SIEM- und Loganalysen

Unterstützung für klassisches Monitoring

23. November 2016, 08:00 Uhr   |  Von Pascal Cronauer.

Unterstützung für klassisches Monitoring

SIEM- (Security-Information- und Event-Management) und Log-Management-Lösungen sind nicht nur in der Lage, mit Analysen der Logdaten Rückschlüsse über den Netzwerkverkehr zu ziehen. Sie können darüber hinaus auch einzelne Netzwerkkomponenten auf deren Ausfallsicherheit hin überprüfen. Wegweisend sind dabei Syslog-Dateien, mit deren Auswertung sich die Auslastung von Firewalls, Switches etc. erkennen lässt. So kann die Analyse von SNMP-Traps beispielsweise Ausfallzeiten verringern.

SIEM- und Loganalysen sind vor allem aus dem Security-Umfeld bekannt, doch sie eignen sich ebenso für das Monitoring des Netzwerkverkehrs. Die Zunahme an Geräten und Anwendungen in Netzwerken macht es Administratoren immer schwerer, den Überblick darüber zu behalten, was eigentlich in ihrem Netzwerk vorgeht. Mobile Geräte wie Smartphones, Tablets oder Handhelds haben bereits Einzug gehalten, mit dem IoT (Internet of Things) kommen jetzt noch ganz andere Dinge wie Fitnessarmbänder, vernetzte Haushaltsgeräte, Connected Cars oder aber Maschinen hinzu, die sich - oft über WLAN - mit dem Netzwerk verbinden und damit wiederum Teil des LANs werden. Dort müssen die Verantwortlichen Lösungen finden, wie sie trotz der immer größer werdenden Geräte- und Anwendungswelle mit der Datenflut zurechtkommen, die den Netzwerkverkehr anschwellen lässt.

Typische Netzwerkprobleme potenzieren sich durch dieses Aufkommen - beispielsweise wenn Konfigurationen nicht gespeichert sind und eine Komponente neu zu starten ist, oder wenn Konfigurationen nicht den Unternehmensrichtlinien entsprechen. Unnötige Regeln für bestimmte Geräte, fehlerhafte VPN-Verbindungen oder Link-Überlastungen bei großen Downloads fallen ebenfalls in diese Kategorie. Schnittstellen sind ein weiterer Punkt, der Probleme bereiten kann, wenn eine Anwendung mehr Bandbreite benötigt. Hardwareprobleme - zum Beispiel der Ausfall eines Lüfters, Schwankungen in der Stromversorgung oder hohe Temperaturen - können darüber hinaus Auswirkungen auf das Netzwerk haben.

ll12s07_bild-1
©

Integration von Logpoint in Scrutinizer: Wenn der Anwender eine IP-Adresse zur Auswertung an die SIEM-Lösung schicken will, klickt er auf das "Other Options"-Menü und wählt "Logpoint Source" aus.

Fehlende Einstellungen für Quality of Service sorgen beispielsweise dafür, dass wichtige und ressourcenintensive Anwendungen unzureichend unterstützt werden und so verlangsamen. Nicht optimierte Pfade, die lange Umwege nehmen, verzögern ebenfalls die Verfügbarkeit von Anwendungen. Natürlich kann auch Schadsoftware zu einer Auslastung von Speicherressourcen führen oder aber Teile des Netzwerks lahmlegen. Ganz ähnliche Auswirkungen haben zudem der Administration nicht bekannte Switches, Hubs und ähnliche Komponenten.

Automatisierte Tools

Werden Vorgänge im Netzwerk unübersichtlich, suchen Administratoren nach schnellen und einfachen Lösungen wie "Wireshark", "Microsoft Network Monitor" oder dem "Virtual Router Manager", um sich mehr Übersicht zu verschaffen. Eine Möglichkeit, die sich zusätzlich bietet, aber kaum in Erwägung gezogen wird, ist die Ergänzung um automatisiertes SIEM- beziehungsweise Log-Management. Wenn man das FCAPS-Modell (Fault, Configuration, Accounting, Performance, Security) der ISO für das Netzwerk-Management heranzieht, lassen sich die dort definierten fünf Punkte mit den Funktionen typischer Log-Management-Software abgleichen:

1. Fehler-Management: In dieser Hinsicht können solche Lösungen Fehler erkennen, protokollieren, über eine Warnung melden und Empfehlungen für die Behebung geben.

2. Konfigurations-Management: Durch die Einbeziehung verschiedenster Datenquellen von unterschiedlichen Komponenten lässt sich der "Gesundheitszustand" der Hardware über-wachen.

3. Abrechnungs-Management: Bei diesem Punkt müssen derartige Lösungen passen.

4. Leistungs-Management: Leistungsdaten lassen sich erheben und Grenzwerte definieren, sodass entsprechende Lösungen auch bei diesen Aufgaben unterstützten können.

5. Sicherheits-Management: Dies ist die eigentliche Aufgabe solcher Lösungen, die jedoch nicht nur die Autorisierung von Nutzern, sondern auch das Eindringen externer Bedrohungen monitoren können.

Entsprechende Tools können also mehr als nur Logdaten sammeln, korrelieren und auswerten sowie Warnungen über sicherheitsrelevante Zwischenfälle absetzen, sondern noch ganz andere Netzwerkbewegungen beobachten. Eine derartige Software sammelt Daten von Firewalls sowie anderen Sicherheitslösungen und erstellt vordefinierte Events. Diese Daten enthalten Informationen verschiedenster Hardware und Hersteller wie Switches, Firewalls etc. aber auch von E-Mail- oder Web-Servern. Dabei geht es um mehr als Log-File-Analyse. Sensoren für Netzwerkdienste wie Ping, HTTP, SMTP, FTP, POP3 oder für verschiedenste Datenbanken sind zusätzliche Datenquellen, die sich in einer solchen Lösung über Schnittstellen betrachten lassen.

ll12s07_bild-2
©

Netflow-Analyse mit Logpoint: Scrutinizer sendet die IP-Adresse, die der Anwender angeklickt hat (10.1.14.128), sowie das Zeitintervall in der URL zur Auswertung an die SIEM-Software.

Log-Management-Lösungen mit automatisierten SIEM-Systemen werten zudem auch Temperatur- und Leistungsdaten einzelner Hardwarekomponenten aus. Dazu bedarf es spezieller Schnittstellen, die den Flow ebenfalls monitoren. So lässt sich beispielsweise die SIEM-Software Logpoint in die Flow-Analysesoftware Scrutinizer von Plixer implementieren, die zusätzlich zu Syslog eine Bandbreitenüberwachung verschiedenster Netzwerkprotokolle wie SNMP, Packet Sniffing, Netflow, Sflow und Ipfix ermöglicht. Beide Lösungen kombiniert ermöglichen es dem Administrator, vordefinierte automatisch generierte Berichte und Auswertungen zu erstellen und Schwellenwerte für Alarmierungen festzulegen. Diese Reports zeigen dann auf einen Blick, was im Netzwerk tatsächlich passiert. Administratoren sind somit in der Lage, aus der reaktiven Passivität herauszukommen und können aktiv agieren.

Eine Log-Management-Software mit automatisiertem SIEM kann mithilfe der Big-Data-Eigenschaften eine wertvolle Unterstützung für klassisches Netzwerk-Monitoring sein, weil sie in der Lage ist, aus unterschiedlichsten Quellen Sensoren- und Protokolldaten auszulesen und zu analysieren. Das wesentliche Stichwort ist dabei "maschinelles Lernen" beziehungsweise die Fähigkeit der Software, über die Analyse von Log-Files für Sicherheitsberichte und Alarmierungen hinaus zur Stabilität des Netzwerks beizutragen.

Pascal Cronauer ist Country Manager DACH bei Logpoint ().

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Gigamon: Monitoring für 100-GBit/s-Netzwerke
Mehr Durchblick im Storage-Netzwerk
Monitoring von Micro-Service-Architekturen

Verwandte Artikel

Log-Management

Monitoring

SIEM