Mit den neuen Funktionen Network File Trajectory und Device Trajectory ergänzt Security-Appliance-Hersteller Sourcefire seine "Advanced Malware Protection"-Lösung. Anwender können Malware und verdächtige Dateien nun über das gesamte Netzwerk bis auf die Systemebene zurückverfolgen.
Bestehende Sourcefire-Appliances lassen sich problemlos mit den neuen Features aufrüsten. Foto: Sourcefire
Mit Network File Trajectory lassen sich nicht nur Eintrittspunkt, Verteilung und Verhalten der Malware bestimmen, sondern auch schneller beseitigen. Die Funktion liefert Informationen über die von den beobachteten Dateien benutzten Protokolle und alle betroffenen Anwender und Endgeräte. Sourcefire-Kunden, die bereits eine "Advanced Malware Protection"- Softwarelizenz für die FirePower-Appliances NGIPS (Next-Generation Intrusion Prevention System) oder NGFW (Next-Generation Firewall) besitzen, können Network File Trajectory sofort nutzen. Darüber hinaus lässt sich die Funktion auch als dezidierte Appliance hinzukaufen.
Device Trajectory verfolgt die Aktivitäten auf der Systemschicht zum Ursprung einer bestimmten Datei zurück und ermittelt auch die Verknüpfungen einzelner Dateien miteinander. So lassen sich forensische Analysen anstellen, um verdächtige Verhaltensweisen aufzudecken. Device Trajectory ist als Komponente der Host-basierten Sourcefire-Sicherheitslösung FireAmp sowohl für Endgeräte, als auch virtuelle Netze erhältlich.
Oracle Audit Vault Oracle hat neben den in der Datenbank integrierten Sicherheitsfunktionen mit „Audit Vault and Database Firewall“ eine Security-Suite im Programm, die zunehmend als produkt- und herstellerübergreifende Lösung positioniert wird. Die im vergangenen Dezember als Software-Appliance vorgestellte Kombination sammelt Audit- und Log-Daten von verschiedenen Datenbanken. Neben den Oracle-Produkten werden auch IBM DB2, Microsofts SQL Server, SAPs Sybase ASE und MySQL unterstützt.
IBM InfoSphere Guardium Mit „InfoSphere Guardium“ verspricht der IBM seinen Kunden Echtzeit-Monitoring sowie ein automatisiertes Compliance-Reporting für Hadoop-basierte Systeme wie Cloudera und das IBM-eigene "InfoSphere BigInsights".
Hewlett-Packard ArcSight Als zentrale Komponente liefert der "Arc- Sight Enterprise Security Manager" (ESM) ein komplettes Set an Überwachungsfunktionen. Mit dem "Application Security Monitor" sollen sich auch Anwendungen in die Sicherheitsarchitektur einbinden lassen.
McAfee NitroSecurity Security-Spezialist McAfee hat sein Portfolio mit dem Kauf von NitroSecurity Ende 2011 in Richtung SIEM ausgebaut. In der "Enterprise- Security-Manager-Appliance"-Linie werden die SIEM-Funktionen mit dem klassischen Security-Portfolio verknüpft. Dazu gehören beispielsweise ein Network Monitor, Deep-Packet-Inspection-Funktionen für die Einbindung von Daten und Anwendungen sowie ein Database Activity Monitoring (DAM).
RSA (EMC) enVision/NetWitness Das SIEM-Portfolio EMCs besteht im Wesentlichen aus zwei Komponenten. "enVision" bietet Werkzeuge für das Information- und Event-Management sowie die Verwaltung von Log- Daten. Mit Hilfe von "NetWitness" erhalten Anwender Funktionen an die Hand, mit deren Hilfe sie ihren Security-Status analysieren können.
Symantec SSIM Wie McAfee kann auch Symantec mit der Kombination seiner klassischen Sicherheits-Tools punkten. Mit integriert sind Werkzeuge wie Security Endpoint Protection (SEP), Governance, Risk and Compliance Management (GRCM) sowie Data-Leakage-Protection-(DLP-)Techniken. Außerdem erhält das System laufend Threat- und Vulnerability-Daten.
Splunk Der Anbieter baut seine gleichnamige Lösung mehr und mehr vom Log-Management zu einer kompletten SIEM-Suite aus. Die Lösung soll sich flexibel an verschiedene Analyse-Anforderungen anpassen lassen, erfordert allerdings einigen Customizing-Aufwand. Anwender können vordefinierte Suchen, Reports und Dashboards für ein Echtzeit- Monitoring einrichten.
Packetloop Packetloop hat eine Hadoop- und NoSQL-basierte Plattform gebaut, auf der sich laufend große Mengen an Log-Daten zügig verarbeiten lassen sollen, um schädliche Aktivitäten zu erkennen.
Zettaset Zettaset bietet mit seinem "Security Data Warehouse" (SDW) eine Ergänzung für SIEM-Systeme an. Das Warehouse basiert auf Hadoop und soll ebenfalls große Mengen von Security-Daten in kurzer Zeit verarbeiten können, um Unregelmäßigkeiten aufzuspüren.