Arcsight Logger 4
Arcsight Logger 4
Arcsight Logger 4
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
White Paper<br />
ArcSight <strong>Logger</strong> 4<br />
Cyberkriminalität bekämpfen,<br />
Einhaltung von Regularien nachweisen<br />
und IT-Arbeitsabläufe rationalisieren<br />
Studie 020-102409-04<br />
ArcSight, Inc.<br />
5 Results Way, Cupertino, CA 95014, USA<br />
www.arcsight.com info@arcsight.com<br />
Hauptsitz: +1-888-415-ARST<br />
Hauptsitz für den EMEA-Raum: +44 (0)845 356 7708<br />
Hauptsitz für den asiatisch-pazifischen Raum: +852 2166 8302
White Paper: ArcSight <strong>Logger</strong> 4<br />
Überblick<br />
Angestellte, Kunden, Auftragnehmer, Partner oder auch Eindringlinge hinterlassen digitale Fingerabdrücke, wenn sie Systeme des<br />
Unternehmens, Datenbanken, Webseiten, Applikationen oder die physikalische Sicherheitsinfrastruktur benutzen. Diese digitalen<br />
Fingerabdrücke, gemeinhin als Ereignisse oder Logs bekannt, können genutzt werden:<br />
• zur Bekämpfung von Cyberkriminalität mittels vereinheitlichter Analyse zur kriminaltechnischen Untersuchung über alle Daten<br />
hinweg<br />
• zum nachweis der Einhaltung von Regularien dank der Datensammlung und -aufbewahrung in auditfähiger Qualität<br />
• zur Rationalisierung von It-Arbeitsabläufen, indem operationelle Daten untersucht werden können, die für das Change<br />
Management, das Netzwerkmanagement oder das Management der Applikationen benötigt werden<br />
Trotz der eindeutigen Vorteile des Log-Managements haben Organisationen mit dem Volumen an sowie dem Zugriff auf Log-Daten<br />
im laufenden Betrieb zu kämpfen. Bis heute gab es keine einzige Lösung, die die unterschiedlichen Ansprüche der Sicherheits-,<br />
Audit- und IT-Teams in sich vereinte. Typischerweise werden in Unternehmen verschiedene Produkte eingesetzt, um die genannten<br />
Anforderungen abzudecken, was wiederum eine fragmentierte Analyse, zu hohe IT-Ausgaben und erhöhte Geschäftsrisiken zur Folge<br />
hat. Dieses White Paper diskutiert die Anforderungen an eine universelle Log-Management-Lösung und beschreibt detailliert, wie<br />
ArcSight <strong>Logger</strong> 4 diese Anforderungen erfüllt. Ein kürzlich bei der Boeing Corporation aufgetretener Computerspionagefall wird als ein<br />
Beispiel aufgeführt.<br />
Die Notwendigkeit einer umfassenden Log-Management-Lösung<br />
Computersysteme und Applikations-Logs gibt es schon lange und letztere sind älter als das Internet, älter als die erste Firewall der<br />
Welt und im Wesentlichen so alt wie das älteste Computersystem. Seit jeher werden sie für das Troubleshooting benutzt. Bedingt<br />
durch die höhere Komplexität der Netzwerke, hat man es heute mit höheren Datenvolumina, mit mehr Transaktionen und Online-<br />
Anwendern zu tun. Regierungen und Unternehmen werden weltweit zunehmend angreifbarer durch Cyberkrieg, Cyberdiebstahl,<br />
Cyberbetrug und Cyberspionage durch Hacker, durch schädliche Programme und böswillige Insider. Auf dieser Evolutionsstufe des<br />
Cyberspace können Logs nun genutzt werden, um forensische Analysen zu allen Arten von Cybersicherheitsvorfällen durchzuführen.<br />
Das Sammeln, das zentrale Speichern und die schnelle Analyse aller Cybersicherheitsvorfälle über verschiedene Geräte und<br />
Anwendungen hinweg sind die Schlüsselanforderungen.<br />
Eine von der U.S. Cyber Consequences Unit kürzlich<br />
erstellte Untersuchung besagt, dass eine einzelne Welle von<br />
Computerattacken auf kritische Infrastrukturen einen Schaden<br />
von mehr als 700 Milliarden USD zur Folge haben könnte,<br />
etwa soviel Schaden, wie 50 große Hurrikans anrichten<br />
würden, die gleichzeitig über Amerika hereinbrächen. Das<br />
wirkliche Problem ist, dass mehr als 75 Prozent der kritischen<br />
Infrastruktur dem privaten Sektor gehören und dereguliert<br />
sind (laut Homeland Security Presidential Directive-7). Dieses<br />
Beispiel verdeutlicht, wie und warum die Sicherheit und die<br />
Erfüllung der Regularien Hand in Hand gehen. Den meisten<br />
Unternehmen entstehen Kosten und Aufwände, da sie<br />
zahlreiche Industrie-, staatliche oder nationale Verordnungen<br />
erfüllen müssen, wie Sarbanes-Oxley, HIPAA, FISMA,<br />
GLBA, PCI, BASEL, die NERC CIP Standards, internationale<br />
Datenschutzgesetze und viele mehr. Die meisten dieser<br />
Regularien verlangen die Aufbewahrung verschiedener Daten<br />
Regularium Aufbewahrungsfrist*<br />
SOX 7 Jahre<br />
PCI 1 Jahr<br />
GLBA 6 Jahre<br />
EU-DR-RIChtLInIE 2 Jahre<br />
BASEL II 7 Jahre<br />
hIPAA 6/7 Jahre<br />
vOn nERC CIP-002 BIS<br />
CIP-009<br />
3 Jahre<br />
FISMA 3 Jahre<br />
Bild 1 Fristen zur Aufbewahrung regulierter Daten<br />
*Nach Auslegung von ArcSight.<br />
ArcSight 1
White Paper: ArcSight <strong>Logger</strong> 4<br />
über viele Jahre, wie in Bild 1 gezeigt. Effektives und effizientes Log-Management kann gleichzeitig dazu dienen, die verschiedenen<br />
Regularien zu erfüllen sowie Zeit und Kosten bei Regulariumaudits einzusparen. Wie dem auch sei, genau so wichtig wie für die<br />
Sicherheit und für die Einhaltung von Regularien ist das Log-Management für die IT-Prozessabläufe.<br />
Laut der Gartner Group, einem führenden Unternehmen im Bereich Marktforschung und Analyse, liegen bei lediglich 20 Prozent der<br />
auftragskritischen Systemausfallzeiten (umwelt-)technisches Versagen oder Naturkatastrophen zu Grunde. Die anderen 80 Prozent<br />
werden durch menschliches Versagen oder fehlerhafte Prozessabläufe verursacht; so musste beispielsweise ein Kernkraftwerk<br />
im U.S.-Bundesstaat Georgia für 48 Stunden notabgeschaltet werden, nachdem ein Softwareupdate fehlgeschlagen war (Quelle:<br />
Washington Post, 2008). Ein Teil dieser 80 Prozent könnte auf Cybersicherheitsaspekte zurückzuführen sein, aber der große Rest<br />
beruht schlicht und einfach auf mangelhaftem Change- und Applikationsmanagement. Da Logs ein Protokoll zu allen Veränderungen<br />
erstellen, die an den verschiedenen Systemen vorgenommen worden sind, können Logs bei kriminaltechnischen Untersuchungen oder<br />
bei der schnellen Lösung von Problemen mit IT-Abläufen immens hilfreich sein.<br />
SICHERHEIT<br />
Downloads schädigender<br />
Software<br />
CPU-Überlastspitzen<br />
IT-PROZESSE<br />
Datendiebe<br />
REGELKON-<br />
FORMITÄT<br />
Bild 2. Sicherheit, Regelkonformität sowie<br />
IT-Prozesse hängen zusammen<br />
Die passende Log-Management-Lösung auswählen<br />
Eine ideale Log-Management-Lösung muss gleichzeitig die Anforderungen der<br />
Sicherheits-, Compliance- und IT-Prozessteams erfüllen können. Sie muss in<br />
der Lage sein, alle Log-Daten innerhalb des Unternehmens zu sammeln und<br />
zu speichern. Aber nicht alle Log-Management-Lösungen sind gleich konzipiert;<br />
manche behandeln Symptome isoliert und setzen so das Unternehmen größeren<br />
Risiken aus. Die Marktbedingungen verlangen nach einem einzigem Log-<br />
Management-Tool, das folgende Voraussetzungen erfüllt, um jedes Ereignis<br />
innerhalb der Unternehmung verarbeiten zu können.<br />
Voraussetzung Nr. 1: Alles überwachen<br />
Logs werden in verschiedenen Formaten erzeugt, siehe Bild 3, und können<br />
strukturiert (geparst und in Felder abgeglichen) oder unstrukturiert (Rohtext)<br />
gesammelt werden. Die sich rasant verändernde Cyberwelt erfordert die<br />
Sammlung und die ultraschnelle Analyse aller Arten von Daten durch „ein einziges<br />
Fenster“. Bezüglich des Sammelns sollten Log-Managementlösungen alle<br />
möglichen Methoden unterstützen, einschließlich Push- und Pull-Mechanismen.<br />
Früher wurden die Log-Analysen bezüglich Sicherheit, Regelkonformität oder<br />
bezüglich der Abläufe als separate Domänen betrachtet. Systemabstürze,<br />
Cyberattacken und die Nichteinhaltung von Regularien haben jedoch häufig<br />
gemeinsame Ursachen. So könnte beispielsweise ein nachlässiger oder auch<br />
böswilliger Insider einen Bot im Firmennetzwerk freisetzen, der dann vertrauliche<br />
Daten sammelt und an Dritte sendet, während System-CPU und Laufwerke<br />
gleichzeitig hängen bleiben. Für die meisten Log-Managementprodukte stellt<br />
das Diagnostizieren der CPU und von Laufwerken eine große Herausforderung<br />
dar, da unstrukturierte System-Log-Daten erhoben werden müssen. Log-<br />
Managementprodukte, die auf die Verarbeitung strukturierter Daten setzen, sind<br />
nicht in der Lage festzustellen, ob CPU- oder Laufwerkslastspitzen auf bösartige<br />
Software zurückzuführen sind. So geht die Organisation das Symptom (CPU-<br />
Überlastung) an und verfehlt das wirkliche Problem, den Verlust von Kundendaten<br />
(Verstoß gegen Regularien) aufgrund einer kriminellen Handlung. Weil heutige<br />
Cyberattacken immer raffinierter und technisch perfekter werden, müssen auch<br />
die Maßnahmen zur Entdeckung von Cyberverbrechen und der Schutz der<br />
Unternehmensdaten und -infrastruktur gleichermaßen ausgereift sein.<br />
Bild 3. Umfassendes Sammeln<br />
und Analysieren strukturierter und<br />
unstrukturierter Daten<br />
ArcSight 2
White Paper: ArcSight <strong>Logger</strong> 4<br />
Die Lösungen sollten nicht nur Live Feeds sammeln, sondern auch das Sammeln von existenten Daten aus dateibasierter<br />
Speicherung oder von Syslogs unterstützen. Solange Unternehmen nicht alle Daten sammeln und auswerten können, können sie auch<br />
keine auftretenden Vorfälle zeitnah und auf einfache Weise untersuchen.<br />
Voraussetzung Nr. 2: Alles speichern<br />
Ist die Entscheidung zum Sammeln aller Logs vom gesamten Unternehmen gefallen, müssen die Daten auf effiziente und effektive<br />
Weise gespeichert werden. Organisationen, die die Log-Infrastruktur in Eigenregie verwirklichen, haben schließlich oft Silos voller<br />
dezentralisierter Log-Server, die sehr schwer zu verwalten sind. Angesichts der regulatorischen Vorgaben zur Datenaufbewahrung<br />
kann die Log-Datenmenge einer Organisation schnell auf viele Terabyte anschwellen. Log-Management-Lösungen sollten auch den<br />
Einsatz externer SAN-/NAS-Speicherlösungen unterstützen und jede zusammengesetzte Speicherlösung sollte zur Ausfallsicherung<br />
das RAID-Verfahren einsetzen. Um vollkommen flexibel zu sein, sollte die Lösung zur Archivierung von existenten Daten verbreitete<br />
Protokolle wie NFS und CIFS unterstützen. Schließlich sollten Aufbewahrungsrichtlinien, entsprechend der Gerätetypen und der<br />
spezifischen Regulatorien automatisch erzwungen werden. Nicht vergessen werden sollte die Möglichkeit zur „Verlängerung der Log-<br />
Lebensdauer“ bei drohenden Rechtsstreitigkeiten.<br />
Voraussetzung Nr. 3: Korrelieren, untersuchen, beseitigen<br />
Das Log-Management wird häufig in Verbindung mit einer geräteübergreifenden Korrelation von Ereignissen in Echtzeit zur<br />
Entdeckung externer und interner Bedrohungen oder Regelverstöße verwendet. Es ist deswegen entscheidend, dass sich die Log-<br />
Managementinfrastruktur nahtlos in das Security Information and Event Management-System (SIEM) integriert, denn meist sind die<br />
Benutzer dieselben, mit Sicherheit aber sind die zugrunde liegenden Daten (Logs) identisch.<br />
Die Integration sollte bidirektional sein und es der Log-Management-Lösung erlauben, relevante, ausgewählte Ereignisse zur weiteren<br />
Analyse an das SIEM-Tool weiter zu reichen. In umgekehrter Richtung sollte das SIEM-Tool in der Lage sein, Ereignisse, die für<br />
gefundene (d.h. korrelierte) Bedrohungen stehen, zu Recherchezwecken, zur Berichtserstellung oder zur Archivierung zurück an die<br />
Log-Appliance zu senden. Um eine Überwachungskette zu ermöglichen, sollte die Kommunikation zwischen Log-Management und<br />
SIEM-Infrastruktur sicher und verlässlich sein. Schließlich sollten beide Investitionen eine gemeinsame Datensammel-Infrastruktur<br />
ermöglichen, um unnötige Einsatz- und Wartungsaufwände zu vermeiden.<br />
Voraussetzung Nr. 4: Unterstützung von Audits und bei Rechtsstreitigkeiten<br />
Logs werden zunehmend während Audits und bei Rechtsstreitigkeiten benötigt. Deshalb müssen Unternehmen die Vertraulichkeit,<br />
Integrität und Verfügbarkeit der Log-Daten nachweisen können. Dies gilt sowohl für Daten, die in Gebrauch sind als auch<br />
für gespeicherte. Um die Auditfähigkeit leicht nachweisen zu können, sollte das Sammeln der Daten möglichst nahe an den<br />
ereignisgenerierenden Quellen erfolgen, was wiederum die Wichtigkeit einer verteilten Datensammlung betont. Die Log-<br />
Sammelinfrastruktur an entfernten Standorten sollte über Puffer und verlässliche Übertragungswege verfügen, um im Falle eines<br />
Abbruchs der Netzwerkverbindung zum Datenzentrum einem Datenverlust vorzubeugen.<br />
Sie sollten auch darauf achten, dass Logs in ihrer ursprünglichen Form erhalten werden können. Der Nachweis, dass die<br />
gesammelten Daten weder verändert noch verfälscht wurden, gilt heute als bewährte Schlüsselmethode in Audits. Nach dem<br />
Empfang der unternehmensweit gesammelten Log-Rohdaten werden diese, entsprechend des von NIST 800-92 (Log-Management-<br />
Standard) genehmigten Hashing-Algorithmus SHA-1, einer Integritätsprüfung unterzogen. Schließlich können Maßnahmen zur<br />
Hochverfügbarkeit, wie die Fähigkeit der Ausfallsicherung zwischen Datenzentren, Datenverluste weiter minimieren.<br />
Voraussetzung Nr. 5: Heute analysieren, auf morgen vorbereiten<br />
Obwohl Logs von größtem Wert sind, hat man sich bislang nur wenig bemüht, die Log-Formate der verschiedenen Geräte zu<br />
vereinheitlichen. Jedes hat ein eigenes Log-Format, das sich völlig von dem eines ähnlichen Gerätes eines anderen Herstellers oder<br />
von einem anderen Gerät desselben Herstellers unterscheiden kann. Aus diesem Grund kann kein Mensch die verschiedenen Logs<br />
aller Geräte auf der Welt kennen. Logmanagement-Lösungen können jedoch eine Schlüsselrolle bei der Konvertierung all dieser<br />
verschiedenen Log-Formate in ein einheitliches Format spielen, so dass Analysten nur eines kennen müssen statt zwanzigtausend.<br />
ArcSight 3
White Paper: ArcSight <strong>Logger</strong> 4<br />
Diese Normalisierung von Log-Formaten macht ihre Audit- und Überwachungsinhalte „zukunftssicher“ gegenüber einem Wechsel<br />
der Hersteller und sie macht die Expertenkenntnis der Geräte überflüssig. Bild 4 zeigt an einem Beispiel, was Sie mit bzw. ohne<br />
Normalisierung der Logs sehen.<br />
Ohne normalisierung<br />
Jun 17 2009 09:29:03: %PIX-6-106015: Deny TCP (no connection) from 10.50.215.102/15605 to<br />
204.110.227.16/443 flags FIN ACK in interface outside<br />
Mit normalisierung<br />
Zeit name Geräte-<br />
hersteller<br />
Geräte-<br />
produkt<br />
Kategorie-<br />
verhalten<br />
Kategorie-<br />
gerätegruppe<br />
Kategorie-<br />
resultat<br />
Kategoriebedeutung<br />
6/17/2009 9:29 Verweigern CISCO Pix /Zugang /Firewall /Fehler /Information/Warnung<br />
Bild 4. Die Normalisierung der Logs führt zu schnell und leicht verständlichen Informationen<br />
Voraussetzung Nr. 6: Gehen Sie keine Kompromisse ein<br />
Die meisten Log-Management-Tools unterstützen zwar die schnelle Log-Analyse, machen aber Kompromisse bei Sammelraten<br />
oder Speichereffizienz oder benötigen mehr Hardware. Wegen der gegenseitigen Abhängigkeit dieser drei Dinge musste man bei<br />
herkömmlichen Log-Management-Lösungen bislang immer Zugeständnisse machen. Produkte, die für Speicherung optimiert sind,<br />
arbeiten normalerweise mit Datenkomprimierung, was wiederum das Sammeln und die Analyse verlangsamt. Auf der anderen Seite<br />
verlangt eine schnelle Analyse nach Indexierung, die den Speicherbedarf aufbläht. Eine ideale Log-Management-Lösung sollte diese<br />
Zugeständnisse eliminieren und schnelles Sammeln genauso ermöglichen wie die ultraschnelle Analyse und effiziente Speicherung.<br />
ArcSight <strong>Logger</strong>: Die erste universelle Log-Management-Lösung<br />
Der ArcSight <strong>Logger</strong> erfüllt den wachsenden Bedarf der Industrie, alle Formate von Log-Daten schnell und effizient sammeln,<br />
speichern und analysieren zu können, und er übertrifft alle oben genannten Anforderungen. Diese Lösung bietet einen einfach<br />
durchsuchbaren, leistungsstarken Log-Datenspeicher, der die forensische Analyse von Vorfällen im Bereich der Cybersicherheit oder<br />
der IT-Abläufe beschleunigen kann, und die Lösung bietet einen effizienten Datenspeicher, um die vielfältigen Regularien erfüllen zu<br />
können.<br />
Der ArcSight <strong>Logger</strong> vereinigt Berichterstattung, Alarmierung, Recherche und<br />
Analyse über alle Arten von Unternehmensdaten hinweg. Seine Fähigkeit,<br />
die riesigen Datenmengen, die von heutigen Netzwerken generiert werden,<br />
sammeln und analysieren zu können, macht ihn einzigartig. Mit dieser Lösung<br />
kann jede Unternehmensform:<br />
• der Cyberkriminalität begegnen mittels vereinheitlichter Analyse zur<br />
einfacheren und schnelleren kriminaltechnischen Untersuchung über alle<br />
Daten hinweg;<br />
• Einhaltung von Regularien nachweisen anhand der Sammlung und<br />
Speicherung von Daten in Audit-Qualität, durch ein vorinstalliertes<br />
Berichtswesen und anhand der effizienten Archivierung<br />
aufbewahrungspflichtiger Daten über Jahre hinweg;<br />
die Prozesse rationalisieren<br />
• durch schnellere, bessere und<br />
einfachere Untersuchungen zu Abläufen im Change-, Netzwerk- sowie<br />
Applikationsmanagement.<br />
RATIONALISIERTE<br />
PROZESSE<br />
CYBERKRIMINALITÄT<br />
BEKÄMPFEN<br />
ALLE LOG-DATEN<br />
MANAGEN<br />
EINHALTUNG VON<br />
REGULARIEN NACHWEISEN<br />
Bild 5. ArcSight <strong>Logger</strong>: Die Lösung für<br />
Cyberkriminalitäts-, Compliance- und<br />
IT-Pozessteams<br />
ArcSight 4
White Paper: ArcSight <strong>Logger</strong> 4<br />
Cyberkriminalität bekämpfen<br />
Drei Hauptmerkmale machen den ArcSight <strong>Logger</strong> einzigartig in seiner Fähigkeit,<br />
Cyberkriminalität zu bekämpfen.<br />
•<br />
•<br />
•<br />
Universelle Ereignissammlung<br />
ArcSight <strong>Logger</strong> unterstützt das Sammeln roher oder unstrukturierter Logs von<br />
beliebigen Syslog- oder dateibasierten Log-Quellen und setzt auch die riesige<br />
Bibliothek der ArcSight Connectors wirksam ein, die wiederum Daten von<br />
mehr als 275 verschiedenen Log-generierenden Quellen sammeln. Zusätzlich<br />
erweitert das System des ArcSight FlexConnector die Log-Sammelkapazitäten<br />
auf die Quellen der Kunden und auf Inhouse-Applikationen.<br />
Einfache und schnelle Untersuchung<br />
ArcSight <strong>Logger</strong> ermöglicht mittels einer GoogleTM-ähnlichen Schnittstelle die<br />
einheitliche Analyse über alle Arten von Daten (strukturierte und unstrukturierte)<br />
durch eine „einzige Fensterscheibe“. ArcSight <strong>Logger</strong> besticht nicht nur durch<br />
seine Einfachheit, es bietet auch eine ultraschnelle Recherche (über Millionen<br />
von Ereignissen pro Sekunde) sowie Berichtsmöglichkeiten, die viele Terabyte<br />
an Daten in Sekunden verarbeiten.<br />
Alarmierung in Echtzeit und bidirektionale SIEM-Integration<br />
Zum Erkennen raffinierter und technisch ausgefeilter Cyberattacken bedarf es<br />
häufig einer leistungsfähigen Korrelation vieler Ereignisse. Um einen möglichst<br />
breiten Bereich an Cybersicherheitsszenarien abzudecken, bietet ArcSight<br />
<strong>Logger</strong> eine Reihe von Alarmierungen in Echtzeit, wie sie in Bild 6 dargestellt<br />
sind. Das Produkt kann sich überdies in jede SIEM-Umgebung integrieren.<br />
Genauer gesagt, integriert sich das Produkt in das marktführende SIEM-<br />
Angebot ArcSight ESM und wird mit ArcSight Express ausgeliefert. ArcSight<br />
bietet als einziges Unternehmen diese unmittelbare Integrierbarkeit von Log-<br />
Management und SIEM, was eine gemeinsame Datensammelarchitektur<br />
ermöglicht, zu niedrigen Lebenszyklus-Gesamtkosten führt und eine hohe<br />
Rentabilität garantiert.<br />
Bild 6. Warnmeldungen in Echtzeit via SNMP, E-Mail, Syslog und Webkonsole<br />
ArcSight <strong>Logger</strong> ist eine<br />
gehärtete Appliance, einfach<br />
zu implementieren und auf die<br />
Bedürfnisse großer Unternehmen<br />
mit verteilten und heterogenen<br />
Netzwerken skalierbar. ArcSight<br />
<strong>Logger</strong> bietet:<br />
• Schnelle Sammlung: Sammelt<br />
Log-Daten mit anhaltenden Raten<br />
von mehr als 100.000 EPS pro<br />
Appliance<br />
•<br />
•<br />
•<br />
•<br />
Umfassender Log-<br />
Zusammenschluss: Log-Rohdaten<br />
wie auch eine optimierte<br />
Standardsammlung für mehr als<br />
275 unterschiedliche Quellen<br />
Auditfähige Logdatenspeicherung:<br />
Sichere Sammlung und<br />
Speichern, Integritätskontrollen,<br />
engmaschige Zugangskontrollen<br />
und automatisierte<br />
Aufbewahrungsrichtlinien<br />
Leistungsfäige<br />
Analysemöglichkeiten: Hoch<br />
performante, interaktive<br />
Recherchemöglichkeiten über<br />
alle Datenformate (strukturierte<br />
sowie unstrukturierte),<br />
umfassende Berichte und<br />
Echtzeit-Alarmgenerator mit<br />
den vorinstallierten Modulen<br />
Cyberkriminalität, Compliance und<br />
IT-Abläufe<br />
Kostengünstige Speicherung:<br />
Sammelt, speichert und<br />
durchsucht bis zu 42 TB reiner<br />
Log-Daten pro Appliance<br />
bei einer durchschnittlichen<br />
Komprimierungsrate von 10:1,<br />
genug für die Berichte vieler Jahre<br />
• Erweiterter Schutz: Gehärtete<br />
Appliance mit abgesichertem<br />
Zugang, nutzt FIPS und CAC zur<br />
Kriminaluntersuchung und zur<br />
Strafverfolgung<br />
ArcSight 5
White Paper: ArcSight <strong>Logger</strong> 4<br />
Einhaltung von Regularien<br />
nachweisen<br />
ArcSight <strong>Logger</strong> wird mit vordefinierten<br />
Regeln, Berichten und Dashboards<br />
ausgeliefert, die sofort zur Überwachung<br />
der Regelkonformität, der Cybersicherheit<br />
oder der IT-Abläufe einsetzbar sind. Im<br />
Hinblick auf bestimmte Richtlinien, wie PCI<br />
und SOX, sind zusätzliche Inhalte in Form<br />
von Add-On-Paketen erhältlich, die auf<br />
allgemein bekannten Standards basieren,<br />
beispielsweise auf NIST 800-53, ISO-17799<br />
und SANS. Für die schnellere Auditierung<br />
stellt ArcSight <strong>Logger</strong> aufgabenbasierte oder<br />
personalisierte Dashboards zur Verfügung,<br />
die relevante Berichte auf einer einzigen<br />
Konsole bündeln. Ausgehend von diesen<br />
Überblicksdarstellungen kann der Anwender<br />
auf darunterliegende Berichte zugreifen<br />
oder auch einen Audit-Workflow simulieren<br />
(siehe Bild 7). Dieser logische Fluss über Bild 7: Automatisierte Audits mit ArcSight <strong>Logger</strong><br />
verschiedene Formen der Analyse hinweg<br />
eliminiert die Notwendigkeit, auf jeder Stufe der Untersuchung neue Inhalte zu generieren. Nicht zuletzt unterstützt ArcSight <strong>Logger</strong><br />
vielfache Richtlinien zur Datenaufbewahrung, deren Einhaltung automatisch erzwungen werden kann.<br />
Rationalisierung von IT-Abläufen<br />
Herkömmliche Log-Management-Lösungen konzentrieren sich primär auf die Recherche in unstrukturierten Daten bei IT-<br />
Ablaufszenarien. ArcSight <strong>Logger</strong> „verbindet“ die unstrukturierte mit der strukturierten Recherche, um die Untersuchungsergebnisse<br />
zu verbessern. So interessieren sich die IT-Mitarbeiter beispielsweise nur dann für eine bestimmte IP-Adresse, wenn sie die IP-<br />
Zieladresse ist, nicht aber, wenn sie die IP-Quelladresse ist. Um erstere in einer herkömmlichen IT-Struktur ausfindig zu machen, muss<br />
die IT-Ablaufslösung explizites Tagging (Datenkennung) unterstützen; ArcSight <strong>Logger</strong> hingegen unterstützt solche Anwendungsfälle<br />
standardmäßig, mithilfe der Technologie ArcSight Common Event Format (CEF). ArcSight <strong>Logger</strong> wird auch mit vordefinierten<br />
Berichten, Such- und Benachrichtigungsvorgängen sowie Alarmierungsverfahren ausgeliefert, die für spezifische IT-Ablaufszenarien<br />
erstellt wurden (siehe Bild 8).<br />
Bild 8: Eine Unterauswahl von ArcSight <strong>Logger</strong>-Berichten zu IT-Ablaufszenarien<br />
ArcSight 6
White Paper: ArcSight <strong>Logger</strong> 4<br />
Praxisbezogenes Szenarium: Digitale Fingerabdrücke ergeben das komplette Bild<br />
Weltweit nutzen Unternehmen die Funktionen von ArcSight <strong>Logger</strong> zu ihrem Vorteil, sowohl innerhalb als auch außerhalb der Bereiche<br />
Sicherheit, Compliance und IT-Abläufe. Der folgende Abschnitt hebt einen Anwendungsfall hervor, bei dem ArcSight <strong>Logger</strong> mit seinen<br />
einzigartigen Suchfähigkeiten in strukturiertem sowie in Rohtext möglicherweise hätte benutzt werden können, um einen Spionagefall<br />
zu verhindern.<br />
Beispiel: Ermittlungen in einem Cyberspionagefall<br />
Im Juli 2009 wurde ein vormaliger Boeing-Ingenieur, Dongfan „Greg“ Chung, der Wirtschaftsspionage und des Geheimnisverrats für<br />
schuldig befunden. Er soll Handelsgeheimnisse der Luft- und Raumfahrt, einschließlich Daten zum Spaceshuttle, an die Volksrepublik<br />
China verraten haben. Chung fing im Rahmen einer Firmenübernahme bei Boeing an, ging nach mehr als 30 Jahren in Rente und<br />
kehrte dann als freier Mitarbeiter zurück. Dieses Beispiel weist auf zwei Gruppen typischerweise an Spionagefällen Beteiligter hin: freie<br />
Mitarbeiter und „vertrauenswürdige“ Firmenangehörige.<br />
Es ist offensichtlich, dass das gehobene Management Einblick in die Systeme und Daten braucht, die Chung benutzt hat, um das<br />
ganze Ausmaß feststellen zu können. Auf den ersten Blick mag das einfach erscheinen: Man scannt alle Logs um festzustellen, welche<br />
Dateien er heruntergeladen und auf welche Host-Rechner oder Applikationen Chung zugegriffen hat. Es wird jedoch schnell deutlich,<br />
dass viele Netzwerkaktivitäten untersucht werden müssen um festzustellen, ob Chung auch Konfigurationen verändert, ausführbare<br />
Dateien eingeschmuggelt, eine Hintertür geöffnet oder irgendetwas anderes gemacht hat, was über seine normalen Zugriffsrechte<br />
hinaus ging.<br />
Bei solchen Untersuchungen würde die typische Anfrage etwa so lauten: „Zeige mir alle Aktivitäten auf, die der Mitarbeiter letzte<br />
Woche, letzten Monat oder letztes Jahr unternommen hat.“ Ohne eine zentralisierte Log-Datenhaltung wird eine solche Anfrage kaum<br />
zu beantworten sein; mit ArcSight <strong>Logger</strong> ist das jedoch einfach möglich, wie in Schritt 1 gezeigt.<br />
Schritt 1: Auflistung (per unstrukturierter Suche) aller Aktivitäten, die Greg Chung unter Benutzung seiner verschiedenen Identitäten ausgeführt<br />
hat<br />
ArcSight 7
White Paper: ArcSight <strong>Logger</strong> 4<br />
Die nächste Analyseebene könnte darin bestehen, die Aktivitäten des Mitarbeiters zu verfolgen, um nach Hinweisen für nicht<br />
autorisierte Zugriffe, Zugriffe auf vertrauliche Systeme, eine ungewöhnlich hohe Zahl an Ausdrucken außerhalb der regulären<br />
Arbeitszeit oder andere Anomalien zu suchen. Für ein Unternehmen mit einem hohen Volumen an Ereignis-Logs, erzeugt in<br />
Datenzentren und konsolidiert an verschiedenen Orten, wäre eine solche Recherche zeit- und kostenintensiv. Ein Mitarbeiter kann<br />
in einem kurzen Zeitraum eine hohe Anzahl an Aktivitäten auslösen und die dazugehörigen Daten wären wahrscheinlich über das<br />
gesamte Netzwerk des Unternehmensnetzes verteilt. Eine zentralisierte Sammlung der Daten mit ArcSight <strong>Logger</strong> macht diese<br />
mühsame Aufgabe zu einer einfachen Rechercheanfrage, wie in Schritt 2 gezeigt.<br />
Schritt 2: Auflistung (per strukturierter Suche) der Aktivitäten aus Schritt 1 UND unter Benutzung von Finanzdaten auf „sourceHostname“<br />
Der letzte Analyseschritt könnte sein, anhand der Logs herauszufinden, von wo Chung Daten per FTP hochgeladen hat, siehe<br />
Schritt 3.<br />
ArcSight <strong>Logger</strong> kann Daten sammeln, effizient speichern und stellt über das gesamte Log-Datenset hinweg interaktive Recherche-<br />
und Berichtsmöglichkeiten zur Verfügung. Diese Recherche kann alle ArcSight <strong>Logger</strong> Appliances im Unternehmen umfassen. Wie<br />
in Schritt 3 gezeigt, löst die spezielle Anforderung lediglich eine kombinierte Suchanfrage nach potentiellen Benutzernamen oder<br />
Identitäten aus, die Greg Chung benutzte (unstrukturierte Daten), sowie nach Logs, die besagen, wann er auf vertrauliche Systeme<br />
zugegriffen hat (strukturierte Daten) und wann er irgendwelche Finanzdokumente via FTP hochgeladen hat (unstrukturierte Daten).<br />
Die Ergebnisse werden als exportierbare Daten in Audit-Qualität dargestellt, die für tiefergehende Analysen offen sind, oder sie werden<br />
als Echtzeit-Warnmeldungen für spätere Benachrichtigungen gespeichert. Je nach Art der forensischen Analyse möchte der Anwender<br />
evtl. zwischen der strukturierten und unstrukturierten Datensuche hin und her springen können. Ganz gleich, ob der Analytiker nun<br />
zwei Wochen oder zwei Jahre zurückgehen muss, ArcSight <strong>Logger</strong> macht es ihm einfach, die Ad-hoc-Suchanfrage in den Log-Daten<br />
des Unternehmens durchzuführen.<br />
ArcSight 8
White Paper: ArcSight <strong>Logger</strong> 4<br />
Schritt 3: Auflistung (per unstrukturierter Suche) aller Aktivitäten aus Schritt 1 UND Schritt 2 UND unter Benutzung des FTP-Protokolls<br />
Zusammenfassung<br />
Logs enthalten Informationen über alle verborgenen Vorgänge im Unternehmen und können, entsprechend genutzt, von größtem<br />
Wert sein. Das Log-Management ist heute entscheidend, wenn es darum geht, die Sicherheit, die Einhaltung von Regularien oder die<br />
Abläufe zu verbessern. Deshalb wird der Ansatz, für die Überwachung, die Sicherheit und die Einhaltung der Regularien jeweils ein<br />
anderes Produkt einzusetzen, immer Stückwerk bleiben. Die Fähigkeit, schnell auf alle über das Unternehmen verteilte Log-Daten<br />
zugreifen zu können, führt zu den kontextabhängigen Informationen, die im Falle einer Untersuchung die Beweislage verbessern.<br />
Diese Fähigkeit vergrößert den Einblick in das Netzwerk, den Zustand und die Verfügbarkeit des Systems und der Applikationen und<br />
verbessert die Möglichkeiten zur Fehlerbeseitigung.<br />
ArcSight <strong>Logger</strong> 4 ist die erste universelle Lösung auf dem Markt zum Sammeln von Logs und zur Analyse derselben. ArcSight<br />
<strong>Logger</strong> kann nicht nur strukturierte sowie unstrukturierte Daten sammeln, sondern das Produkt beinhaltet auch eine einheitliche<br />
Rechercheschnittstelle zur schnellen, effizienten forensischen Analyse über beide Datentypen hinweg. ArcSight <strong>Logger</strong> unterstützt<br />
eine große Anzahl an Servern, Applikationen und Geräten im Netzwerk. Das Produkt speichert Log-Daten effizient und mittels<br />
Komprimierung. Es schützt die Daten, deren Integrität und den Zugriff darauf. Es ist einfach einzusetzen, zu benutzen, zu skalieren<br />
und zu warten.<br />
Über ArcSight:<br />
ArcSight (NASDAQ: ARST) ist ein weltweit führender Anbieter von Lösungen zum Sicherheits- und Regelkonformitätsmanagement zum Schutz<br />
von Unternehmen und Regierungsbehörden. ArcSight identifiziert, überwacht und entschärft sowohl interne als auch externe Cyberbedrohungen<br />
sowie Risiken für die Unternehmensorganisation, die mit Aktivitäten im Bereich kritischer Vermögenswerte und Prozesse in Verbindung stehen.<br />
Mit der marktführenden ArcSight SIEM-Plattform können Organisationen proaktiv ihre Vermögenswerte absichern, Unternehmens- und<br />
regulatorische Richtlinien erfüllen und Risiken kontrollieren, die in Zusammenhang stehen mit Cyberdiebstahl, Cyberbetrug, Cyberkriegsführung<br />
und Cyberspionage. Weitere Informationen erhalten Sie auf unserer Website: www.arcsight.com.<br />
Wenn Sie mehr erfahren möchten, wenden Sie sich an ArcSight. Über E-Mail an:<br />
info@arcsight.com oder telefonisch unter +44 (0)845 356 7708<br />
© 2009 ArcSight, Inc. Alle Rechte vorbehalten. ArcSight und das ArcSight-Logo sind Warenzeichen der ArcSight, Inc. Alle anderen Produkt- und<br />
Firmennamen können Warenzeichen oder eingetragene Warenzeichen der jeweiligen Eigentümer sein.<br />
ArcSight 9