Log-Management vs. SIEM

Wie Sie Logdateien professionell auswerten

24.04.2012
Von Robert Korherr
Moderne Log-Management-Systeme helfen, sicherheitsrelevante Ereignisse im Unternehmensnetz schnell und kostengünstig verfolgen und verhindern zu können.

Log-Informationen sammeln und speichern zu müssen, ist für viele Administratoren und Security- oder Zertifizierungsbeauftragten eine unangenehme Aufgabe. ISO-27xxx-Regularien, der Sarbanes-Oxley-Act (SOX), die Eigenkapitalvorschriften unter Basel-II, der Health Insurance Portability and Accountability Act (HIPAA) und der Payment Card Industry Data Security Standard (PCI-DSS) zwingen Unternehmen jedoch dazu, Informationen über ihren Netzwerkverkehr für eine bestimmte Zeit zu speichern. Im Falle sicherheitskritischer Ereignisse müssen diese schließlich auch im Nachhinein noch analysiert werden können.

In einem einfachen Logfile lässt sich bereits genau erkennen, von welcher IP-Adresse aus ein (unbefugter) Netzzugriff erfolgte.
In einem einfachen Logfile lässt sich bereits genau erkennen, von welcher IP-Adresse aus ein (unbefugter) Netzzugriff erfolgte.
Foto: ProSoft

Logdateien enthalten zwar viele Informationen, die bei richtiger Auswertung einen umfangreichen "Live"-Überblick über Probleme und Sicherheitsvorfälle liefern. Aber genau darin besteht auch das Problem: Selbst in mittelständischen Unternehmen erreichen die Log-Dateien von Servern, Betriebssystemen, Datenbanken und Netzwerk-Komponenten unter Umständen mehrere Gigabytes pro Stunde. Der Großteil der Informationen ist nicht sicherheitsrelevant, muss aus regulatorischen Gründen häufig aber trotzdem mitgespeichert werden. Vorhandene Datenbanklösungen helfen häufig nicht mehr weiter - gerade dann, wenn es um die detaillierte Auswertung und Korrelation unterschiedlicher Logdateien geht. Um die Datenberge besser in den Griff zu bekommen, sollten Unternehmen deshalb auf dezidierte Log-Management-Systeme zurückgreifen.

Sammeln und speichern - das einfache Log-Management

Moderne Log-Management-Software sammelt alle Log-Dateien im Unternehmen ein und speichert sie manipulationssicher ab, um sie anschließend an einen speziellen Log-Server zu übertragen. Sollte die Verbindung hierhin unterbrochen sein, werden die Daten zwischengespeichert. Wichtig ist, dass gespeicherte oder archivierte Log-Dateien nicht im Zugriffsbereich des Administrators liegen. Einige regulatorische Vorschriften erfordern den verschlüsselten Transfer zum Log-Server, sobald dieser über ein öffentliches Netzwerk geschieht. Zumindest die Log-Einträge, die Anmeldedaten oder andere personenbezogenen Daten enthalten, sollten grundsätzlich immer verschlüsselt übertragen werden oder durch eine gegenseitige Sender-Empfänger-Zertifizierung sichergestellt sein.

Auswerten und zusammenführen - Logs für Fortgeschrittene

Mit dem Sammeln und sicheren Speichern von Logfiles sind die reinen Vorschriften erfüllt. Unternehmen, die in ein Log-Management-System investieren, können aber auch darüber hinaus noch profitieren. Besonders im Fall von versuchten oder erfolgreichen Angriffen auf das Netzwerk sind die Aufzeichnungen bares Geld wert. Spätestens mit der Novelle des Bundesdatenschutzgesetzes (BDSG) im Jahr 2009 ergibt die detaillierte Logfile-Analyse einen Sinn: Kommen personenbezogene Daten abhanden, ist ein Unternehmen per Gesetz dazu verpflichtet, die Betroffenen über die Tragweite des Diebstahls zu unterrichten. Wer seine Logdateien da nicht genau auswerten kann, muss viel Geld und vor allem Zeit aufwenden, um herauszufinden, welche Daten genau abhandengekommen sind. Häufig geschieht das mithilfe einer SIEM-Software (Security Information and Event Management), die Informationen aus verschiedenen Logdateien interpretiert. Professionelle Log-Management-Systeme verbinden Log-Management und SIEM in einer Lösung und sparen Anwender damit eine separate SIEM-Investition.

Inhalt dieses Artikels