Arcsight Logger 4
Arcsight Logger 4
Arcsight Logger 4
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
White Paper: ArcSight <strong>Logger</strong> 4<br />
Die Lösungen sollten nicht nur Live Feeds sammeln, sondern auch das Sammeln von existenten Daten aus dateibasierter<br />
Speicherung oder von Syslogs unterstützen. Solange Unternehmen nicht alle Daten sammeln und auswerten können, können sie auch<br />
keine auftretenden Vorfälle zeitnah und auf einfache Weise untersuchen.<br />
Voraussetzung Nr. 2: Alles speichern<br />
Ist die Entscheidung zum Sammeln aller Logs vom gesamten Unternehmen gefallen, müssen die Daten auf effiziente und effektive<br />
Weise gespeichert werden. Organisationen, die die Log-Infrastruktur in Eigenregie verwirklichen, haben schließlich oft Silos voller<br />
dezentralisierter Log-Server, die sehr schwer zu verwalten sind. Angesichts der regulatorischen Vorgaben zur Datenaufbewahrung<br />
kann die Log-Datenmenge einer Organisation schnell auf viele Terabyte anschwellen. Log-Management-Lösungen sollten auch den<br />
Einsatz externer SAN-/NAS-Speicherlösungen unterstützen und jede zusammengesetzte Speicherlösung sollte zur Ausfallsicherung<br />
das RAID-Verfahren einsetzen. Um vollkommen flexibel zu sein, sollte die Lösung zur Archivierung von existenten Daten verbreitete<br />
Protokolle wie NFS und CIFS unterstützen. Schließlich sollten Aufbewahrungsrichtlinien, entsprechend der Gerätetypen und der<br />
spezifischen Regulatorien automatisch erzwungen werden. Nicht vergessen werden sollte die Möglichkeit zur „Verlängerung der Log-<br />
Lebensdauer“ bei drohenden Rechtsstreitigkeiten.<br />
Voraussetzung Nr. 3: Korrelieren, untersuchen, beseitigen<br />
Das Log-Management wird häufig in Verbindung mit einer geräteübergreifenden Korrelation von Ereignissen in Echtzeit zur<br />
Entdeckung externer und interner Bedrohungen oder Regelverstöße verwendet. Es ist deswegen entscheidend, dass sich die Log-<br />
Managementinfrastruktur nahtlos in das Security Information and Event Management-System (SIEM) integriert, denn meist sind die<br />
Benutzer dieselben, mit Sicherheit aber sind die zugrunde liegenden Daten (Logs) identisch.<br />
Die Integration sollte bidirektional sein und es der Log-Management-Lösung erlauben, relevante, ausgewählte Ereignisse zur weiteren<br />
Analyse an das SIEM-Tool weiter zu reichen. In umgekehrter Richtung sollte das SIEM-Tool in der Lage sein, Ereignisse, die für<br />
gefundene (d.h. korrelierte) Bedrohungen stehen, zu Recherchezwecken, zur Berichtserstellung oder zur Archivierung zurück an die<br />
Log-Appliance zu senden. Um eine Überwachungskette zu ermöglichen, sollte die Kommunikation zwischen Log-Management und<br />
SIEM-Infrastruktur sicher und verlässlich sein. Schließlich sollten beide Investitionen eine gemeinsame Datensammel-Infrastruktur<br />
ermöglichen, um unnötige Einsatz- und Wartungsaufwände zu vermeiden.<br />
Voraussetzung Nr. 4: Unterstützung von Audits und bei Rechtsstreitigkeiten<br />
Logs werden zunehmend während Audits und bei Rechtsstreitigkeiten benötigt. Deshalb müssen Unternehmen die Vertraulichkeit,<br />
Integrität und Verfügbarkeit der Log-Daten nachweisen können. Dies gilt sowohl für Daten, die in Gebrauch sind als auch<br />
für gespeicherte. Um die Auditfähigkeit leicht nachweisen zu können, sollte das Sammeln der Daten möglichst nahe an den<br />
ereignisgenerierenden Quellen erfolgen, was wiederum die Wichtigkeit einer verteilten Datensammlung betont. Die Log-<br />
Sammelinfrastruktur an entfernten Standorten sollte über Puffer und verlässliche Übertragungswege verfügen, um im Falle eines<br />
Abbruchs der Netzwerkverbindung zum Datenzentrum einem Datenverlust vorzubeugen.<br />
Sie sollten auch darauf achten, dass Logs in ihrer ursprünglichen Form erhalten werden können. Der Nachweis, dass die<br />
gesammelten Daten weder verändert noch verfälscht wurden, gilt heute als bewährte Schlüsselmethode in Audits. Nach dem<br />
Empfang der unternehmensweit gesammelten Log-Rohdaten werden diese, entsprechend des von NIST 800-92 (Log-Management-<br />
Standard) genehmigten Hashing-Algorithmus SHA-1, einer Integritätsprüfung unterzogen. Schließlich können Maßnahmen zur<br />
Hochverfügbarkeit, wie die Fähigkeit der Ausfallsicherung zwischen Datenzentren, Datenverluste weiter minimieren.<br />
Voraussetzung Nr. 5: Heute analysieren, auf morgen vorbereiten<br />
Obwohl Logs von größtem Wert sind, hat man sich bislang nur wenig bemüht, die Log-Formate der verschiedenen Geräte zu<br />
vereinheitlichen. Jedes hat ein eigenes Log-Format, das sich völlig von dem eines ähnlichen Gerätes eines anderen Herstellers oder<br />
von einem anderen Gerät desselben Herstellers unterscheiden kann. Aus diesem Grund kann kein Mensch die verschiedenen Logs<br />
aller Geräte auf der Welt kennen. Logmanagement-Lösungen können jedoch eine Schlüsselrolle bei der Konvertierung all dieser<br />
verschiedenen Log-Formate in ein einheitliches Format spielen, so dass Analysten nur eines kennen müssen statt zwanzigtausend.<br />
ArcSight 3