Arcsight Logger 4

White Paper
ArcSight Logger 4
Cyberkriminalität bekämpfen,
Einhaltung von Regularien nachweisen
und IT-Arbeitsabläufe rationalisieren
Studie 020-102409-04
ArcSight, Inc.
5 Results Way, Cupertino, CA 95014, USA
www.arcsight.com info@arcsight.com
Hauptsitz: +1-888-415-ARST
Hauptsitz für den EMEA-Raum: +44 (0)845 356 7708
Hauptsitz für den asiatisch-pazifischen Raum: +852 2166 8302

White Paper: ArcSight Logger 4
Überblick
Angestellte, Kunden, Auftragnehmer, Partner oder auch Eindringlinge hinterlassen digitale Fingerabdrücke, wenn sie Systeme des
Unternehmens, Datenbanken, Webseiten, Applikationen oder die physikalische Sicherheitsinfrastruktur benutzen. Diese digitalen
Fingerabdrücke, gemeinhin als Ereignisse oder Logs bekannt, können genutzt werden:
• zur Bekämpfung von Cyberkriminalität mittels vereinheitlichter Analyse zur kriminaltechnischen Untersuchung über alle Daten
hinweg
• zum nachweis der Einhaltung von Regularien dank der Datensammlung und -aufbewahrung in auditfähiger Qualität
• zur Rationalisierung von It-Arbeitsabläufen, indem operationelle Daten untersucht werden können, die für das Change
Management, das Netzwerkmanagement oder das Management der Applikationen benötigt werden
Trotz der eindeutigen Vorteile des Log-Managements haben Organisationen mit dem Volumen an sowie dem Zugriff auf Log-Daten
im laufenden Betrieb zu kämpfen. Bis heute gab es keine einzige Lösung, die die unterschiedlichen Ansprüche der Sicherheits-,
Audit- und IT-Teams in sich vereinte. Typischerweise werden in Unternehmen verschiedene Produkte eingesetzt, um die genannten
Anforderungen abzudecken, was wiederum eine fragmentierte Analyse, zu hohe IT-Ausgaben und erhöhte Geschäftsrisiken zur Folge
hat. Dieses White Paper diskutiert die Anforderungen an eine universelle Log-Management-Lösung und beschreibt detailliert, wie
ArcSight Logger 4 diese Anforderungen erfüllt. Ein kürzlich bei der Boeing Corporation aufgetretener Computerspionagefall wird als ein
Beispiel aufgeführt.
Die Notwendigkeit einer umfassenden Log-Management-Lösung
Computersysteme und Applikations-Logs gibt es schon lange und letztere sind älter als das Internet, älter als die erste Firewall der
Welt und im Wesentlichen so alt wie das älteste Computersystem. Seit jeher werden sie für das Troubleshooting benutzt. Bedingt
durch die höhere Komplexität der Netzwerke, hat man es heute mit höheren Datenvolumina, mit mehr Transaktionen und Online-
Anwendern zu tun. Regierungen und Unternehmen werden weltweit zunehmend angreifbarer durch Cyberkrieg, Cyberdiebstahl,
Cyberbetrug und Cyberspionage durch Hacker, durch schädliche Programme und böswillige Insider. Auf dieser Evolutionsstufe des
Cyberspace können Logs nun genutzt werden, um forensische Analysen zu allen Arten von Cybersicherheitsvorfällen durchzuführen.
Das Sammeln, das zentrale Speichern und die schnelle Analyse aller Cybersicherheitsvorfälle über verschiedene Geräte und
Anwendungen hinweg sind die Schlüsselanforderungen.
Eine von der U.S. Cyber Consequences Unit kürzlich
erstellte Untersuchung besagt, dass eine einzelne Welle von
Computerattacken auf kritische Infrastrukturen einen Schaden
von mehr als 700 Milliarden USD zur Folge haben könnte,
etwa soviel Schaden, wie 50 große Hurrikans anrichten
würden, die gleichzeitig über Amerika hereinbrächen. Das
wirkliche Problem ist, dass mehr als 75 Prozent der kritischen
Infrastruktur dem privaten Sektor gehören und dereguliert
sind (laut Homeland Security Presidential Directive-7). Dieses
Beispiel verdeutlicht, wie und warum die Sicherheit und die
Erfüllung der Regularien Hand in Hand gehen. Den meisten
Unternehmen entstehen Kosten und Aufwände, da sie
zahlreiche Industrie-, staatliche oder nationale Verordnungen
erfüllen müssen, wie Sarbanes-Oxley, HIPAA, FISMA,
GLBA, PCI, BASEL, die NERC CIP Standards, internationale
Datenschutzgesetze und viele mehr. Die meisten dieser
Regularien verlangen die Aufbewahrung verschiedener Daten
Regularium Aufbewahrungsfrist*
SOX 7 Jahre
PCI 1 Jahr
GLBA 6 Jahre
EU-DR-RIChtLInIE 2 Jahre
BASEL II 7 Jahre
hIPAA 6/7 Jahre
vOn nERC CIP-002 BIS
CIP-009
3 Jahre
FISMA 3 Jahre
Bild 1 Fristen zur Aufbewahrung regulierter Daten
*Nach Auslegung von ArcSight.
ArcSight 1

White Paper: ArcSight Logger 4
über viele Jahre, wie in Bild 1 gezeigt. Effektives und effizientes Log-Management kann gleichzeitig dazu dienen, die verschiedenen
Regularien zu erfüllen sowie Zeit und Kosten bei Regulariumaudits einzusparen. Wie dem auch sei, genau so wichtig wie für die
Sicherheit und für die Einhaltung von Regularien ist das Log-Management für die IT-Prozessabläufe.
Laut der Gartner Group, einem führenden Unternehmen im Bereich Marktforschung und Analyse, liegen bei lediglich 20 Prozent der
auftragskritischen Systemausfallzeiten (umwelt-)technisches Versagen oder Naturkatastrophen zu Grunde. Die anderen 80 Prozent
werden durch menschliches Versagen oder fehlerhafte Prozessabläufe verursacht; so musste beispielsweise ein Kernkraftwerk
im U.S.-Bundesstaat Georgia für 48 Stunden notabgeschaltet werden, nachdem ein Softwareupdate fehlgeschlagen war (Quelle:
Washington Post, 2008). Ein Teil dieser 80 Prozent könnte auf Cybersicherheitsaspekte zurückzuführen sein, aber der große Rest
beruht schlicht und einfach auf mangelhaftem Change- und Applikationsmanagement. Da Logs ein Protokoll zu allen Veränderungen
erstellen, die an den verschiedenen Systemen vorgenommen worden sind, können Logs bei kriminaltechnischen Untersuchungen oder
bei der schnellen Lösung von Problemen mit IT-Abläufen immens hilfreich sein.
SICHERHEIT
Downloads schädigender
Software
CPU-Überlastspitzen
IT-PROZESSE
Datendiebe
REGELKON-
FORMITÄT
Bild 2. Sicherheit, Regelkonformität sowie
IT-Prozesse hängen zusammen
Die passende Log-Management-Lösung auswählen
Eine ideale Log-Management-Lösung muss gleichzeitig die Anforderungen der
Sicherheits-, Compliance- und IT-Prozessteams erfüllen können. Sie muss in
der Lage sein, alle Log-Daten innerhalb des Unternehmens zu sammeln und
zu speichern. Aber nicht alle Log-Management-Lösungen sind gleich konzipiert;
manche behandeln Symptome isoliert und setzen so das Unternehmen größeren
Risiken aus. Die Marktbedingungen verlangen nach einem einzigem Log-
Management-Tool, das folgende Voraussetzungen erfüllt, um jedes Ereignis
innerhalb der Unternehmung verarbeiten zu können.
Voraussetzung Nr. 1: Alles überwachen
Logs werden in verschiedenen Formaten erzeugt, siehe Bild 3, und können
strukturiert (geparst und in Felder abgeglichen) oder unstrukturiert (Rohtext)
gesammelt werden. Die sich rasant verändernde Cyberwelt erfordert die
Sammlung und die ultraschnelle Analyse aller Arten von Daten durch „ein einziges
Fenster“. Bezüglich des Sammelns sollten Log-Managementlösungen alle
möglichen Methoden unterstützen, einschließlich Push- und Pull-Mechanismen.
Früher wurden die Log-Analysen bezüglich Sicherheit, Regelkonformität oder
bezüglich der Abläufe als separate Domänen betrachtet. Systemabstürze,
Cyberattacken und die Nichteinhaltung von Regularien haben jedoch häufig
gemeinsame Ursachen. So könnte beispielsweise ein nachlässiger oder auch
böswilliger Insider einen Bot im Firmennetzwerk freisetzen, der dann vertrauliche
Daten sammelt und an Dritte sendet, während System-CPU und Laufwerke
gleichzeitig hängen bleiben. Für die meisten Log-Managementprodukte stellt
das Diagnostizieren der CPU und von Laufwerken eine große Herausforderung
dar, da unstrukturierte System-Log-Daten erhoben werden müssen. Log-
Managementprodukte, die auf die Verarbeitung strukturierter Daten setzen, sind
nicht in der Lage festzustellen, ob CPU- oder Laufwerkslastspitzen auf bösartige
Software zurückzuführen sind. So geht die Organisation das Symptom (CPU-
Überlastung) an und verfehlt das wirkliche Problem, den Verlust von Kundendaten
(Verstoß gegen Regularien) aufgrund einer kriminellen Handlung. Weil heutige
Cyberattacken immer raffinierter und technisch perfekter werden, müssen auch
die Maßnahmen zur Entdeckung von Cyberverbrechen und der Schutz der
Unternehmensdaten und -infrastruktur gleichermaßen ausgereift sein.
Bild 3. Umfassendes Sammeln
und Analysieren strukturierter und
unstrukturierter Daten
ArcSight 2

White Paper: ArcSight Logger 4
Die Lösungen sollten nicht nur Live Feeds sammeln, sondern auch das Sammeln von existenten Daten aus dateibasierter
Speicherung oder von Syslogs unterstützen. Solange Unternehmen nicht alle Daten sammeln und auswerten können, können sie auch
keine auftretenden Vorfälle zeitnah und auf einfache Weise untersuchen.
Voraussetzung Nr. 2: Alles speichern
Ist die Entscheidung zum Sammeln aller Logs vom gesamten Unternehmen gefallen, müssen die Daten auf effiziente und effektive
Weise gespeichert werden. Organisationen, die die Log-Infrastruktur in Eigenregie verwirklichen, haben schließlich oft Silos voller
dezentralisierter Log-Server, die sehr schwer zu verwalten sind. Angesichts der regulatorischen Vorgaben zur Datenaufbewahrung
kann die Log-Datenmenge einer Organisation schnell auf viele Terabyte anschwellen. Log-Management-Lösungen sollten auch den
Einsatz externer SAN-/NAS-Speicherlösungen unterstützen und jede zusammengesetzte Speicherlösung sollte zur Ausfallsicherung
das RAID-Verfahren einsetzen. Um vollkommen flexibel zu sein, sollte die Lösung zur Archivierung von existenten Daten verbreitete
Protokolle wie NFS und CIFS unterstützen. Schließlich sollten Aufbewahrungsrichtlinien, entsprechend der Gerätetypen und der
spezifischen Regulatorien automatisch erzwungen werden. Nicht vergessen werden sollte die Möglichkeit zur „Verlängerung der Log-
Lebensdauer“ bei drohenden Rechtsstreitigkeiten.
Voraussetzung Nr. 3: Korrelieren, untersuchen, beseitigen
Das Log-Management wird häufig in Verbindung mit einer geräteübergreifenden Korrelation von Ereignissen in Echtzeit zur
Entdeckung externer und interner Bedrohungen oder Regelverstöße verwendet. Es ist deswegen entscheidend, dass sich die Log-
Managementinfrastruktur nahtlos in das Security Information and Event Management-System (SIEM) integriert, denn meist sind die
Benutzer dieselben, mit Sicherheit aber sind die zugrunde liegenden Daten (Logs) identisch.
Die Integration sollte bidirektional sein und es der Log-Management-Lösung erlauben, relevante, ausgewählte Ereignisse zur weiteren
Analyse an das SIEM-Tool weiter zu reichen. In umgekehrter Richtung sollte das SIEM-Tool in der Lage sein, Ereignisse, die für
gefundene (d.h. korrelierte) Bedrohungen stehen, zu Recherchezwecken, zur Berichtserstellung oder zur Archivierung zurück an die
Log-Appliance zu senden. Um eine Überwachungskette zu ermöglichen, sollte die Kommunikation zwischen Log-Management und
SIEM-Infrastruktur sicher und verlässlich sein. Schließlich sollten beide Investitionen eine gemeinsame Datensammel-Infrastruktur
ermöglichen, um unnötige Einsatz- und Wartungsaufwände zu vermeiden.
Voraussetzung Nr. 4: Unterstützung von Audits und bei Rechtsstreitigkeiten
Logs werden zunehmend während Audits und bei Rechtsstreitigkeiten benötigt. Deshalb müssen Unternehmen die Vertraulichkeit,
Integrität und Verfügbarkeit der Log-Daten nachweisen können. Dies gilt sowohl für Daten, die in Gebrauch sind als auch
für gespeicherte. Um die Auditfähigkeit leicht nachweisen zu können, sollte das Sammeln der Daten möglichst nahe an den
ereignisgenerierenden Quellen erfolgen, was wiederum die Wichtigkeit einer verteilten Datensammlung betont. Die Log-
Sammelinfrastruktur an entfernten Standorten sollte über Puffer und verlässliche Übertragungswege verfügen, um im Falle eines
Abbruchs der Netzwerkverbindung zum Datenzentrum einem Datenverlust vorzubeugen.
Sie sollten auch darauf achten, dass Logs in ihrer ursprünglichen Form erhalten werden können. Der Nachweis, dass die
gesammelten Daten weder verändert noch verfälscht wurden, gilt heute als bewährte Schlüsselmethode in Audits. Nach dem
Empfang der unternehmensweit gesammelten Log-Rohdaten werden diese, entsprechend des von NIST 800-92 (Log-Management-
Standard) genehmigten Hashing-Algorithmus SHA-1, einer Integritätsprüfung unterzogen. Schließlich können Maßnahmen zur
Hochverfügbarkeit, wie die Fähigkeit der Ausfallsicherung zwischen Datenzentren, Datenverluste weiter minimieren.
Voraussetzung Nr. 5: Heute analysieren, auf morgen vorbereiten
Obwohl Logs von größtem Wert sind, hat man sich bislang nur wenig bemüht, die Log-Formate der verschiedenen Geräte zu
vereinheitlichen. Jedes hat ein eigenes Log-Format, das sich völlig von dem eines ähnlichen Gerätes eines anderen Herstellers oder
von einem anderen Gerät desselben Herstellers unterscheiden kann. Aus diesem Grund kann kein Mensch die verschiedenen Logs
aller Geräte auf der Welt kennen. Logmanagement-Lösungen können jedoch eine Schlüsselrolle bei der Konvertierung all dieser
verschiedenen Log-Formate in ein einheitliches Format spielen, so dass Analysten nur eines kennen müssen statt zwanzigtausend.
ArcSight 3

White Paper: ArcSight Logger 4
Diese Normalisierung von Log-Formaten macht ihre Audit- und Überwachungsinhalte „zukunftssicher“ gegenüber einem Wechsel
der Hersteller und sie macht die Expertenkenntnis der Geräte überflüssig. Bild 4 zeigt an einem Beispiel, was Sie mit bzw. ohne
Normalisierung der Logs sehen.
Ohne normalisierung
Jun 17 2009 09:29:03: %PIX-6-106015: Deny TCP (no connection) from 10.50.215.102/15605 to
204.110.227.16/443 flags FIN ACK in interface outside
Mit normalisierung
Zeit name Geräte-
hersteller
Geräte-
produkt
Kategorie-
verhalten
Kategorie-
gerätegruppe
Kategorie-
resultat
Kategoriebedeutung
6/17/2009 9:29 Verweigern CISCO Pix /Zugang /Firewall /Fehler /Information/Warnung
Bild 4. Die Normalisierung der Logs führt zu schnell und leicht verständlichen Informationen
Voraussetzung Nr. 6: Gehen Sie keine Kompromisse ein
Die meisten Log-Management-Tools unterstützen zwar die schnelle Log-Analyse, machen aber Kompromisse bei Sammelraten
oder Speichereffizienz oder benötigen mehr Hardware. Wegen der gegenseitigen Abhängigkeit dieser drei Dinge musste man bei
herkömmlichen Log-Management-Lösungen bislang immer Zugeständnisse machen. Produkte, die für Speicherung optimiert sind,
arbeiten normalerweise mit Datenkomprimierung, was wiederum das Sammeln und die Analyse verlangsamt. Auf der anderen Seite
verlangt eine schnelle Analyse nach Indexierung, die den Speicherbedarf aufbläht. Eine ideale Log-Management-Lösung sollte diese
Zugeständnisse eliminieren und schnelles Sammeln genauso ermöglichen wie die ultraschnelle Analyse und effiziente Speicherung.
ArcSight Logger: Die erste universelle Log-Management-Lösung
Der ArcSight Logger erfüllt den wachsenden Bedarf der Industrie, alle Formate von Log-Daten schnell und effizient sammeln,
speichern und analysieren zu können, und er übertrifft alle oben genannten Anforderungen. Diese Lösung bietet einen einfach
durchsuchbaren, leistungsstarken Log-Datenspeicher, der die forensische Analyse von Vorfällen im Bereich der Cybersicherheit oder
der IT-Abläufe beschleunigen kann, und die Lösung bietet einen effizienten Datenspeicher, um die vielfältigen Regularien erfüllen zu
können.
Der ArcSight Logger vereinigt Berichterstattung, Alarmierung, Recherche und
Analyse über alle Arten von Unternehmensdaten hinweg. Seine Fähigkeit,
die riesigen Datenmengen, die von heutigen Netzwerken generiert werden,
sammeln und analysieren zu können, macht ihn einzigartig. Mit dieser Lösung
kann jede Unternehmensform:
• der Cyberkriminalität begegnen mittels vereinheitlichter Analyse zur
einfacheren und schnelleren kriminaltechnischen Untersuchung über alle
Daten hinweg;
• Einhaltung von Regularien nachweisen anhand der Sammlung und
Speicherung von Daten in Audit-Qualität, durch ein vorinstalliertes
Berichtswesen und anhand der effizienten Archivierung
aufbewahrungspflichtiger Daten über Jahre hinweg;
die Prozesse rationalisieren
• durch schnellere, bessere und
einfachere Untersuchungen zu Abläufen im Change-, Netzwerk- sowie
Applikationsmanagement.
RATIONALISIERTE
PROZESSE
CYBERKRIMINALITÄT
BEKÄMPFEN
ALLE LOG-DATEN
MANAGEN
EINHALTUNG VON
REGULARIEN NACHWEISEN
Bild 5. ArcSight Logger: Die Lösung für
Cyberkriminalitäts-, Compliance- und
IT-Pozessteams
ArcSight 4

White Paper: ArcSight Logger 4
Cyberkriminalität bekämpfen
Drei Hauptmerkmale machen den ArcSight Logger einzigartig in seiner Fähigkeit,
Cyberkriminalität zu bekämpfen.
•
•
•
Universelle Ereignissammlung
ArcSight Logger unterstützt das Sammeln roher oder unstrukturierter Logs von
beliebigen Syslog- oder dateibasierten Log-Quellen und setzt auch die riesige
Bibliothek der ArcSight Connectors wirksam ein, die wiederum Daten von
mehr als 275 verschiedenen Log-generierenden Quellen sammeln. Zusätzlich
erweitert das System des ArcSight FlexConnector die Log-Sammelkapazitäten
auf die Quellen der Kunden und auf Inhouse-Applikationen.
Einfache und schnelle Untersuchung
ArcSight Logger ermöglicht mittels einer GoogleTM-ähnlichen Schnittstelle die
einheitliche Analyse über alle Arten von Daten (strukturierte und unstrukturierte)
durch eine „einzige Fensterscheibe“. ArcSight Logger besticht nicht nur durch
seine Einfachheit, es bietet auch eine ultraschnelle Recherche (über Millionen
von Ereignissen pro Sekunde) sowie Berichtsmöglichkeiten, die viele Terabyte
an Daten in Sekunden verarbeiten.
Alarmierung in Echtzeit und bidirektionale SIEM-Integration
Zum Erkennen raffinierter und technisch ausgefeilter Cyberattacken bedarf es
häufig einer leistungsfähigen Korrelation vieler Ereignisse. Um einen möglichst
breiten Bereich an Cybersicherheitsszenarien abzudecken, bietet ArcSight
Logger eine Reihe von Alarmierungen in Echtzeit, wie sie in Bild 6 dargestellt
sind. Das Produkt kann sich überdies in jede SIEM-Umgebung integrieren.
Genauer gesagt, integriert sich das Produkt in das marktführende SIEM-
Angebot ArcSight ESM und wird mit ArcSight Express ausgeliefert. ArcSight
bietet als einziges Unternehmen diese unmittelbare Integrierbarkeit von Log-
Management und SIEM, was eine gemeinsame Datensammelarchitektur
ermöglicht, zu niedrigen Lebenszyklus-Gesamtkosten führt und eine hohe
Rentabilität garantiert.
Bild 6. Warnmeldungen in Echtzeit via SNMP, E-Mail, Syslog und Webkonsole
ArcSight Logger ist eine
gehärtete Appliance, einfach
zu implementieren und auf die
Bedürfnisse großer Unternehmen
mit verteilten und heterogenen
Netzwerken skalierbar. ArcSight
Logger bietet:
• Schnelle Sammlung: Sammelt
Log-Daten mit anhaltenden Raten
von mehr als 100.000 EPS pro
Appliance
•
•
•
•
Umfassender Log-
Zusammenschluss: Log-Rohdaten
wie auch eine optimierte
Standardsammlung für mehr als
275 unterschiedliche Quellen
Auditfähige Logdatenspeicherung:
Sichere Sammlung und
Speichern, Integritätskontrollen,
engmaschige Zugangskontrollen
und automatisierte
Aufbewahrungsrichtlinien
Leistungsfäige
Analysemöglichkeiten: Hoch
performante, interaktive
Recherchemöglichkeiten über
alle Datenformate (strukturierte
sowie unstrukturierte),
umfassende Berichte und
Echtzeit-Alarmgenerator mit
den vorinstallierten Modulen
Cyberkriminalität, Compliance und
IT-Abläufe
Kostengünstige Speicherung:
Sammelt, speichert und
durchsucht bis zu 42 TB reiner
Log-Daten pro Appliance
bei einer durchschnittlichen
Komprimierungsrate von 10:1,
genug für die Berichte vieler Jahre
• Erweiterter Schutz: Gehärtete
Appliance mit abgesichertem
Zugang, nutzt FIPS und CAC zur
Kriminaluntersuchung und zur
Strafverfolgung
ArcSight 5

White Paper: ArcSight Logger 4
Einhaltung von Regularien
nachweisen
ArcSight Logger wird mit vordefinierten
Regeln, Berichten und Dashboards
ausgeliefert, die sofort zur Überwachung
der Regelkonformität, der Cybersicherheit
oder der IT-Abläufe einsetzbar sind. Im
Hinblick auf bestimmte Richtlinien, wie PCI
und SOX, sind zusätzliche Inhalte in Form
von Add-On-Paketen erhältlich, die auf
allgemein bekannten Standards basieren,
beispielsweise auf NIST 800-53, ISO-17799
und SANS. Für die schnellere Auditierung
stellt ArcSight Logger aufgabenbasierte oder
personalisierte Dashboards zur Verfügung,
die relevante Berichte auf einer einzigen
Konsole bündeln. Ausgehend von diesen
Überblicksdarstellungen kann der Anwender
auf darunterliegende Berichte zugreifen
oder auch einen Audit-Workflow simulieren
(siehe Bild 7). Dieser logische Fluss über Bild 7: Automatisierte Audits mit ArcSight Logger
verschiedene Formen der Analyse hinweg
eliminiert die Notwendigkeit, auf jeder Stufe der Untersuchung neue Inhalte zu generieren. Nicht zuletzt unterstützt ArcSight Logger
vielfache Richtlinien zur Datenaufbewahrung, deren Einhaltung automatisch erzwungen werden kann.
Rationalisierung von IT-Abläufen
Herkömmliche Log-Management-Lösungen konzentrieren sich primär auf die Recherche in unstrukturierten Daten bei IT-
Ablaufszenarien. ArcSight Logger „verbindet“ die unstrukturierte mit der strukturierten Recherche, um die Untersuchungsergebnisse
zu verbessern. So interessieren sich die IT-Mitarbeiter beispielsweise nur dann für eine bestimmte IP-Adresse, wenn sie die IP-
Zieladresse ist, nicht aber, wenn sie die IP-Quelladresse ist. Um erstere in einer herkömmlichen IT-Struktur ausfindig zu machen, muss
die IT-Ablaufslösung explizites Tagging (Datenkennung) unterstützen; ArcSight Logger hingegen unterstützt solche Anwendungsfälle
standardmäßig, mithilfe der Technologie ArcSight Common Event Format (CEF). ArcSight Logger wird auch mit vordefinierten
Berichten, Such- und Benachrichtigungsvorgängen sowie Alarmierungsverfahren ausgeliefert, die für spezifische IT-Ablaufszenarien
erstellt wurden (siehe Bild 8).
Bild 8: Eine Unterauswahl von ArcSight Logger-Berichten zu IT-Ablaufszenarien
ArcSight 6

White Paper: ArcSight Logger 4
Praxisbezogenes Szenarium: Digitale Fingerabdrücke ergeben das komplette Bild
Weltweit nutzen Unternehmen die Funktionen von ArcSight Logger zu ihrem Vorteil, sowohl innerhalb als auch außerhalb der Bereiche
Sicherheit, Compliance und IT-Abläufe. Der folgende Abschnitt hebt einen Anwendungsfall hervor, bei dem ArcSight Logger mit seinen
einzigartigen Suchfähigkeiten in strukturiertem sowie in Rohtext möglicherweise hätte benutzt werden können, um einen Spionagefall
zu verhindern.
Beispiel: Ermittlungen in einem Cyberspionagefall
Im Juli 2009 wurde ein vormaliger Boeing-Ingenieur, Dongfan „Greg“ Chung, der Wirtschaftsspionage und des Geheimnisverrats für
schuldig befunden. Er soll Handelsgeheimnisse der Luft- und Raumfahrt, einschließlich Daten zum Spaceshuttle, an die Volksrepublik
China verraten haben. Chung fing im Rahmen einer Firmenübernahme bei Boeing an, ging nach mehr als 30 Jahren in Rente und
kehrte dann als freier Mitarbeiter zurück. Dieses Beispiel weist auf zwei Gruppen typischerweise an Spionagefällen Beteiligter hin: freie
Mitarbeiter und „vertrauenswürdige“ Firmenangehörige.
Es ist offensichtlich, dass das gehobene Management Einblick in die Systeme und Daten braucht, die Chung benutzt hat, um das
ganze Ausmaß feststellen zu können. Auf den ersten Blick mag das einfach erscheinen: Man scannt alle Logs um festzustellen, welche
Dateien er heruntergeladen und auf welche Host-Rechner oder Applikationen Chung zugegriffen hat. Es wird jedoch schnell deutlich,
dass viele Netzwerkaktivitäten untersucht werden müssen um festzustellen, ob Chung auch Konfigurationen verändert, ausführbare
Dateien eingeschmuggelt, eine Hintertür geöffnet oder irgendetwas anderes gemacht hat, was über seine normalen Zugriffsrechte
hinaus ging.
Bei solchen Untersuchungen würde die typische Anfrage etwa so lauten: „Zeige mir alle Aktivitäten auf, die der Mitarbeiter letzte
Woche, letzten Monat oder letztes Jahr unternommen hat.“ Ohne eine zentralisierte Log-Datenhaltung wird eine solche Anfrage kaum
zu beantworten sein; mit ArcSight Logger ist das jedoch einfach möglich, wie in Schritt 1 gezeigt.
Schritt 1: Auflistung (per unstrukturierter Suche) aller Aktivitäten, die Greg Chung unter Benutzung seiner verschiedenen Identitäten ausgeführt
hat
ArcSight 7

White Paper: ArcSight Logger 4
Die nächste Analyseebene könnte darin bestehen, die Aktivitäten des Mitarbeiters zu verfolgen, um nach Hinweisen für nicht
autorisierte Zugriffe, Zugriffe auf vertrauliche Systeme, eine ungewöhnlich hohe Zahl an Ausdrucken außerhalb der regulären
Arbeitszeit oder andere Anomalien zu suchen. Für ein Unternehmen mit einem hohen Volumen an Ereignis-Logs, erzeugt in
Datenzentren und konsolidiert an verschiedenen Orten, wäre eine solche Recherche zeit- und kostenintensiv. Ein Mitarbeiter kann
in einem kurzen Zeitraum eine hohe Anzahl an Aktivitäten auslösen und die dazugehörigen Daten wären wahrscheinlich über das
gesamte Netzwerk des Unternehmensnetzes verteilt. Eine zentralisierte Sammlung der Daten mit ArcSight Logger macht diese
mühsame Aufgabe zu einer einfachen Rechercheanfrage, wie in Schritt 2 gezeigt.
Schritt 2: Auflistung (per strukturierter Suche) der Aktivitäten aus Schritt 1 UND unter Benutzung von Finanzdaten auf „sourceHostname“
Der letzte Analyseschritt könnte sein, anhand der Logs herauszufinden, von wo Chung Daten per FTP hochgeladen hat, siehe
Schritt 3.
ArcSight Logger kann Daten sammeln, effizient speichern und stellt über das gesamte Log-Datenset hinweg interaktive Recherche-
und Berichtsmöglichkeiten zur Verfügung. Diese Recherche kann alle ArcSight Logger Appliances im Unternehmen umfassen. Wie
in Schritt 3 gezeigt, löst die spezielle Anforderung lediglich eine kombinierte Suchanfrage nach potentiellen Benutzernamen oder
Identitäten aus, die Greg Chung benutzte (unstrukturierte Daten), sowie nach Logs, die besagen, wann er auf vertrauliche Systeme
zugegriffen hat (strukturierte Daten) und wann er irgendwelche Finanzdokumente via FTP hochgeladen hat (unstrukturierte Daten).
Die Ergebnisse werden als exportierbare Daten in Audit-Qualität dargestellt, die für tiefergehende Analysen offen sind, oder sie werden
als Echtzeit-Warnmeldungen für spätere Benachrichtigungen gespeichert. Je nach Art der forensischen Analyse möchte der Anwender
evtl. zwischen der strukturierten und unstrukturierten Datensuche hin und her springen können. Ganz gleich, ob der Analytiker nun
zwei Wochen oder zwei Jahre zurückgehen muss, ArcSight Logger macht es ihm einfach, die Ad-hoc-Suchanfrage in den Log-Daten
des Unternehmens durchzuführen.
ArcSight 8

White Paper: ArcSight Logger 4
Schritt 3: Auflistung (per unstrukturierter Suche) aller Aktivitäten aus Schritt 1 UND Schritt 2 UND unter Benutzung des FTP-Protokolls
Zusammenfassung
Logs enthalten Informationen über alle verborgenen Vorgänge im Unternehmen und können, entsprechend genutzt, von größtem
Wert sein. Das Log-Management ist heute entscheidend, wenn es darum geht, die Sicherheit, die Einhaltung von Regularien oder die
Abläufe zu verbessern. Deshalb wird der Ansatz, für die Überwachung, die Sicherheit und die Einhaltung der Regularien jeweils ein
anderes Produkt einzusetzen, immer Stückwerk bleiben. Die Fähigkeit, schnell auf alle über das Unternehmen verteilte Log-Daten
zugreifen zu können, führt zu den kontextabhängigen Informationen, die im Falle einer Untersuchung die Beweislage verbessern.
Diese Fähigkeit vergrößert den Einblick in das Netzwerk, den Zustand und die Verfügbarkeit des Systems und der Applikationen und
verbessert die Möglichkeiten zur Fehlerbeseitigung.
ArcSight Logger 4 ist die erste universelle Lösung auf dem Markt zum Sammeln von Logs und zur Analyse derselben. ArcSight
Logger kann nicht nur strukturierte sowie unstrukturierte Daten sammeln, sondern das Produkt beinhaltet auch eine einheitliche
Rechercheschnittstelle zur schnellen, effizienten forensischen Analyse über beide Datentypen hinweg. ArcSight Logger unterstützt
eine große Anzahl an Servern, Applikationen und Geräten im Netzwerk. Das Produkt speichert Log-Daten effizient und mittels
Komprimierung. Es schützt die Daten, deren Integrität und den Zugriff darauf. Es ist einfach einzusetzen, zu benutzen, zu skalieren
und zu warten.
Über ArcSight:
ArcSight (NASDAQ: ARST) ist ein weltweit führender Anbieter von Lösungen zum Sicherheits- und Regelkonformitätsmanagement zum Schutz
von Unternehmen und Regierungsbehörden. ArcSight identifiziert, überwacht und entschärft sowohl interne als auch externe Cyberbedrohungen
sowie Risiken für die Unternehmensorganisation, die mit Aktivitäten im Bereich kritischer Vermögenswerte und Prozesse in Verbindung stehen.
Mit der marktführenden ArcSight SIEM-Plattform können Organisationen proaktiv ihre Vermögenswerte absichern, Unternehmens- und
regulatorische Richtlinien erfüllen und Risiken kontrollieren, die in Zusammenhang stehen mit Cyberdiebstahl, Cyberbetrug, Cyberkriegsführung
und Cyberspionage. Weitere Informationen erhalten Sie auf unserer Website: www.arcsight.com.
Wenn Sie mehr erfahren möchten, wenden Sie sich an ArcSight. Über E-Mail an:
info@arcsight.com oder telefonisch unter +44 (0)845 356 7708
© 2009 ArcSight, Inc. Alle Rechte vorbehalten. ArcSight und das ArcSight-Logo sind Warenzeichen der ArcSight, Inc. Alle anderen Produkt- und
Firmennamen können Warenzeichen oder eingetragene Warenzeichen der jeweiligen Eigentümer sein.
ArcSight 9