Im Test: Snort als Basis für umfangreiches Threat-Management

Im Test: Snort als Basis für umfangreiches Threat-Management (Fortsetzung)

Diese Informationen werden an die DC-Appliance weitergeleitet, die für jedes System ein Threat-Assessment durchführt. Die Appliance verknüpft dann die Schwachstellen mit entdeckten Bedrohungen, womit es ihr möglich ist, nur auf Ereignisse zu reagieren, die für das von ihr geschützte Netzwerk relevant sind. Dies reduziert die Menge der False-Positive und den damit verbundenen Management-Overhead drastisch.

RUA integriert sich in LDAP und Active-Directory, was eine Zuordnung von Benutzerdetails zu Sicherheitsereignissen gestattet. Der Sensor kann jeden Benutzer beobachten, der sich via IMAP, LDAP, Kerberos und POP3 anmeldet. Sicherheitsrichtlinien bieten dem Benutzer also Schutz, egal von wo aus sie sich einloggen.

Das Deployment ist einfach, da jede Sensor-Appliance ihre eigene Webschnittstelle besitzt. Der Administrator gibt einfach die lokale IP-Adresse und die Adresse der DC-Appliance ein, wählt zwischen Inline- oder passivem Modus und aktiviert schließlich automatische Updates. Die Installation der DC-Appliance läuft mit Hilfe einer geführten Installationsroutine in der Web-Konsole ebenso glatt. Einzugeben sind hier die Details der Sensoren. Das System bietet sofortigen Schutz, da es automatisch eine Standard-Sicherheitsrichtlinie anwendet.

Die Web-Konsole der DC-Appliance besitzt ein gutes Design und offeriert ein cleveres, durch den Benutzer konfigurierbares Dashboard mit Grafiken und Diagrammen. Diese zeigen die aktiven Systeme und IP-Adressen, Bedrohungsgrade und den Appliance-Status an. Neu ist, dass das Dashboard nun auf Widgets basiert. Die Widgets lassen sich exportieren, um sie anderen Benutzern zur Verfügung zu stellen, was ein Sharing kompletter Dashboards erlaubt.

1. Im Test: Snort als Basis für umfangreiches Threat-Management
2. Im Test: Snort als Basis für umfangreiches Threat-Management (Fortsetzung)
3. Fazit