erkennung bis hin zur forensischen Analyse von Sicherheitsvorfällen.
( Archiv: Vogel Business Media )

Unter SIEM (System Information and Event Management) oder SIM (System Information Management) versteht man die hohe Kunst, alle vorhandenen Daten aufzunehmen, zu korrelieren und daraus einen Rückschluss auf eine bestimmtes Ereignis zu treffen. Zur besseren Veranschaulichung können die Ist-Situation und die Soll-Situation (bezogen auf Security Information Management) vieler Unternehmen herangezogen werden:

Ist-Situation: Eine Vielzahl von unterschiedlichen Systemen bietet Dienste im Netzwerk. Die entstehenden Log-Nachrichten werden in unterschiedlichen Formaten auf unterschiedlichen Systemen gehalten und können sensible, wichtige Informationen enthalten.

Bildergalerie

Soll-Situation: Eine Vielzahl von bestehenden Systemen offeriert Dienste im Netzwerk. Die entstehenden, unterschiedlich formatierten Log-Messages werden zentral ausgewertet. Die wichtigsten Daten werden in einem High Level Approach dem entsprechenden Mitarbeiter aufbereitet. Aus verschiedenen Quellen werden in Echtzeit sinnvolle Schlüsse gezogen (Korrelation). Im Vordergrund steht die Information und nicht die Lognachricht.

Die SIEM-Technologie

Technologisch wird die eben beschriebene SOLL-Situation dadurch erreicht, dass alle Events in einer Datenbank gespeichert und korreliert werden. Ein Event ist eine einzelne Nachricht eines Systems innerhalb der IT Infrastruktur; dies kann eine Lognachricht eines Syslog Servers sein, ein Alarm eines Intrusion Detection Systems oder ein Flow Record eines Layer 2 / Layer 3 Systems sein.

Aus der Korrelation wird ein neuer Über-Event generiert – der so genannte Offense. Ein Offense ist ein Alarm, der aus verschiedenen Events generiert wurde. Je mehr Events zu einem Offense zusammengefasst werden, desto höher ist die Data Reduction Rate.

Das SIEM kann dabei Log-Nachrichten oder auch Flow-Daten von Netzwerkgeräten aufnehmen und diese in Relation zueinander setzen. Man könnte SIEM-Systeme als technische, virtuelle CIOs im Netzwerk bezeichnen, die alle erdenklichen Informationen aufnehmen und dem Board of Directors (den Administratoren) dann Anweisungen erteilen.

Seite 2: Enterasys Security Information and Event Management

Enterasys Security Information and Event Management

Ein Security Information und Event Management System lebt also davon, Events und Flows von verschiedensten Systemen unterschiedlicher Hersteller zu lesen. Diese Events werden wiederum genutzt, um sie durch das Korrelieren mit anderen Events (aus anderen Systemen) zu einer vernünftigen Aussage zu formen (Offense).

Basierend auf den Offenses im Netzwerk ist es mithilfe der Secure-Networks-Strategie von Enterasys möglich, bestimmte Aktionen anzustoßen. Grundlage hierfür ist die Möglichkeit, die vorhandenen Offenses einfach und klar strukturiert darzustellen.

Das Enterasys Security Information & Event Management (SIEM) ist auch für sehr große Infrastrukturen ausgelegt und somit mandantenfähig. Jeder Benutzer kann dabei selbst definieren, welche Informationen er zu Beginn seiner Session sehen möchte.

Das Enterasys SIEM ist wie eine Art Zwiebel aufgebaut. An der obersten Schicht befindet sich das Ergebnis, das Endresultat, der gezogene Schluss basierend auf verschiedenen korrelierten Events (Offense). Der Anwender ist jedoch in der Lage sich bis zur Kerninformation vor zu arbeiten, indem er (im übertragenen Sinne) Schale für Schale von der Zwiebel entfernt.

In die Offense-Bewertung fließen beim Enterasys SIEM auch die Ergebnisse von Vulnerability-Assessment-Systemen (Sicherheitslücken-Scannern) mit ein. In Kombination mit den in dieser Serie aufgezeigten Systeme (HIDS, NIDS, SIEM, etc.) hat man die Möglichkeit, auf vielfältige Gefahren mit der entsprechenden Aktion zu reagieren.

Gefahren können dabei auch aktiv aus dem Netzwerk fern gehalten werden. Ein wichtiger Bestandteil dieser Secure-Network-Strategie ist es, dass dabei eine Vielzahl von Fremdherstellern einbezogen werden können. Wie das funktioniert, beleuchten wir im fünften und letzten Teil der Reihe „Angriffserkennung“.

Über den Autor

(Archiv: Vogel Business Media)

Markus Nispel ist als Vice President Solutions Architecture zuständig für die strategische Produkt- und Lösungsentwicklung bei Enterasys. Sein Fokus liegt auf dem Ausbau der Sicherheits- und dort insbesondere der Network-Access-Control-Lösung (NAC) von Enterasys; hier zeichnet er als Architekt verantwortlich. Diese Position knüpft an seine vorherige Tätigkeit bei Enterasys als Director Technology Marketing an. Bereits hier war er intensiv in die weltweite Produktentwicklung und -strategie von Enterasys im Office des CTO involviert. Darüber hinaus berät er Key Accounts in Zentraleuropa, Asien und dem mittleren Osten bei strategischen Netzwerkentscheidungen und verantwortet die technischen Integrationsprojekte zwischen Enterasys und der Siemens Enterprise Communications Group.

In Zentraleuropa und Asien verantwortet er zudem das Security Business Development und steht mit einem Team an Security Spezialisten für die Implementierung von Security Projekten mit höchsten Anforderungen bereit.

Vor seiner Tätigkeit für Enterasys Networks war Markus Nispel als Systems Engineer bei Cabletron Systems aktiv. Hier führte er 1998 die ersten Layer 3 Switches für den europäischen Kundenstamm ein.

Markus Nispel studierte an der Fachhochschule der Deutschen Telekom in Dieburg und schloss sein Studium 1996 als Dipl.-Ing. Nachrichtentechnik erfolgreich ab. Erste Berufserfahrung sammelte er unter anderem bei der E-Plus Mobilfunk GmbH innerhalb der Netzwerkoptimierungsgruppe für DCS Mobile Networks.

(ID:2048700)