Know-how: Aufbau und Betrieb von organisationsweitem Security-Monitoring

Wichtiges sehen, Gefährliches bekämpfen

, ,
Täglich entstehen im IT-Betrieb unzählige Daten, in denen sich sicherheitsrelevante Informationen verbergen. Doch händisch ist diesem Datenmeer keine sinnvolle Information abzuringen. Security Information & Event Management-Systeme sollen helfen, die organisationsweite Sicherheitslage der IT abzubilden. Dies kann jedoch nur funktionieren, wenn IT-Verantwortliche beim Design der SIEM- und Sensorarchitektur einige wichtige Grundregeln beachten. Im Folgenden stellen wir die wichtigsten Eckpunkte vor, die bei der Auswahl eines SIEM-Systems und beim Design des Zusammenspiels mit Datenquellen und nachgeordneten Systemen zu berücksichtigen sind.
Das Monitoring der IT-Umgebung steht im März auf der Agenda des IT-Administrator. So lesen Sie in der Ausgabe, wie sich Open-Source-Tools wie Logstash, ... (mehr)

Ein gut organisiertes Monitoring umfasst nicht nur klassische Kennzahlen wie etwa zur Verfügbarkeit, Auslastung und Antwortzeit von Diensten und Systemen, sondern gibt auch Auskunft über die aktuelle Lage aus Perspektive der IT-Sicherheit. Eine wichtige Voraussetzung dafür ist, dass sicherheitsrelevante Logfile-Einträge von Applikationen und dedizierten Sicherheits-

komponenten wie Intrusion Detection-Systemen zentral zusammengeführt, korreliert und als Ganzes ausgewertet werden. Auf diese Aufgabe haben sich Security Information & Event Management (SIEM)-Systeme spezialisiert, von denen sich inzwischen einige Open Source- und zahlreiche kommerzielle Vertreter etabliert haben.

Wichtige Auswahlkriterien

Wie bei anderen Monitoring-Tools sind Funktionalität, Skalierbarkeit und Kosten drei offensichtliche Kriterien für die Auswahl eines SIEM-Produkts. Funktional liegen viele Produkte nahezu gleichauf und unterscheiden sich überwiegend durch Features, deren Sinn und Notwendigkeit im jeweiligen Einsatzszenario zu prüfen ist. Dies trifft leider auch auf fehlende Funktionalität zu: Beispielsweise ist eine durchgängige Unterstützung von IPv6 auch Anfang 2015 immer noch rar.

Die Skalierbarkeit wird üblicherweise in der Anzahl von Sicherheitsmeldungen pro Sekunde, die vom SIEM-System entgegengenommen und verarbeitet werden, gemessen. Einige Open Source- und Community-Edition-Varianten sind diesbezüglich zum Teil künstlich auf eine zweistellige Anzahl von Events pro Sekunde (EPS) beschränkt und eignen sich deshalb nur für kleinere Umgebungen oder einen sehr selektiven Einsatz. Bei kommerziellen Produkten, an die beispielsweise auch NetFlows von Routern als Datenquelle angebunden werden, sind sechsstellige EPS-Zahlen keine Seltenheit, aber häufig auch Bemessungsgrundlage für die Lizenzkosten.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2018

Microsite