SIEM-Systeme im Big-Data-Zeitalter

SQL versus NoSQL bei SIEM

| Redakteur: Peter Schmitz

Mit dem Einsatz von NoSQL ist SIEM im Zeitalter von Big Data angekommen. Dies tut auch dringend Not, denn die Analyse von Daten wird immer mehr zur Herausforderung.
Mit dem Einsatz von NoSQL ist SIEM im Zeitalter von Big Data angekommen. Dies tut auch dringend Not, denn die Analyse von Daten wird immer mehr zur Herausforderung. (Bild: Pixabay / CC0)

Das Management von Sicherheits­informationen und -ereignissen ist ein wesentlicher Bestandteil der IT. SIEM-Lösungen ermöglichen es den Sicherheitsverantwortlichen, alle verdächtigen Aktivitäten zu überwachen. Dazu gehören Analysen des Benutzer- und Entity-Verhaltens (UEBA), Sicherheits-Orchestrierung und die Bereitstellung automatisierter Reaktionen (SOAR), Aufdeckung von Betrug, forensische Hilfe sowie Gegenmaßnahmen gegen interne oder externe Angriffe.

Die Aktivitäten eines SIEM-Systems erfordern einen hohen Aufwand, bedingt durch das schnell wachsende Datenaufkommen. Denn eine SIEM-Lösung muss eine große Menge an Logfiles speichern, damit das Sicherheitspersonal diese analysieren kann. Die zunehmende Komplexität und Leistungsfähigkeit von Unternehmensnetzwerken erfordert, dass SIEM-Systeme auch mit den Entwicklungen im Bereich der Big Data Analyse Schritt halten müssen. Die herkömmliche Methodik von SIEM-Systemen besteht darin, alle relevanten Daten aus verschiedenen Quellen zu korrelieren, Abweichungen von der Norm zu identifizieren und geeignete Maßnahmen zu ergreifen und jede Verletzung der Sicherheit zu melden.

Aus diesem Grund zeichnet sich ein Paradigmenwechsel ab: Traditionelle SIEM-Lösungen speichern die Daten nach wie vor in relationalen (meist SQL-basierten) Datenbanken, was zu gravierenden Performance-Problemen und hohen Lizenzkosten führt. Insbesondere dann, wenn große Datenmengen analysiert und gespeichert werden müssen. Zeit ist ein wesentlicher Faktor, um sicherzustellen, dass ein SIEM einen zuverlässigen Beitrag zur Sicherheit im Unternehmen leistet. Was also zählt, ist die Geschwindigkeit der Datenbereitstellung und -verarbeitung. Der Sicherheitsexperte, der mit dem SIEM zusammenarbeitet, muss so früh wie möglich über Daten zu sicherheitsrelevanten Ereignissen verfügen. Oftmals sind es nur wenige Minuten, die darüber entscheiden, ob die Gegenmaßnahme gegen einen Angriff erfolgreich ist oder nicht.

Grundlagen der SIEM-Systeme

Security-Alerting und -Reporting im Netzwerk

Grundlagen der SIEM-Systeme

12.06.18 - Security Information und Event Management-Systeme (SIEM) sind aus heutigen Unternehmensumgebungen nicht wegzudenken. Sie bieten eine Echtzeitanalyse der im Netz auftretenden Sicherheitsalarme, erstellen Berichte und helfen beim Einhalten behördlicher Vorschriften. Dieser Beitrag geht auf die wesentlichen Funktionen und die wichtigsten Anbieter von SIEM-Lösungen ein. lesen

Die neue Generation von NoSQL-basierten SIEM Lösungen, kann nicht nur bestehende Lücken ergänzen, und zusätzlich wesentliche spezifische Funktionen bieten, sondern auch zusätzlich riesige Datenmengen für eine viel größere Vielfalt von Quellen aufnehmen. Die Logs werden programmatisch vereinheitlicht, angereichert und in Echtzeit verarbeitet. Damit stehen diese für Analysen oder Berichte sofort zur Verfügung, um Organisationen sowohl vor externen als auch internen Cyber-Attacken zu schützen. Die SIEMs der neuen Generation bieten nicht nur eine sehr schnelle Bereitstellung von Berichten, inklusive neuartiger Analyse-Modell zur Untersuchung von Online-Daten, sondern ermöglicht auch Ereignisse in der Vergangenheit von archivierten Daten zu erkennen. Somit wird ein Rundumblick auf aktuelle und vergangene Aktivitäten geboten.

Im Folgenden werden die technischen Unterschiede zwischen SQL- und NoSQL-basierten SIEMs sowie deren Vor- und Nachteile dargestellt.

SQL versus NoSQL

Die sogenannten relationalen Datenbanken weisen eine lange Geschichte auf. Konzeptionell gehen sie auf das Modell des Mathematikers Edgar F. Codd in den frühen 70er Jahren des letzten Jahrhunderts zurück. Eine relationale Datenbank speichert die Daten entlang von Tabellen, im Mathematik-Jargon als „Relation“ bezeichnet. Um Informationen in den Datenbanken aufzufinden, zu ergänzen oder zu verändern, kommt in aller Regel die Sprache SQL („Structured Query Language“) zum Einsatz. Die SQL-Datenbanksysteme haben sich in vielen Anwendungen bewährt, stoßen im Zeitalter von Big Data aber an ihre Grenzen. Dies liegt vor allem daran, dass sie strukturierte Daten voraussetzen. Unstrukturierte Daten, zum Beispiel Bilddateien, können von ihnen nicht verarbeitet werden. Bei großen Datenmengen treten zudem Performance-Probleme auf, die die Datenverarbeitung erheblich verlangsamen.

Den Gegenentwurf hierzu bieten die sogenannten nicht-relationalen Datenbanken. Der Zugriff auf die Daten erfolgt per NoSQL („Not only SQL“). Ein wichtiger Vorteil von nicht-relationalen Datenbanken liegt zum einen in ihrer hohen Integrationsfähigkeit. So können verschiedene Datentypen in einer NoSQL-Datenbank vereint werden (unstrukturiert, semi-strukturiert, strukturiert), während relationale Datenbanken nur strukturierte Daten zulassen. Dies ist insbesondere von Vorteil, wenn die Daten aus verschiedenen Quellen erhoben werden und in einer Datenbank zusammengeführt werden sollen. Darüber hinaus bietet die nicht-relationale Datenverarbeitung einen Vorteil in punkto Speicherplatz, denn die Relationen beziehungsweise Tabellen benötigen zusätzlichen Platz. Schließlich sind nicht-relationale Datenbanken nicht nur in die Vertikale („Scale-Up“), sondern auch in die Horizontale skalierbar („Scale Out“). Während als vertikale Skalierung die Aufrüstung eines einzelnen Servers mit besserer Hardware bezeichnet wird, bezeichnet horizontale Skalierung die Erweiterung des Gesamtsystems durch den Anschluss weiterer Server und Systeme.

Was leisten SIEM-Systeme in der Praxis?

Anforderungen ans Security Information and Event Management, Teil 1

Was leisten SIEM-Systeme in der Praxis?

13.02.13 - Sicherheitsprobleme der IT-Systeme lassen sich schnell lösen, wenn sich sicherheitsrelevante Ereignisse aus den Systemmeldungen der IT-Systeme im Rechenzentrum vollständig herausfiltern und monitoren lassen. Security Information- und Event Management Systeme (SIEM) können das schnell und effizient. lesen

Bei SIEMs zählt die Geschwindigkeit

Eine neue Generation von SIEM-Lösungen nutzt daher nicht-relationale, NoSQL-basierte Datenbanken. Die allgemeinen Vorteile von NoSQL finden für die IT-Sicherheit entsprechenden Niederschlag:

  • Integration unterschiedlicher Datenquellen: Im SIEM laufen unterschiedlichste Daten zusammen, angefangen von der Firewall bis zu den Login-Daten des Netzwerks, Applikationen, Datenbank, Active Directory Administratoren und IOT . Ein NoSQL-System ist in der Lage, diese entsprechend zu integrieren, sodass von zentraler Warte aus beispielsweise die Überwachung aller Netzwerkaktivitäten stattfinden kann. Insbesondere das Korrelieren von Ereignissen aus integrierten Datenquellen schafft für die Analyse Mehrwerte.
  • Schnellerer Zugriff auf Event-Daten: Das SIEM korreliert Events aus den Log-Daten der laufenden Netzwerk-Scans und alle anderen IT-Systemen. Diese stellen für Sicherheitsexperten das Reservoir dar, durch welches sie sehr schnelle Big-Data-Analysen laufen lassen können. Durch Intelligente Algorithmen wird die Größe drastisch minimiert. Dies reduziert nicht nur die Speicher- und Administrationskosten für eine NoSQL-basierte Datenbank, sondern erhöht auch die Geschwindigkeit und ermöglicht einen schnelleren Zugriff gegenüber herkömmlichen SQL-Datenbanken oder traditionellen Reporting-Tools.
  • Höhere Flexibilität: Die reaktionsschnelle Textsuche in Ereignisdaten und die Programmierbarkeit des Ereignisprotokolls (für Parsing, Transformation, Duo-Lipping etc.) bieten zusätzlichen Komfort und Elastizität bei der Auswertung von SIEM-Daten. So können Ereignisse in Echtzeit mit zusätzlichen Daten angereichert und korreliert werden. If-Else-Anweisungen können zur Bearbeitung von Ereignissen, Vorfällen und Sicherheitsdaten verwendet werden. Ereignisse können nach benutzerdefinierten Kriterien erstellt, und für die Log-Analyse verwendet werden.
Sicherheitsüberwachung auch auf Applikationsebene

Anforderungen ans Security Information and Event Management, Teil 2

Sicherheitsüberwachung auch auf Applikationsebene

14.02.13 - Bedrohungen adressieren längst nicht mehr nur die Betriebssystemebene mit Diensten wie FTP, Telnet und E-Mail. Weil immer mehr Attacken auf der Anwendungsebene ablaufen, fordern Firmen vermehrt eine Applikationsüberwachung durchs Security Information and Event Management (SIEM). lesen

Mit dem Einsatz von NoSQL ist SIEM endgültig im Zeitalter von Big Data angekommen. Dies tut auch dringend Not: Denn während die Verfügbarkeit von Daten immer weiter steigt, wird die Analyse zur Herausforderung. Neben einer schnellen Datenbank ist Visualisierung eine zunehmend wichtige Funktion eines SIEM. Ideal ist, wenn die Sicherheitsbeauftragten mit einem übersichtlichen Dashboard auf alle wichtigen Informationen in Echtzeit zugreifen können, um Trends abzulesen. Automatisierungsfunktionen sollten ebenso zu einer guten Lösung gehören. Mittlerweile nimmt die Software den Mitarbeitern routinemäßige Arbeitsschritte ab, wodurch sie sich auf komplexere Aufgaben konzentrieren können. Dies bietet die richtigen Instrumente und kurze Antwortzeiten, um in den meisten heterogenen Umgebungen ein Höchstmaß an Sicherheit zu gewährleisten.

Über den Autor: Vlad Gladin ist Senior Technical Consultant bei Nextgen Software. Er verantwortet die Themen Presales und Solution Consulting für die SIEM-Lösung Cyberquest.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45332131 / Monitoring und KI)