Know-how: Aufbau und Betrieb von organisationsweitem Security-Monitoring

Wichtiges sehen, Gefährliches bekämpfen

, ,
Täglich entstehen im IT-Betrieb unzählige Daten, in denen sich sicherheitsrelevante Informationen verbergen. Doch händisch ist diesem Datenmeer keine sinnvolle Information abzuringen. Security Information & Event Management-Systeme sollen helfen, die organisationsweite Sicherheitslage der IT abzubilden. Dies kann jedoch nur funktionieren, wenn IT-Verantwortliche beim Design der SIEM- und Sensorarchitektur einige wichtige Grundregeln beachten. Im Folgenden stellen wir die wichtigsten Eckpunkte vor, die bei der Auswahl eines SIEM-Systems und beim Design des Zusammenspiels mit Datenquellen und nachgeordneten Systemen zu berücksichtigen sind.
Aus IT-Administrator 03/2015
Das Monitoring der IT-Umgebung steht im März auf der Agenda des IT-Administrator. So lesen Sie in der Ausgabe, wie sich Open-Source-Tools wie Logstash, ... (mehr)

Ein gut organisiertes Monitoring umfasst nicht nur klassische Kennzahlen wie etwa zur Verfügbarkeit, Auslastung und Antwortzeit von Diensten und Systemen, sondern gibt auch Auskunft über die aktuelle Lage aus Perspektive der IT-Sicherheit. Eine wichtige Voraussetzung dafür ist, dass sicherheitsrelevante Logfile-Einträge von Applikationen und dedizierten Sicherheits-

komponenten wie Intrusion Detection-Systemen zentral zusammengeführt, korreliert und als Ganzes ausgewertet werden. Auf diese Aufgabe haben sich Security Information & Event Management (SIEM)-Systeme spezialisiert, von denen sich inzwischen einige Open Source- und zahlreiche kommerzielle Vertreter etabliert haben.

Wichtige Auswahlkriterien

Wie bei anderen Monitoring-Tools sind Funktionalität, Skalierbarkeit und Kosten drei offensichtliche Kriterien für die Auswahl eines SIEM-Produkts. Funktional liegen viele Produkte nahezu gleichauf und unterscheiden sich überwiegend durch Features, deren Sinn und Notwendigkeit im jeweiligen Einsatzszenario zu prüfen ist. Dies trifft leider auch auf fehlende Funktionalität zu: Beispielsweise ist eine durchgängige Unterstützung von IPv6 auch Anfang 2015 immer noch rar.

Die Skalierbarkeit wird üblicherweise in der Anzahl von Sicherheitsmeldungen pro Sekunde, die vom SIEM-System entgegengenommen und verarbeitet werden, gemessen. Einige Open Source- und Community-Edition-Varianten sind diesbezüglich zum Teil künstlich auf eine zweistellige Anzahl von Events pro Sekunde (EPS) beschränkt und eignen sich deshalb nur für kleinere Umgebungen oder einen sehr selektiven Einsatz. Bei kommerziellen Produkten, an die beispielsweise auch NetFlows von Routern als Datenquelle angebunden werden, sind sechsstellige EPS-Zahlen keine Seltenheit, aber häufig auch Bemessungsgrundlage für die Lizenzkosten.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Datenschutzeinstellungen

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Result

Ausgabe /2023

Themen

Cloud Computing Datenbanken IT-Management Linux Mobil Monitoring Netzwerk Open Source OpenStack Programmieren Security Storage Virtualisierung Web Windows
twitter facebook xing