Die Tools der großen Anbieter

Big Data braucht Big Security

29.04.2013
Von 
Martin Bayer ist Chefredakteur von COMPUTERWOCHE, CIO und CSO. Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP.

McAfee: NitroSecurity

McAfee steuert mit NitroSecurity ebenfalls in Richtung SIEM.
McAfee steuert mit NitroSecurity ebenfalls in Richtung SIEM.
Foto: McAfee

Security-Spezialist McAfee hat sein Portfolio mit dem Kauf von NitroSecurity Ende 2011 in Richtung SIEM ausgebaut. In der "Enterprise- Security-Manager-Appliance"-Linie werden die SIEM-Funktionen mit dem klassischen Security-Portfolio verknüpft. Dazu gehören beispielsweise ein Network Monitor, Deep-Packet-Inspection-Funktionen für die Einbindung von Daten und Anwendungen sowie ein Database Activity Monitoring (DAM). Außerdem fließen seit Mitte vergangenen Jahres Informationen aus McAfees Bedrohungsanalysen, dem Risk Advisor und dem Vulnerability Manager mit ein.

RSA (EMC): enVision/NetWitness

Mit RSA enVision lassen sich Logdateien analysieren.
Mit RSA enVision lassen sich Logdateien analysieren.
Foto: EMC/RSA

Das SIEM-Portfolio EMCs besteht im Wesentlichen aus zwei Komponenten. "enVision" bietet Werkzeuge für das Information- und Event-Management sowie die Verwaltung von Log-Daten. Mit Hilfe von "NetWitness" erhalten Anwender Funktionen an die Hand, mit deren Hilfe sie ihren Security-Status analysieren können. Ein einheitliches User Interface soll die Bedienung beider Tools künftig vereinfachen. Außerdem arbeitet der Hersteller verstärkt an Funktionen für Echtzeit-Monitoring sowie an speziellen Paketen für Mittelständler.

Symantec: SSIM

SSIM funktioniert wie ein spezielle SIEM-Appliance.
SSIM funktioniert wie ein spezielle SIEM-Appliance.
Foto: Symantec

Der Security-Spezialist bietet mit dem "Symantec Security Information Manager" (SSIM) eine speziell für SIEM-Funktionen ausgelegte Appliance. Wie McAfee kann auch Symantec mit der Kombination seiner klassischen Sicherheits-Tools punkten. Mit integriert sind Werkzeuge wie Security Endpoint Protection (SEP), Governance, Risk and Compliance Management (GRCM) sowie Data-Leakage-Protection-(DLP-)Techniken. Außerdem erhält das System laufend Threat- und Vulnerability-Daten.

Splunk

Splunk wächst immer mehr zu einer umfangreichen SIEM-Suite heran.
Splunk wächst immer mehr zu einer umfangreichen SIEM-Suite heran.
Foto: Splunk

Der Anbieter Splunk baut seine gleichnamige Lösung mehr und mehr vom Log-Management zu einer kompletten SIEM-Suite aus. Die Lösung soll sich flexibel an verschiedene Analyse-Anforderungen anpassen lassen, erfordert allerdings einigen Customizing-Aufwand. Anwender können vordefinierte Suchen, Reports und Dashboards für ein Echtzeit-Monitoring einrichten. Künftig sollen vor allem die Funktionen zur Erkennung von Unregelmäßigkeiten ausgebaut werden.

Big Data für Big-Data-Sicherheit

Mit der stärkeren Nutzung von SIEM-Werkzeugen fallen in den Unternehmen auch immer mehr Security-Daten an. Diese könnten sich wiederum mit Hilfe von Big-Data-Techniken schneller und effizienter auswerten lassen. Einige Startups bieten dafür bereits Tools an. Packetloop hat beispielsweise eine Hadoop- und NoSQL-basierte Plattform gebaut, auf der sich laufend große Mengen an Log-Daten zügig verarbeiten lassen sollen, um schädliche Aktivitäten zu erkennen. Zettaset bietet mit seinem "Security Data Warehouse" (SDW) eine Ergänzung für SIEM-Systeme an. Das Warehouse basiert auf Hadoop und soll ebenfalls große Mengen von Security-Daten in kurzer Zeit verarbeiten können, um Unregelmäßigkeiten aufzuspüren. (sh)