Anomalien in Metrikdaten mit Prometheus erkennen

Angriffe auf Umgebungen sind in der IT heute so alltäglich wie der Betrieb der IT-Infrastruktur selbst. Die Spanne der Angriffsarten ist dabei groß und hängt vom Ziel ab, das Ganoven erreichen wollen. Geht es um klassische Denial-of-Service-Attacken, ist der Angriff eher banal und ad hoc gut zu erkennen. Steht das Ausspähen von Daten im Vordergrund, sind die Methoden bereits deutlich subtiler. Hochkomplexe IT-Angriffe auf verschiedenen Ebenen zur selben Zeit sind längst keine große Herausforderung mehr für Straftäter.

So komplex die Angriffsszenarien auch sind – ein Faktor bleibt gleich: Der Administrator möchte so früh wie möglich merken, dass sich in seinem Setup sinistre Vorgänge abspielen, um zeitnah zu reagieren. Denn je früher ein Angriff auffällt, desto eher lässt sich aus Admin-Sicht gegensteuern und desto geringer bleibt der verursachte Schaden. Aber welche Mittel und Wege hat der Administrator, Angriffe frühzeitig zu erkennen?

Starre Grenzwerte nur bedingt aussagefähig

Eine generelle Antwort auf diese Frage gibt es leider nicht. Tatsächlich hängt die Möglichkeit, einen Angriff früh zu erkennen, von den vorhandenen Werkzeugen und der Art und Weise ab, wie der Admin sie einsetzt. Früher verließen sich die meisten Admins auf banales Event-Monitoring mit Grenzwerten: Übersteigt die eingehende Datenmenge ein bestimmtes Limit, schlägt das Monitoring Alarm. Tauchen in den Authentifizierungs-Logdateien von Servern zu viele ungültige Login-Versuche auf, erhält der Admin hierüber ebenfalls eine Nachricht. Im Vordergrund steht dabei, den Verantwortlichen im konkreten Fall möglichst schnell handlungsfähig zu machen – ihm also zu vermitteln, wie die Lage aktuell aussieht.

Sonderlich up to date oder klug ist diese Vorgehensweise allerdings nicht. Moderne Monitoringsysteme wie Prometheus sammeln so viele Metrikdaten, dass sich aus ihnen Trends und

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.