Arcsight Logger 4

Weitere Magazine

Empfehlungen

Info

White Paper: ArcSight Logger 4 Praxisbezogenes Szenarium: Digitale Fingerabdrücke ergeben das komplette Bild Weltweit nutzen Unternehmen die Funktionen von ArcSight Logger zu ihrem Vorteil, sowohl innerhalb als auch außerhalb der Bereiche Sicherheit, Compliance und IT-Abläufe. Der folgende Abschnitt hebt einen Anwendungsfall hervor, bei dem ArcSight Logger mit seinen einzigartigen Suchfähigkeiten in strukturiertem sowie in Rohtext möglicherweise hätte benutzt werden können, um einen Spionagefall zu verhindern. Beispiel: Ermittlungen in einem Cyberspionagefall Im Juli 2009 wurde ein vormaliger Boeing-Ingenieur, Dongfan „Greg“ Chung, der Wirtschaftsspionage und des Geheimnisverrats für schuldig befunden. Er soll Handelsgeheimnisse der Luft- und Raumfahrt, einschließlich Daten zum Spaceshuttle, an die Volksrepublik China verraten haben. Chung fing im Rahmen einer Firmenübernahme bei Boeing an, ging nach mehr als 30 Jahren in Rente und kehrte dann als freier Mitarbeiter zurück. Dieses Beispiel weist auf zwei Gruppen typischerweise an Spionagefällen Beteiligter hin: freie Mitarbeiter und „vertrauenswürdige“ Firmenangehörige. Es ist offensichtlich, dass das gehobene Management Einblick in die Systeme und Daten braucht, die Chung benutzt hat, um das ganze Ausmaß feststellen zu können. Auf den ersten Blick mag das einfach erscheinen: Man scannt alle Logs um festzustellen, welche Dateien er heruntergeladen und auf welche Host-Rechner oder Applikationen Chung zugegriffen hat. Es wird jedoch schnell deutlich, dass viele Netzwerkaktivitäten untersucht werden müssen um festzustellen, ob Chung auch Konfigurationen verändert, ausführbare Dateien eingeschmuggelt, eine Hintertür geöffnet oder irgendetwas anderes gemacht hat, was über seine normalen Zugriffsrechte hinaus ging. Bei solchen Untersuchungen würde die typische Anfrage etwa so lauten: „Zeige mir alle Aktivitäten auf, die der Mitarbeiter letzte Woche, letzten Monat oder letztes Jahr unternommen hat.“ Ohne eine zentralisierte Log-Datenhaltung wird eine solche Anfrage kaum zu beantworten sein; mit ArcSight Logger ist das jedoch einfach möglich, wie in Schritt 1 gezeigt. Schritt 1: Auflistung (per unstrukturierter Suche) aller Aktivitäten, die Greg Chung unter Benutzung seiner verschiedenen Identitäten ausgeführt hat ArcSight 7
White Paper: ArcSight Logger 4 Die nächste Analyseebene könnte darin bestehen, die Aktivitäten des Mitarbeiters zu verfolgen, um nach Hinweisen für nicht autorisierte Zugriffe, Zugriffe auf vertrauliche Systeme, eine ungewöhnlich hohe Zahl an Ausdrucken außerhalb der regulären Arbeitszeit oder andere Anomalien zu suchen. Für ein Unternehmen mit einem hohen Volumen an Ereignis-Logs, erzeugt in Datenzentren und konsolidiert an verschiedenen Orten, wäre eine solche Recherche zeit- und kostenintensiv. Ein Mitarbeiter kann in einem kurzen Zeitraum eine hohe Anzahl an Aktivitäten auslösen und die dazugehörigen Daten wären wahrscheinlich über das gesamte Netzwerk des Unternehmensnetzes verteilt. Eine zentralisierte Sammlung der Daten mit ArcSight Logger macht diese mühsame Aufgabe zu einer einfachen Rechercheanfrage, wie in Schritt 2 gezeigt. Schritt 2: Auflistung (per strukturierter Suche) der Aktivitäten aus Schritt 1 UND unter Benutzung von Finanzdaten auf „sourceHostname“ Der letzte Analyseschritt könnte sein, anhand der Logs herauszufinden, von wo Chung Daten per FTP hochgeladen hat, siehe Schritt 3. ArcSight Logger kann Daten sammeln, effizient speichern und stellt über das gesamte Log-Datenset hinweg interaktive Recherche- und Berichtsmöglichkeiten zur Verfügung. Diese Recherche kann alle ArcSight Logger Appliances im Unternehmen umfassen. Wie in Schritt 3 gezeigt, löst die spezielle Anforderung lediglich eine kombinierte Suchanfrage nach potentiellen Benutzernamen oder Identitäten aus, die Greg Chung benutzte (unstrukturierte Daten), sowie nach Logs, die besagen, wann er auf vertrauliche Systeme zugegriffen hat (strukturierte Daten) und wann er irgendwelche Finanzdokumente via FTP hochgeladen hat (unstrukturierte Daten). Die Ergebnisse werden als exportierbare Daten in Audit-Qualität dargestellt, die für tiefergehende Analysen offen sind, oder sie werden als Echtzeit-Warnmeldungen für spätere Benachrichtigungen gespeichert. Je nach Art der forensischen Analyse möchte der Anwender evtl. zwischen der strukturierten und unstrukturierten Datensuche hin und her springen können. Ganz gleich, ob der Analytiker nun zwei Wochen oder zwei Jahre zurückgehen muss, ArcSight Logger macht es ihm einfach, die Ad-hoc-Suchanfrage in den Log-Daten des Unternehmens durchzuführen. ArcSight 8
Seite 1 und 2: White Paper ArcSight Logger 4 Cyber
Seite 3 und 4: White Paper: ArcSight Logger 4 übe
Seite 5 und 6: White Paper: ArcSight Logger 4 Dies
Seite 7: White Paper: ArcSight Logger 4 Einh

Arcsight Logger 4

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?