Cyberangriffe, die einzelne Rechner oder ganze Computersysteme kapern, sind ein immer häufiger auftretendes Schreckensszenario. Doch wie erkenne ich eigentlich, dass mein Unternehmen kompromittiert wurde?

Es gibt zum Beispiel die folgenden Möglichkeiten dies herauszufinden: man kann die Windowseventlogs auf ungewöhnliche Anmeldeversuche überprüfen oder die Firewalllogs nach unbekannten Systemen oder ungewöhnlich hohem Datentraffic durchforsten. Das allein ist bereits eine Mammutaufgabe.

Glücklich kann sich derjenige schätzen, der seine Logdaten auf einem zentralen Logserver ablegt. So lässt sich zumindest das Einsammeln der Daten auf den einzelnen Systemen ersparen. Aber lassen sich die gesammelten Logfiles anschließend besser auswerten und Anomalien leichter erkennen? Leider nicht! Denn jedes Logfile hat seinen eigenen Aufbau und es ist erforderlich, dass man selbst in der Lage ist, diese lesen und interpretieren zu können.

Welche Möglichkeiten gibt es, um die Daten einheitlich auswerten zu können?

Wir bei ED Business Solutions haben uns für die Software SPLUNK entschieden.
Splunk ist ein Marktführer im Gartner Magic Quadranten für Security Information und Event Management und hat seinen Hauptsitz in den USA.

Für uns war es entscheidend, für diese wichtige Aufgabenstellung ein System einzuführen, das:

  • unsere Daten on Premises, also installiert auf unserer eigenen Hardware, sammelt und verarbeitet
  • sich einfach skalieren lässt
  • in der Lage ist, die Loginformationen zu normalisieren
  • ein Reportingtool mitbringt, um die Daten korreliert auswerten zu können

Mit der Einführung dieser Lösung waren wir recht zufrieden. Allerdings zeigte sich, dass die Bearbeitung uns nach wie vor zu viele Ressourcen kostete.

Um diesem Problem entgegenzuwirken, haben wir die Entscheidung getroffen, SPLUNK zu einer SIEM-Lösung auszubauen.

SIEM-Technologie führt die von Sicherheitsgeräten, Netzwerkinfrastrukturen, Systemen und Anwendungen produzierten Ereignisdaten zusammen. Die primäre Datenquelle sind Protokolldaten, obwohl SIEM-Technologie in der Lage ist, auch jede andere Art von Daten, wie Netzwerk-Telemetriedaten (Flüsse und Pakete), zu verarbeiten.

Ereignisdaten können mit kontextbezogenen Informationen über Benutzer, Assets, Bedrohungen und Schwachstellen kombiniert werden, um eine Bewertung und Priorisierung vorzunehmen und Untersuchungen zu beschleunigen.

Die Daten sollten idealerweise normalisiert werden, sodass Ereignisse, Daten und Kontextinformationen aus verschiedenen Quellen effizienter für spezielle Zwecke, wie Network Security Event Monitoring (SEM), Überwachung der Nutzeraktivitäten und Compliance-Berichterstattung, analysiert werden können.

Die Technologie bietet Echtzeit-Analysen von Ereignissen für die Sicherheitsüberwachung, erweiterte Analysen zum Verhalten von Benutzern und Einrichtungen, die Abfrage und Langzeitanalytik für historische Analysen und weitere Unterstützung für die Untersuchung und das Management von Vorfällen (z. B. für Compliance-Anforderungen).

Durch die Implementierung von SPLUNK verbunden mit dem Ausbau zu einer SIEM-Lösung konnten wir unsere Anforderungen erfüllen und mit überschaubarem Aufwand realisieren.

Für Unternehmen und Organisationen besonders wichtig:

Sprechen Sie uns zum Thema Security Information und Event Management an. Wir informieren Sie und Ihr Unternehmen gerne über die Möglichkeiten der Implementierung in Ihrem IT-Umfeld.