Fast alle Netzwerkkomponenten liefern Log-Informationen die sicherheitsrelevante Informationen enthalten. Insbesondere Systeme die Sicherheitsaufgaben wahrnehmen, wie Firewalls, Proxy-Systeme, Authentisierungssysteme und Intrusion Prevention Systeme, protokollieren Ereignisse, die es ermöglichen, den Sicherheitsstatus des einzelnen Systems zu erkennen und an vielen Stellen auch zu messen.
Werden die Log-Informationen der verschiedenen Systeme in einem spezialisierten System (Security Event Management-System) konsolidiert, korreliert und normalisiert, so kann der Zustand des gesamten Netzwerkes dargestellt und gemessen werden.
Das Security Event Management-System löst ein Ereignis/Incident aus, welches in der Regel mit einem Ticketing System verfolgt wird. Insbesondere bei Security Incidents ist es wichtig den Prozess der Ticketbearbeitung so anzupassen, dass zielgerichtete, schnelle Reaktionen erfolgen, Eskalationsstufen funktionieren und ein kontinuierlicher Verbesserungsprozess enthalten ist. Durch die Definition und Erfassung von Messgrößen kann die Qualität des Security Incident Management Prozesses überprüft werden.
Darüber hinaus kann durch eine Langzeitanalyse eine Aussage getroffen werden, ob sich die Bedrohungssituation ändert und die ergriffenen Sicherheitsmaßnahmen Wirkung zeigen. Diese Aussage ist für die Erstellung von qualifizierten Management-Reports unerlässlich.
Wir unterstützen Sie unter anderem bei der Optimierung Ihres Incident Management Prozesses, so dass ein Security Event Management-System optimal eingebunden werden kann. Dazu sind die Security Event Quellen zu identifizieren und mit geeigneten technischen Mitteln zu konsolidieren.
Unsere Erfahrungen umfassen die Analysen des Mengengerüsts, denn die mehrere Millionen Einträge umfassenden Log-Dateien müssen auf wenige Ereignisse reduziert werden. Die unterschiedlichsten Log-Formate müssen durch das Security Event Management-System flexibel analysieren werden können, um die Ereignisse unterschiedlicher Systeme korrelieren zu können.
Dieser umfangreiche Prozess führt Sie zu aussagekräftigen Analysen Ihrer tatsächlichen IT-Sicherheit und der Steigerung Ihres IT-Sicherheitsniveaus bei gleichzeitiger Vereinfachung der Administration der Systeme.
Wir haben Referenzen bei der herstellerneutralen Auswahl von Security Event Monitoring-Systemen als auch bei der Konzeption und Betriebseinführung.
Um brauchbare Auswertungen aus einem Security Event Management-System zu erhalten ist zumindest eine logische Zonierung der Infrastruktur notwendig.
