Logdaten

Logs verstehen dank Eventpacks

Logs verstehen dank Eventpacks
Eventpacks übersetzen kryptische Logs in eine lesbare Form und helfen dadurch die Daten zu interpretieren und verständlich darzustellen.

Die IT-Infrastrukturen in Unternehmen werden immer komplexer. Insbesondere im Security-Bereich werden immer mehr verschiedenartige Geräte nötig, um sich vor den immer professioneller agierenden Kriminellen zu schützen. Wo früher eine einfache Firewall ausreichend war, steht heute eine Vielzahl von spezialisierten Gateways und Firewalls zusammen mit Analysegeräten.

Analyse von Log-Daten: Wichtig für die IT-Sicherheit

Für die IT-Sicherheit ist es entscheidend, die Log-Daten all dieser Geräte zu sammeln, zu korrelieren und auszuwerten. Nur so können bei einem Angriff rasch Massnahmen ergriffen und der Vorfall forensisch analysiert werden.

terreActive legt Wert darauf alle verfügbaren Log-Daten zu sammeln, damit man sich ein möglichst vollständiges Bild der Ereignisse machen kann. Performanz- oder gar lizenztechnische Gründe dürfen dabei keine Rolle spielen.
Mit tacLOMbietet terreActive seit über 20 Jahren eine Monitoring- und Log-Management-Plattform an. Sie ist darauf spezialisiert, alle im Unternehmen generierten Log-Daten zentral zu sammeln und für Abfragen und Auswertungen zur Verfügung zu stellen.

Unterschiedliche Sprachen

Die Logs unterscheiden sich je nach Gerätetyp erheblich. Jedes Gerät, jeder Hersteller spricht eine andere Sprache. Die wichtigen Informationen verstecken sich oft in zahlreichen technischen Details. Menschen können diese Logdaten nicht effizient interpretieren, was Unternehmen bei der Informationssicherheit vor grosse Herausforderungen stellt.

Für dieses Problem gibt es jetzt eine Lösung. Mit den Eventpacks für tacLOMhat terreActive einen Weg gefunden, wie Unternehmen Logs einfach verstehen können.

Was ist ein Event?

Ein Event in tacLOM ist eine vom System generierte Log-Meldung, die auf Grund von spezifischen Log-Ereignissen erstellt wird. Mit jedem dieser Events wird zudem der Verweis auf die auslösenden Log-Zeilen gespeichert. So kann bei einer späteren Analyse der Events einfach auf die Rohdaten zurückgegriffen werden. Wann ein Event entsteht und wie dieser aussieht, wird von einem komplexen Regelwerk definiert.

Was ist ein Eventpack?

Eventpacks erweitern dieses Regelwerk um ganze Sammlungen von Regeldefinitionen für jeweils ein Standardprodukt.
Dabei wird sichergestellt, dass die Events verschiedener Eventpacks einheitlich dargestellt sind. Der Event für ein erfolgreiches Anmelden auf der Workstation und das Login auf der SQL-Datenbank haben dasselbe Format. Sie sind deshalb ohne tiefgehende Applikationskenntnisse verständlich und können auch für weiterführende Analysen und Statistiken korreliert und weiter verwendet werden.

Dem Anwender bieten sich dadurch folgende Vorteile:

Bessere Lesbarkeit und Verständlichkeit:

Log-Daten verfügen oft über viele Detailinformationen und eine komplexe Struktur. Die Datenfelder sind vielfach unklar oder gar nicht beschriftet.
Die Eventpacks übersetzen die kryptischen Logs in eine lesbare Form. Event-Meldungen beginnen mit einer Kategorie, gefolgt von einem kurzen Beschrieb. Erst anschliessend folgen die Detail-Informationen.

Normalisierung:

Sind verschiedene Geräte vom selben Ereignis betroffen, werden den Events die selben ID-Nummern zugewiesen. Sie erhalten die gleiche Kategorie, den gleichen Beschreibungstext und die gleichen Feldnamen.

Verdichtung:

Das Eventpack erstellt nur für relevante Ereignisse einen Event. Dabei werden nicht alle Informationen aus dem ursprünglichen Log abgebildet, sondern nur die wesentlichen Felder. Durch diese Reduktion entsteht eine völlig neue Ansicht auf die Infrastruktur, die als Grundlage für ein weiterführendes Reporting oder SOC Services verwendet werden kann.

Alarmierung:

Möchte der Anwender proaktiv via Mail oder SMS informiert werden, kann er sich mit wenigen Klicks eine Alarmierung für einen spezifischen Event einschalten. Bei Bedarf kann der Alarm auch an weitere Bedingungen geknüpft werden.

Performanz:

Die Anwendung eines komplexen und umfangreichen Regelwerkes gegenüber einer sehr grossen Zahl eintreffender Log-Zeilen ist auch mit aktueller Hardware nicht immer selbstverständlich. Neben den inhaltlichen Aspekten stehen bei der Entwicklung der Eventpacks immer auch Performanz-Aspekte im Vordergrund. Die einzelnen Regeln werden explizit auf eine schnelle Verarbeitung optimiert. Zudem sind sie so ausgelegt, dass sie optimal mit dem verteilten und mehrstufigen Filter-Verfahren harmonieren.

20 Eventpacks verfügbar
Hier eine Liste mit den aktuell verfügbaren Eventpacks
Die tacLOM Eventpacks basieren auf vielen Jahren Erfahrung in Log-Management und Security Monitoring. Es sind bereits über 20 Eventpacks entstanden. Und weitere befinden sich bereits in der Entwicklung.