Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Logs logisch organisieren

Logs logisch organisieren

10. September 2007, 16:57 Uhr |

Sicherheitsinformationsmanagement – Mit ihren Suites wollen die Hersteller die Logdaten im Unternehmen zentral sammeln und auswerten. Und zwar in Echtzeit und historisch.

Die Logdaten sind die wichtigste Quelle, um den Stand der Dinge im Netz zu erfassen. Dummerweise sind diese Daten im ganzen Netz verteilt und in eigenwilligen Sprachen und Formaten verfasst. Ihre Qualität hat sich kaum weiter entwickelt. Unternehmen müssen aber unbedingt eine Strategie finden, um der Logs Herr zu werden. Denn allein juristische Vorgaben zwingen Administratoren, den Istzustand im Netz plausibel zu belegen. Ohne eine solche Strategie sind diese Reports nur unter großem Aufwand zu erstellen.

Wie in der vergangenen Ausgabe der Network Computing ab Seite 48 bereits ausführlich berichtet, legt eine fortschrittliche Log-Managementstrategie mehrere Kriterien fest. Sie definiert, dass Kopien lokaler Logs an ein anderes System oder eine andere Lokation transferiert werden. Sie setzt eine Log-Rotation und -Laufzeit der verschiedenen Systeme auf und hilft dabei, diese zu synchronisieren. Und sie definiert ein Archivierungskonzept, das bedeutende Daten im Rohformat für einen gewissen Zeitraum hinterlegt. Das ist wichtig, um bei künftigen Sicherheitsvorfällen historische Analysen durchzuführen und so eventuell den Eintrittsvektor ins Netz zu rekonstruieren.

Die Industrie hat mit Security-Information-Management-Suites (SIM) ein Toolset entwickelt, das den Administrator darin unterstützt, diese Log-Policy mit Hilfe zentral überwachter Mechanismen durchzusetzen. Sie ist der Ausgangs- und Schnittpunkt für diese Taktik. Die Real-World Labs haben acht dieser Plattformen auf ihre Qualität hin untersucht.

Strategie für die Sammelleidenschaft
Mit zentralen Logs ist aber noch nicht viel gewonnnen. Die SIM-Lobby hat sich daher auf die Fahne geschrieben, diese Daten klug, schnell und vor allem automatisch zu analysieren. Ein SIM-Produkt verknüpft dazu die Log-Daten und reduziert die Menge der Ereignisse drastisch.

Natürlich gilt es, zuvor zu klären, welche Ziele das ganze Projekt erreichen soll. Was soll gelogged werden? Wo liegen diese Daten, und in welchem Format sind sie strukturiert? Über welchen Kommunikationspfad werden sie transferiert, und wie lange müssen sie archiviert werden?

Der weitere Schritt ist die Identifizierung der Ziele. Welche Informationen will der Verantwortliche mit dem SIM gewinnen? Sollen die Log-Daten an zentraler Stelle gesammelt oder zuerst in den Außenstellen aggregiert werden? Müssen die Dateien stark belastete WAN-Strecken passieren? Ist das der Fall, so sind Queuing- und Bandbreiten-Managementfunktionen wichtig. Soll die SIM-Plattform auch Incident-Response- und Investigations-Workflows organisieren, oder diese Aufgaben mit einem bereits aufgesetzten Ticketing-System abwickeln? Falls kein separates Ticket-System existiert, muss das gewünschte SIM-Produkt diese Prozesse in entsprechender Qualität unterstützen können.

Sind diese Ziele definiert, so gilt es die Informationsquellen festzulegen. Welche Applikationen und Systeme soll das SIM anzapfen? Eine wichtige Frage, denn die Antwort variiert von Hersteller zu Hersteller stark. Es lohnt sich, von Vornherein zu klären, ob das gewünschte Produkt die wichtigsten Log-Quellen von sich aus unterstützt. Dies bewahrt den Administrator davor, in speziell für das Projekt erstellte Schnittstellen investieren zu müssen.

Schließlich gilt es, eine Storage- und Laufzeit-Richtlinie zu entwickeln. Hierbei legt der Verantwortliche fest, welche Datenmenge er archivieren will, wie groß die Speicherkapazität sein und wie lange er die Daten vorhalten muss. Es ist insgesamt schwierig, die reinen Storage-Anforderungen zu schätzen. Wenn ein Unternehmen seine Logs bisher nicht zentral zusammenführte, wird es nur grob berechnen können, wie viel die Daten in der Summe ausmachen.

Es treten außerdem signifikante Unterschiede im Alltag auf. Perimeter-Firewalls können während heftiger Scans das bis zu 20-Fache an Logs produzieren. Diese Spitzen fallen desto weniger ins Gewicht, je größer der Zeitraum ist, auf dessen Grundlage der Administrator den Durchschnitt berechnet.

Sind die technischen Kriterien festgesteckt, sollte das Unternehmen realistisch einschätzen, wie viel es in den Betrieb einer solchen Lösung investieren möchte. Sind genügend kompetente Mitarbeiter dafür abgestellt, vor einer Echtzeitkonsole zu sitzen und auf dortige Ereignisse angebracht zu reagieren?

Alle untersuchten Produkte in den Real-World Labs reduzieren die Zahl der Events immens, aber sie haben die Ereignisse nicht ganz aus der Welt geschafft. Die korrelierten Meldungen müssen weiterhin untersucht oder verworfen werden. SIM ist noch weit entfernt von Plug-and-Play. Menschen werden sicher noch eine ganze Zeit lang eingebunden bleiben.
pm@networkcomputing.de

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
grommunio GmbH

grommunio GmbH
PNY Technologies Quadro GmbH

PNY Technologies Quadro GmbH
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk
LINDY-Elektronik GmbH

LINDY-Elektronik GmbH
Western Digital Deutschland GmbH

Western Digital Deutschland GmbH
estos GmbH

estos GmbH