Know-how: Aufbau und Betrieb von organisationsweitem Security-Monitoring

Wichtiges sehen, Gefährliches bekämpfen

, ,
Täglich entstehen im IT-Betrieb unzählige Daten, in denen sich sicherheitsrelevante Informationen verbergen. Doch händisch ist diesem Datenmeer keine sinnvolle Information abzuringen. Security Information & Event Management-Systeme sollen helfen, die organisationsweite Sicherheitslage der IT abzubilden. Dies kann jedoch nur funktionieren, wenn IT-Verantwortliche beim Design der SIEM- und Sensorarchitektur einige wichtige Grundregeln beachten. Im Folgenden stellen wir die wichtigsten Eckpunkte vor, die bei der Auswahl eines SIEM-Systems und beim Design des Zusammenspiels mit Datenquellen und nachgeordneten Systemen zu berücksichtigen sind.
Das Monitoring der IT-Umgebung steht im März auf der Agenda des IT-Administrator. So lesen Sie in der Ausgabe, wie sich Open-Source-Tools wie Logstash, ... (mehr)

Ein gut organisiertes Monitoring umfasst nicht nur klassische Kennzahlen wie etwa zur Verfügbarkeit, Auslastung und Antwortzeit von Diensten und Systemen, sondern gibt auch Auskunft über die aktuelle Lage aus Perspektive der IT-Sicherheit. Eine wichtige Voraussetzung dafür ist, dass sicherheitsrelevante Logfile-Einträge von Applikationen und dedizierten Sicherheits-

komponenten wie Intrusion Detection-Systemen zentral zusammengeführt, korreliert und als Ganzes ausgewertet werden. Auf diese Aufgabe haben sich Security Information & Event Management (SIEM)-Systeme spezialisiert, von denen sich inzwischen einige Open Source- und zahlreiche kommerzielle Vertreter etabliert haben.

Wichtige Auswahlkriterien

Wie bei anderen Monitoring-Tools sind Funktionalität, Skalierbarkeit und Kosten drei offensichtliche Kriterien für die Auswahl eines SIEM-Produkts. Funktional liegen viele Produkte nahezu gleichauf und unterscheiden sich überwiegend durch Features, deren Sinn und Notwendigkeit im jeweiligen Einsatzszenario zu prüfen ist. Dies trifft leider auch auf fehlende Funktionalität zu: Beispielsweise ist eine durchgängige Unterstützung von IPv6 auch Anfang 2015 immer noch rar.

Die Skalierbarkeit wird üblicherweise in der Anzahl von Sicherheitsmeldungen pro Sekunde, die vom SIEM-System entgegengenommen und verarbeitet werden, gemessen. Einige Open Source- und Community-Edition-Varianten sind diesbezüglich zum Teil künstlich auf eine zweistellige Anzahl von Events pro Sekunde (EPS) beschränkt und eignen sich deshalb nur für kleinere Umgebungen oder einen sehr selektiven Einsatz. Bei kommerziellen Produkten, an die beispielsweise auch NetFlows von Routern als Datenquelle angebunden werden, sind sechsstellige EPS-Zahlen keine Seltenheit, aber häufig auch Bemessungsgrundlage für die Lizenzkosten.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Systeme mit Vamigru verwalten

Auch wer nur kleine Flotten von Linux-Servern verwaltet, freut sich über Werkzeuge, die ihm diese Arbeit erleichtern. Vamigru tritt mit diesem Versprechen an. Wir verraten, was es leistet und wie Sie es in der eigenen Umgebung in Betrieb nehmen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite