"Unsere Aufgabe ist, das durch viele fehlgeschlagene Projekte in den vergangenen Jahren doch recht lädierte Image von SIEM aufzupolieren und das Verfahren wieder einfach und attraktiv zu machen", erklärt Christoph Stoica, Managing Director für Europa bei NetIQ im Gespräch mit der COMPUTERWOCHE.

Mit Sentinel 7 stellt das für seine System-Management-Lösungen bekannte Unternehmen, das genau wie Novell und die Nürnberger SUSE Linux GmbH zur Attachmate Corporation gehört, deshalb nun eine Gesamtlösung für den Netzwerk- und Host-Bereich vor. "Besonders die verschiedenen virtualisierten Umgebungen verschmelzen zunehmend und erfordern neue IT-Sicherheitsansätze", berichtet Stoica. Die neue Version vereinfache die Bereitstellung, Verwaltung und Nutzung von SIEM im täglichen Betrieb und passe sich an die Unternehmensumgebungen an. Sicherheitsverantwortlichen biete Sentinel 7 damit alle relevanten Informationen im schnellen Zugriff, um eine Bewertung des Sicherheitsrisikos vornehmen und Gegenmaßnahmen einzuleiten zu können.

Die wachsenden Datenberge aus Netzwerk-Ereignisdaten, Logfiles und Flow-Informationen müssen zusammengefasst und aufbereitet werden, um Erkenntnisse über die aktuelle Gefährdungslage zu gewinnen. Der Anwender kann über eine aufgeräumte Web-Plattform verschiedene Filter setzen, um beispielsweise Anomalien im Netzwerkaufkommen besser aufzufinden oder auch bestimmte Compliance-Vorgaben schneller zu auditieren.

Skalier- und automatisierbar

NetIQ liefert Sentinel 7 als virtuelle Appliance aus, die sich ohne spezielle Hardware in jede IT-Umgebung einbinden lässt und auf allen Plattformen funktioniert. Die Lösung ist sowohl horizontal als auch vertikal skalierbar und durch Hinzufügen oder Entfernen von Rechenkapazitäten und virtuellen Maschinen an den jeweiligen Bedarf anzupassen.

Vordefinierte Policies für bekannte Szenarien machen das Erkennen der gängigsten Bedrohungen bereits ohne manuelle Nachjustierung möglich. Die Appliance erfasst das Normalverhalten der IT-Umgebung zunächst über mindestens eine Woche (Baselining) und erkennt durch den anschließenden Live-Abgleich Abweichungen, die Sicherheitsbedrohungen darstellen könnten, automatisiert und selbstständig. Je länger diese Analyse läuft, desto feiner und detaillierter passt sie sich damit der Umgebung an.

NetIQ adressiert mit Sentinel 7 vor allem den Mittelstand und lizenziert nach dem Events-per-Second-Modell (EPS). Unternehmen zahlen somit nicht nach der Zahl der Arbeitsplätze, sondern nach der Zahl der aufkommenden sicherheitsrelevanten Ereignisse im gesamten Unternehmen. Der Einstiegspreis liegt bei 40.000 Dollar (rund 30.000 Euro) jährlich. Damit wird aber wohl kaum ein Kunde auskommen: Kleinere Unternehmen, bei denen um die 1000 Events pro Sekunde gängige Praxis sind, zahlen 60.000 Dollar (rund 45.100 Euro). Die Hauptklientel von NetIQ bewegt sich im Mittelstand zwischen 5000 und 10.000 Ereignissen pro Sekunde und zahlt zwischen 125.000 Dollar (rund 94.000 Euro) und 225.000 Dollar (rund 169.000 Euro). Für alle Anwender, die die SIEM-Lösung zunächst unverbindlich testen wollen, stellt NetIQ voraussichtlich in der zweiten März-Woche eine kostenlose Demoversion bereit.