Solarwinds macht SIEM auch für mittelständische Firmen beherrschbar
Bislang waren sogenannte SIEM-Lösungen, wie sie etwa das 2010 durch HP übernommene Unternehmen ArcSight sowie der rund ein Jahr später von IBM akquirierte Sicherheitsanbieter Q1 Labs offerieren, aufgrund des hohen Aufwands für Konfiguration und Management eher großen Unternehmen mit ausreichend personellen und IT-technischen Ressourcen vorbehalten. Nun integriert auch Solarwinds eine SIEM-Komponente in seinen Log & Event Manager, mit dem es sich an Unternehmen mit deutlich geringeren Ressourcen wendet.
Als SIEM (Security Information and Event Management) werden auf statischen und heuristischen Algorithmen basierende Systeme bezeichnet, die zu mehr in der Lage sind, als ein- und ausgehenden Daten-Traffic innerhalb des Firmennetzwerks nur rudimentär zu analysieren und zu klassifizieren. Vielmehr sollen sie die von bestehenden Firewall- und Intrusion Detection– respektive Intrusion-Prevention-Systemen (IDS/IPS) oder auch Unix- und Windows-Servern generierten Log-Daten sammeln und die unterschiedlichen Datentöpfe mithilfe eines sogenannten Korrelationsregelwerks zusammenführen. Damit sollen möglicherweise von den einzelnen Sicherheitseinrichtungen unentdeckte externe Angriffe oder böswillige Aktionen von Mitarbeitern aufgespürt werden. Im Idealfall werden die verwertbaren Informationen dabei derart komprimiert, dass man sie – etwa in Form einer Risiko-Ampel, die auf rot, gelb oder grün steht – verorten kann.
Die von Solarwinds nun bereitgestellte SIEM-Komponente soll solche sicherheitsrelevanten Ergebnisse anhand von neuen Konfigurations- und Regelassistenten sowie einer erleichterten Einrichtung der zugehörigen Korrelationsregeln schneller visualisieren und verfügbar machen. “IT-Abteilungen stehen unter immer stärkerem Druck, ihre Umgebungen zu sichern. Zudem sehen sie sich neuen Bedrohungen gegenübergestellt und müssen sich die nötigen Ressourcen zu ihrer Bekämpfung mühevoll erkämpfen”, meint Chris LaPoint, Group Vice President Product Management bei Solarwinds, in einer Pressemitteilung.
“Die meisten IT-Profis haben nicht die Zeit, die Sicherheitsüberwachung manuell zu konfigurieren oder sich vor der Implementierung intensiv mit bestimmten Systemen vertraut zu machen. Deshalb benötigen sie einen schnellen Zugriff auf präzise, verwertbare Daten, um ihre Umgebungen besser schützen und Sicherheitsprobleme vermeiden zu können. Die höhere Benutzerfreundlichkeit von Solarwinds LEM ermöglicht eine schnelle und nahtlose SIEM-Implementierung-, Konfiguration- und Warnmeldungsfunktion. Dadurch entlastet sie IT-Profis bei ihren Sicherheitsaufgaben”, so LaPoint weiter.
Zum einen soll der neu hinzugekommene Konfigurationsassist IT-Verantwortliche durch die Implementierung von SolarWinds LEM führen und in simplen Schritten die korrekte Konfiguration der Systeme sicherstellen. Im Einzelnen bietet das Feature laut Solarwinds Hilfestellung bei grundlegenden Einstellungen wie der E-Mail-Konfiguration für den Zugriff auf ein Active-Directory-Verzeichnis. Zudem führe es durch sämtliche Schritte beim Sammeln der von Systemen, Anwendungen und Geräten generierten Protokoll- und Ereignisdaten, wodurch es nicht nur das Anhäufen von Informationen vereinfache, sondern auch das Hinzufügen neuer Geräteknoten.
Zum anderen hilft der jetzt in SolarWinds LEM integrierte Regelassistent laut Anbieter beim Erstellen von Korrelationsregeln. Sicherheitsverantwortliche sollen damit eine vorkonfigurierte Liste mit Kategorien und Unterkategorien von Regeln erhalten. Diese beziehen sich Solarwinds zufolge unter anderem auf Sicherheit, Compliance, Änderungsverwaltung, Betrieb und Endpunktüberwachung. Überdies soll der Regelassistent Informationen zu bewährten Methoden (Best Practices) bei der Identifikation und Abwehr von Bedrohungen liefern.
Darüber hinaus umfasst SolarWinds LEM laut Hersteller nun das Modul “File Integrity Monitoring” (FIM). Damit sollen Security-Verantwortliche sogenannte Advanced Persistent Threats (APTs) – also fortgeschrittene, andauernde Bedrohungen – sowie den Datenmissbrauch durch interne Mitarbeiter aktiv erkennen können. Zudem könnten mit der Komponente auch zahlreiche internationale Log-Management-Standards wie PCI DSS, Sarbanes-Oxley und HIPAA leichter eingehalten werden. Solarwinds zufolge bietet FIM ferner eine transparente Änderungsverwaltung von Servern und Anwendungen sowie eine erhöhte Erkennungsrate bei Zero-Day-Malware.
Die SIEM-Funktionen stellt Solarwinds LEM laut Hersteller innerhalb einer virtuellen Appliance bereit. Außer den genannten Funktionen integriert und kombiniert die IT-Verwaltungssoftware unter anderem noch eine Protokollverwaltung, Ereigniskorrelation, Virtualisierung und Berichterstellung sowie eine USB-Defender-Technologie und SQL-Datenbanküberwachung. Solarwinds Log & Event Manager ist – einschließlich Wartung – für ein Jahr ab Kauf zu Preisen ab 3665 Euro erhältlich. Auf der Homepage gibt es ferner eine kostenlose 30-Tage-Testversion.
Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.
