Arcsight Logger 4

Weitere Magazine

Empfehlungen

Info

White Paper: ArcSight Logger 4 Die Lösungen sollten nicht nur Live Feeds sammeln, sondern auch das Sammeln von existenten Daten aus dateibasierter Speicherung oder von Syslogs unterstützen. Solange Unternehmen nicht alle Daten sammeln und auswerten können, können sie auch keine auftretenden Vorfälle zeitnah und auf einfache Weise untersuchen. Voraussetzung Nr. 2: Alles speichern Ist die Entscheidung zum Sammeln aller Logs vom gesamten Unternehmen gefallen, müssen die Daten auf effiziente und effektive Weise gespeichert werden. Organisationen, die die Log-Infrastruktur in Eigenregie verwirklichen, haben schließlich oft Silos voller dezentralisierter Log-Server, die sehr schwer zu verwalten sind. Angesichts der regulatorischen Vorgaben zur Datenaufbewahrung kann die Log-Datenmenge einer Organisation schnell auf viele Terabyte anschwellen. Log-Management-Lösungen sollten auch den Einsatz externer SAN-/NAS-Speicherlösungen unterstützen und jede zusammengesetzte Speicherlösung sollte zur Ausfallsicherung das RAID-Verfahren einsetzen. Um vollkommen flexibel zu sein, sollte die Lösung zur Archivierung von existenten Daten verbreitete Protokolle wie NFS und CIFS unterstützen. Schließlich sollten Aufbewahrungsrichtlinien, entsprechend der Gerätetypen und der spezifischen Regulatorien automatisch erzwungen werden. Nicht vergessen werden sollte die Möglichkeit zur „Verlängerung der Log- Lebensdauer“ bei drohenden Rechtsstreitigkeiten. Voraussetzung Nr. 3: Korrelieren, untersuchen, beseitigen Das Log-Management wird häufig in Verbindung mit einer geräteübergreifenden Korrelation von Ereignissen in Echtzeit zur Entdeckung externer und interner Bedrohungen oder Regelverstöße verwendet. Es ist deswegen entscheidend, dass sich die Log- Managementinfrastruktur nahtlos in das Security Information and Event Management-System (SIEM) integriert, denn meist sind die Benutzer dieselben, mit Sicherheit aber sind die zugrunde liegenden Daten (Logs) identisch. Die Integration sollte bidirektional sein und es der Log-Management-Lösung erlauben, relevante, ausgewählte Ereignisse zur weiteren Analyse an das SIEM-Tool weiter zu reichen. In umgekehrter Richtung sollte das SIEM-Tool in der Lage sein, Ereignisse, die für gefundene (d.h. korrelierte) Bedrohungen stehen, zu Recherchezwecken, zur Berichtserstellung oder zur Archivierung zurück an die Log-Appliance zu senden. Um eine Überwachungskette zu ermöglichen, sollte die Kommunikation zwischen Log-Management und SIEM-Infrastruktur sicher und verlässlich sein. Schließlich sollten beide Investitionen eine gemeinsame Datensammel-Infrastruktur ermöglichen, um unnötige Einsatz- und Wartungsaufwände zu vermeiden. Voraussetzung Nr. 4: Unterstützung von Audits und bei Rechtsstreitigkeiten Logs werden zunehmend während Audits und bei Rechtsstreitigkeiten benötigt. Deshalb müssen Unternehmen die Vertraulichkeit, Integrität und Verfügbarkeit der Log-Daten nachweisen können. Dies gilt sowohl für Daten, die in Gebrauch sind als auch für gespeicherte. Um die Auditfähigkeit leicht nachweisen zu können, sollte das Sammeln der Daten möglichst nahe an den ereignisgenerierenden Quellen erfolgen, was wiederum die Wichtigkeit einer verteilten Datensammlung betont. Die Log- Sammelinfrastruktur an entfernten Standorten sollte über Puffer und verlässliche Übertragungswege verfügen, um im Falle eines Abbruchs der Netzwerkverbindung zum Datenzentrum einem Datenverlust vorzubeugen. Sie sollten auch darauf achten, dass Logs in ihrer ursprünglichen Form erhalten werden können. Der Nachweis, dass die gesammelten Daten weder verändert noch verfälscht wurden, gilt heute als bewährte Schlüsselmethode in Audits. Nach dem Empfang der unternehmensweit gesammelten Log-Rohdaten werden diese, entsprechend des von NIST 800-92 (Log-Management- Standard) genehmigten Hashing-Algorithmus SHA-1, einer Integritätsprüfung unterzogen. Schließlich können Maßnahmen zur Hochverfügbarkeit, wie die Fähigkeit der Ausfallsicherung zwischen Datenzentren, Datenverluste weiter minimieren. Voraussetzung Nr. 5: Heute analysieren, auf morgen vorbereiten Obwohl Logs von größtem Wert sind, hat man sich bislang nur wenig bemüht, die Log-Formate der verschiedenen Geräte zu vereinheitlichen. Jedes hat ein eigenes Log-Format, das sich völlig von dem eines ähnlichen Gerätes eines anderen Herstellers oder von einem anderen Gerät desselben Herstellers unterscheiden kann. Aus diesem Grund kann kein Mensch die verschiedenen Logs aller Geräte auf der Welt kennen. Logmanagement-Lösungen können jedoch eine Schlüsselrolle bei der Konvertierung all dieser verschiedenen Log-Formate in ein einheitliches Format spielen, so dass Analysten nur eines kennen müssen statt zwanzigtausend. ArcSight 3
White Paper: ArcSight Logger 4 Diese Normalisierung von Log-Formaten macht ihre Audit- und Überwachungsinhalte „zukunftssicher“ gegenüber einem Wechsel der Hersteller und sie macht die Expertenkenntnis der Geräte überflüssig. Bild 4 zeigt an einem Beispiel, was Sie mit bzw. ohne Normalisierung der Logs sehen. Ohne normalisierung Jun 17 2009 09:29:03: %PIX-6-106015: Deny TCP (no connection) from 10.50.215.102/15605 to 204.110.227.16/443 flags FIN ACK in interface outside Mit normalisierung Zeit name Geräte- hersteller Geräte- produkt Kategorie- verhalten Kategorie- gerätegruppe Kategorie- resultat Kategoriebedeutung 6/17/2009 9:29 Verweigern CISCO Pix /Zugang /Firewall /Fehler /Information/Warnung Bild 4. Die Normalisierung der Logs führt zu schnell und leicht verständlichen Informationen Voraussetzung Nr. 6: Gehen Sie keine Kompromisse ein Die meisten Log-Management-Tools unterstützen zwar die schnelle Log-Analyse, machen aber Kompromisse bei Sammelraten oder Speichereffizienz oder benötigen mehr Hardware. Wegen der gegenseitigen Abhängigkeit dieser drei Dinge musste man bei herkömmlichen Log-Management-Lösungen bislang immer Zugeständnisse machen. Produkte, die für Speicherung optimiert sind, arbeiten normalerweise mit Datenkomprimierung, was wiederum das Sammeln und die Analyse verlangsamt. Auf der anderen Seite verlangt eine schnelle Analyse nach Indexierung, die den Speicherbedarf aufbläht. Eine ideale Log-Management-Lösung sollte diese Zugeständnisse eliminieren und schnelles Sammeln genauso ermöglichen wie die ultraschnelle Analyse und effiziente Speicherung. ArcSight Logger: Die erste universelle Log-Management-Lösung Der ArcSight Logger erfüllt den wachsenden Bedarf der Industrie, alle Formate von Log-Daten schnell und effizient sammeln, speichern und analysieren zu können, und er übertrifft alle oben genannten Anforderungen. Diese Lösung bietet einen einfach durchsuchbaren, leistungsstarken Log-Datenspeicher, der die forensische Analyse von Vorfällen im Bereich der Cybersicherheit oder der IT-Abläufe beschleunigen kann, und die Lösung bietet einen effizienten Datenspeicher, um die vielfältigen Regularien erfüllen zu können. Der ArcSight Logger vereinigt Berichterstattung, Alarmierung, Recherche und Analyse über alle Arten von Unternehmensdaten hinweg. Seine Fähigkeit, die riesigen Datenmengen, die von heutigen Netzwerken generiert werden, sammeln und analysieren zu können, macht ihn einzigartig. Mit dieser Lösung kann jede Unternehmensform: • der Cyberkriminalität begegnen mittels vereinheitlichter Analyse zur einfacheren und schnelleren kriminaltechnischen Untersuchung über alle Daten hinweg; • Einhaltung von Regularien nachweisen anhand der Sammlung und Speicherung von Daten in Audit-Qualität, durch ein vorinstalliertes Berichtswesen und anhand der effizienten Archivierung aufbewahrungspflichtiger Daten über Jahre hinweg; die Prozesse rationalisieren • durch schnellere, bessere und einfachere Untersuchungen zu Abläufen im Change-, Netzwerk- sowie Applikationsmanagement. RATIONALISIERTE PROZESSE CYBERKRIMINALITÄT BEKÄMPFEN ALLE LOG-DATEN MANAGEN EINHALTUNG VON REGULARIEN NACHWEISEN Bild 5. ArcSight Logger: Die Lösung für Cyberkriminalitäts-, Compliance- und IT-Pozessteams ArcSight 4
Seite 1 und 2: White Paper ArcSight Logger 4 Cyber
Seite 3: White Paper: ArcSight Logger 4 übe
Seite 7 und 8: White Paper: ArcSight Logger 4 Einh
Seite 9 und 10: White Paper: ArcSight Logger 4 Die

Arcsight Logger 4

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?