Es ergibt Sinn, sämtliche Securitydaten und -Informationen zentral zu speichern und zu verarbeiten – auch wenn die IT das Thema Sicherheit eventuell an einen professionellen Anbieter ausgelagert hat. Nicht nur weil die Komplexität der Angriffe steigt, ist es sinnvoll, möglichst aussagekräftige Logdaten zu sammeln: Sei es der Einsatz eines SOAR-Werkzeugs (Security Orchestration, Automation, Response) oder die Nutzung der nativen Verteidigungslinie von Microsofts Windows Defender. Eine isolierte Sicht auf Vorfälle in zwei oder drei verschiedenen Sicherheitstools bringt wenig und ermöglicht keine forensische Analyse, geschweige denn das gezielte Verhindern von Attacken.
Die Notwendigkeit zum Logmanagement ist unstrittig und reicht vom Aspekt der datenschutzkonformen Protokollierung nach der EU-DSGVO über die zentrale Logarchivierung bis hin zur Forensik, ohne die zum Beispiel ein sinnvolles Incident-Response-Management im Angriffsfall gar nicht möglich ist. So ist das Logmanagement unter anderem in jedem Standard ein Thema, ob ISO-Projekt, dem bekannten
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.