Interview mit Alienvault über Unified-Security-Management-Lösungen
USM - neue Waffe im Kampf gegen IT-Bedrohungen
Fortsetzung des Artikels von Teil 1
Vorteile einer kommerziellen USM-Lösung
funkschau: Worin genau liegen die Merkmale von SIEM-Lösungen?
Bareiß: „Das SIEM-Prinzip ist einfach zu verstehen. Es besteht aus sechs Stufen. Erstens die Sammlung: Zunächst werden Protokolldaten von angeschlossenen Zielsystemen gesammelt. Dies erfolgt entweder über spezielle Agenten auf den Zielsystemen oder via Syslog – mit dem klaren Vorteil der Nutzung ohnehin bereits vorhandener Werkzeuge.
Zweitens, die Aggregation: Denn anschließend werden die Daten an einer zentralen Stelle aggregiert, zu Deutsch ‚gesammelt‘. Hier kann bereits eine Filterung in Protokolleinträge erfolgen, die ausgewertet oder auch nicht ausgewertet werden sollen. Eventuell verbleiben Protokolleinträge, deren Filterungskriterien einer Klärung bedürfen.
Drittens, die Normalisierung: Daten aus verschiedenen Quellen haben in der Regel eine unterschiedliche Syntax in Format und Inhalt. Um einen Vergleich zu ermöglichen, müssen die Log-Einträge in ein einheitliches Format mit gemeinsamer Semantik gebracht werden.
Viertens, die Korrelation: Die Anwendung des Regelwerkes ist das Herzstück eines SIEM-Systems, an dem sich der Nutzen entscheidet.
Fünftens, das Berichten beziehungsweise Nachverfolgen: Die Ergebnisse der Korrelation werden gemäß vorab definierten Berichtsvorlagen dokumentiert, in Meldeprozessen weitergeleitet und in angeschlossene Prozesse – beispielsweise Incident-Management – eingespeist.
Und schließlich, das Archivieren: Es basiert auf gesetzlichen oder regulatorischen Vorgaben – Stichwort Compliance. Praktikabel ist hier ein abgestuftes Konzept, in dem Daten noch für einige Monate in einem Zwischenarchiv mit schnellem Zugriff gehalten werden, um gegebenenfalls für forensische Analysen zur Verfügung zu stehen, bevor sie in ein Langzeitarchiv verschoben werden.“
funkschau: Wie grenzt sich USM zu OSSIM ab?
Bareiß: „Die Hauptunterschiede bestehen in den Bereichen Support, Deployment, Management, Benutzerverwaltung, Reporting, Taxonomie und Performance. Bei OSSIM geschehen viele dieser Prozesse Community-basiert, also ohne direkte Zugriffsmöglichkeiten des Users auf Alienvault-Services wie Support, Datenbanken oder vorgefertigte Konfigurationen. Bei AV-USM steht Usern beispielsweise ein 24x7-Support zur Verfügung. Im Bereich Deployment können sie auf mehrere Ebenen zugreifen, und sie haben eine mandantenfähige Lösung an der Hand. OSSIM beschränkt sich auf eine einzige Ebene. Hier muss auch jede Komponente einzeln installiert werden. AV-USM-Anwender nutzen dagegen die zentrale Konfiguration aller Komponenten über das AV-Center. Auch im Bereich Benutzerverwaltung stehen OSSIM-Nutzern nur geringe Konfigurationsmöglichkeiten zur Verfügung, während AV-USM-User auf eine hochgranulare Rechtevergabe zurückgreifen können, genauer auf eine granulare Rechtevergabe zur Sichtbarkeit von Assets, Netzen und Netzgruppen etc. 2500 vorgefertigte Reportingmodule und mehr als 100 vorgefertigte Reports erleichtern AV-Nutzern das Leben zusätzlich.“
funkschau: Was sind die Vorteile einer kommerziellen USM-Lösung?
Bareiß: „Nun, da gibt es einige. Neben der schnellen Integration erhalten Sie Ergebnisse bereits am ersten Tag. Darüber hinaus erhöht sich die Transparenz interner Prozesse deutlich. Nutzer können von Beginn an auf zahlreiche vor-installierte Use-Cases zurückgreifen. Darüber hinaus werden Security-Maßnahmen vom ersten Tag an automatisiert, was dem Administrator erheblich Zeit für produktivere Arbeiten einspart. Ein großer Vorteil ist zudem das Log-Management mit den zahlreichen Suchfunktionen, auch über lange Zeiträume hinweg und das zentral von einem Ort aus.“
- USM - neue Waffe im Kampf gegen IT-Bedrohungen
- Vorteile einer kommerziellen USM-Lösung
Lesen Sie mehr zum Thema
