tacLOM Release Highlights 3.18
TIFaNI 3.1
Das TIFaNI-Modulfür tacLOM durchsucht die Logdaten aufgrund von laufend aktualisierten Threat Intelligence Feeds und kann Eindringlinge entlarven.
Mit der richtigen Sysmon-Konfigurationwird beim Start von jedem Programm ein Hashwert der ausgeführten Datei berechnet und geloggt. Durch den Abgleich mit den IOC Hash-Feeds erkennt TIFaNI wenn eine Malware ausgeführt wird.
Ermöglicht wird dies durch die Integration der Hash-Feeds (URL, MD5, SHA1 und SHA-256), welche in TIFaNI zu den bestehenden IP und Domain Feeds dazu gekommen sind.
Abgerundet wird die neue Version durch die Integration von weiteren Open-Source-Feeds, der Möglichkeit kundenspezifische Feeds als eigene Quelle zu verwenden sowie einem kürzeren Updateintervall.
Nutzen:
- Höhere Sicherheit durch zusätzliche IOC-Feeds (Indicator of Compromise)
- Kürzere Updateintervalle
- Integration von kundenspezifischen Feeds
Cloud-Log Integration: Office 365 Logdaten in tacLOM
Office 365 von Microsoft wird für Firmen immer wichtiger. Daten werden nicht mehr On-Prem gespeichert. Dokumente, Präsentationen und Mails werden in der Cloud von Microsoft bearbeitet. Dies bietet viele Vorteile, wie die verbesserte Zusammenarbeit mittels gleichzeitigen Editierens von Dokumenten. Auch das Teilen von Dateien oder ganzen Verzeichnissen wird stark erleichtert.
Dabei geht oft vergessen, dass bei Aktivitäten in der Cloud auch der Provider wichtige Logdaten zur Verfügung stellt. Werden diese nicht beim Provider abgeholt, und ins Log Management integriert, können diese auch nicht analysiert und weiter verarbeitet werden. Durch die neuen Office-365 Logdaten Integration in tacLOM, kann diese Lücke geschlossen werden.
Daten werden dabei via API aus der Microsoft Cloud importiert und in tacLOM indexiert. Die Aktivitäten in der Cloud können somit mit denselben Mitteln wie lokale Applikationen überwacht werden. Dadurch wird eine Korrelation mit anderen Logdaten ermöglicht um die Analyse eines Security Vorfalls zu unterstützen. Gleichzeitig wird durch den Import der Cloud-Logs auch eine Langzeit-Speicherung unabhängig vom Cloud-Provider sichergestellt.
Die Integration von Office 365 Logdatenist als experimentelles Feature für den Einsatz bei ersten Pilotkunden verfügbar.
Nutzen:
- Überwachung der Aktivitäten in der Microsoft-Cloud
- Ermöglicht die Korrelation mit anderen Logdaten
- Langzeit Speicherung unabhängig vom Cloud-Provider
Weitere Cloud-Logs folgen…
Um unsere Kunden bei dem vermehrten Einsatz von Cloud-Lösungen zu unterstützen, werden wir weitere Cloud-Logquellen integrieren. Nach den Logdaten von Office 365 sollen auch jene von Azure Active Directory (AD)sowie Windows Defender ATPintegriert werden.