von Nils Krumrey, Global Customer Success Manager, LogPoint
Wenn wir mit Kunden sprechen, steht das „Logdaten-Management“ oft ganz oben auf der Liste ihrer Anforderungen. Das hört sich relativ einfach an, aber wenn Sie mehr als nur ein Kästchen auf Ihrer Liste ankreuzen möchten, lohnt es sich, sich genauer mit der Bedeutung des Logdaten-Managements zu befassen.
LogPoint Converged SIEM sammelt Logdaten von Endpunkten, das heißt von Geräten und Anwendungen in der gesamten IT-Infrastruktur. Diese Logdaten werden dann dank Normalisierung und Korrelation in qualitativ hochwertige Informationen umgewandelt. Anschließend identifiziert die Lösung mithilfe von Algorithmen des maschinellen Lernens automatisch sicherheitsrelevante Vorfälle und Anomalien und sendet entsprechende Warnmeldungen.
Was bedeutet Logging?
Logging ist die Aufzeichnung von Ereignissen. Jede Art von zeitlichen Event-Daten (beispielsweise Ereignisfolgen oder Web-Protokolle) sind Logdaten. Üblicherweise denken wir bei Logdaten an lange, komplizierte Textdateien, aber Logdaten können heute praktisch überall entstehen und verschiedenste Formen haben. Ein Virenscanner, der die Events von Clients in einer Datenbank aktualisiert und aufzeichnet? Das sind Logdaten. Auch Daten zum Netzwerkfluss aus einer Virtual Private Cloud in AWS sind Logdaten. Und natürlich gibt es die „üblichen Verdächtigen“ wie Windows-Event-Logdaten, Webserver-Protokolle und Logdaten zu Dateizugriffen.
Was ist Logdaten-Management?
Wenn diese Logdaten vorhanden sind, warum müssen sie dann verwaltet werden? Der Begriff „Logdaten-Management“ stammt aus einer Zeit, als Logdaten vorwiegend aus Textdateien bestanden, Administratoren mit mangelndem Speicherplatz zu kämpfen hatten – und log99 zu log00 wurde. Zu diesem Zeitpunkt mussten die Logdaten „wegverwaltet“ werden, damit das Quellsystem wieder „aufatmen“ konnte.
Während Textdateien Platz für Syslog, APIs und Datenbanken gemacht haben, ist das einfache log00-Beispiel immer noch der Ausgangspunkt für das Logdaten-Management. Heute vielleicht nicht mehr so sehr im Hinblick auf den Speicherplatz, sondern vielmehr um sicherzustellen, dass wir Logdaten erfassen, bevor sie verschwinden. Es ist erstaunlich, wie viele Systeme ihre Logdaten immer noch überschreiben und wie schnell sie dies tun. Oft stehen die Logdaten nur 24 Stunden oder weniger zur Verfügung, bevor sie überschrieben werden und somit erlöschen. Wenn wir diese Logdaten zu einem späteren Zeitpunkt sinnvoll nutzen möchten, müssen wir dafür sorgen, dass sie erfasst werden und nicht verloren gehen können.
Die Sammlung von Logdaten
Wir wissen nun, was ein Logdaten-Eintrag ist und warum dieser erfasst werden muss. Aber wie lässt sich dies in der Praxis umsetzen?
Zunächst müssen die Logdaten-Einträge gesammelt werden. Entweder müssen diese eingeholt werden, oder sie werden an das System übermittelt. Für die Logdaten-Sammlung von originären Log-Dateien können Sie sich in ein System einloggen und diese per SCP oder SFTP abrufen.
Alternativ kann ein Quellsystem so konfiguriert werden, dass es kontinuierlich Logdaten auf den in die Lösung integrierten FTP-Server ablegt. Neben Dateien können dies auch Syslog-Daten (bei Netzwerkgeräten weit verbreitet) oder SNMP-Traps sein. In der Windows-Welt kann dies auch ein Agent, der Windows Event Forwarding Collector oder WMI sein. Es kann auch ODBC für Datenbanken, die Office 365 Management API, Defender Alert API, Event Hubs API oder ein S3-Bucket sein.
Die Methoden der Logdaten-Erfassung sind in der Tat endlos. Es ist jedoch wichtig, dass eine Lösung für das Logdaten-Management diejenigen Plattformen und Techniken unterstützt, die Sie zur Erzeugung von Logdaten verwenden. Andernfalls entstehen blinde Flecken.
Die zentrale Aggregation von Logdaten
Ein Grund für die Sammlung von Logdaten besteht darin, zu gewährleisten, dass sie an einem sicheren Ort aufbewahrt werden, auf den Sie schnell zugreifen können. Es macht wenig Sinn, Log-Dateien an verschiedenen Stellen abzulegen, denn so bieten sie keinen Nutzen. Sie müssen wissen, wo sich diese befinden und wie Sie jederzeit darauf zugreifen können. Eine zentrale Logdaten-Aggregation ist daher eine hervorragende Möglichkeit, einen Mehrwert zu erzielen.
Sie sollten in der Lage sein, eine Lösung effizient, vorzugsweise ohne zusätzliche Kosten, in einer verteilten Umgebung zu betreiben. So kann beispielsweise ein Remote-Standort eine überraschend hohe Zahl an Logdaten-Einträgen erzeugen, die eine WAN-Verbindung überlasten würden. Bei Cloud-Plattformen könnten unerschwingliche Kosten für ausgehende und eingehende Logdaten entstehen. In diesen Szenarien kann es von entscheidender Bedeutung sein, die Logdaten lokal zu speichern oder diese in der Cloud zu belassen, sie aber dennoch über einen zentralen Search Head durchsuchen zu können. Converged SIEM ist flexibel genug, um sich an Ihre Anforderungen und Ihre IT-Umgebung anzupassen.
Die Langzeit-Speicherung, die Aufbewahrung und die Rotation von Logdaten
Wie lange Logdaten-Einträge gespeichert werden sollen, ist eine Entscheidung, die jedes Unternehmen treffen muss. Hierbei gibt es eine Reihe von Überlegungen:
- Compliance: Gibt es rechtliche und/oder regulatorische Vorgaben, warum Logdaten-Einträge aufbewahrt oder auch gelöscht werden müssen? PCI, DSGVO und Unternehmensrichtlinien kommen hier ins Spiel, sowohl für Daten, die aufbewahrt, als auch für Daten, die gelöscht werden müssen. Die Festlegung granularer Richtlinien für die Aufbewahrung ist von Vorteil. Möglicherweise sollten spezifische Logdaten-Einträge, die bestimmte personenbezogene Daten enthalten, für einen kürzeren Zeitraum aufbewahrt werden, oder einige der Felder sollten verschlüsselt werden.
- Operative Anforderungen: Gibt es bestimmte Anwendungsfälle, in denen Logdaten-Einträge im Nachhinein von Vorteil wären? Ein Beispiel: Wie lange könnte – realistisch betrachtet oder aus rechtlicher Sicht – eine Urheberrechtsklage von Dritten erhoben werden, nachdem ein Student illegal Filme über das Universitätsnetzwerk heruntergeladen hat?
- Logdaten-Volumen und Kosten: Logdaten-Meldungen beanspruchen Speicherplatz, und Speicherplatz kostet Geld. Einige Anbieter berechnen sogar Gebühren für die mit ihren Tools gespeicherte Datenmenge. Das führt zu Kosten für jeden Tag, an dem Logdaten-Einträge gespeichert und aufbewahrt werden. Letztendlich kommt der Punkt, an dem die Kosten für eine weitere Aufbewahrung der Logdaten den Nutzen, den sie erbringen könnten, übersteigen. Dann sollten sie wahrscheinlich gelöscht werden.
Die Wahl der geeigneten Storage-Lösung für Ihr Logdaten-Management
Wenn es um die Speicherung von Logdaten an sich geht, gibt es verschiedene Möglichkeiten. Bei einigen Cloud- und Managed-Services sind die Speicherkosten in den Subskriptionspreisen enthalten. Dennoch ist ein darüber hinaus gehende Aufbewahrung in der Regel teuer. Zudem haben Sie wenig Kontrolle darüber, was wo und wie lange gespeichert wird, da die Daten nicht mehr in Ihrem Besitz sind.
Bei anderen Lösungen bleiben die Daten im Besitz der Unternehmen, wenn diese ihre eigenen Storage-Infrastrukturen nutzen. Abhängig von der Architektur kann die Lösung ältere Daten automatisch auf eine langsamere Speicherebene verschieben (beispielsweise ein langsameres Disk-NAS anstelle von DAS/SAN und SSDs). Einige Anbieter senden die Logdaten an eine Offline- oder „Archiv“-Ebene. In Konsequenz ist jedoch auch der Wiederherstellungsprozess langsamer, falls die Logdaten tatsächlich nochmals benötigt werden.
Wie zu erwarten bietet eine flexible Lösung die beste Kontrolle über die Logdaten-Aufbewahrung und die Kosten. Nur eine flexible Lösung kann die Herausforderungen des Logdaten-Managements optimal bewältigen: Hierzu zählen der fortwährende Besitz der Daten, die Speicherung verschiedener Logdaten-Einträge über unterschiedliche Zeiträume hinweg, der Schutz sensibler Informationen mit der gleichzeitigen Möglichkeit, diese zu durchsuchen, sowie die automatische Verwaltung der Speicherebenen.
Logdaten-Analyse, Logdaten-Suche und Reporting – warum Sie Logdaten-Management nutzen sollten
Was bedeutet das nun für Sie? Sie haben die Logdaten gesammelt und dafür gesorgt, dass diese zentral und über den erforderlichen Zeitraum hinweg gespeichert werden. Nach all diesem Aufwand ist es natürlich sinnvoll, diese Logdaten auch zielführend einzusetzen.
Hier knüpft das reine Logdaten-Management an Converged SIEM (Security Information and Event Management) an. Da die Sicherheit im Fokus steht, ermöglicht es eine SIEM-Lösung, jedes sicherheitsrelevante Ereignis in einer Log-Datei zu finden, Warnmeldungen zu senden und alle relevanten Informationen in Dashboards und Reports zu visualisieren.
Daher ist die Sammlung und Speicherung von Logdaten ein wichtiger erster Schritt. In manchen Fällen ist es ausreichend, die Logdaten zu sammeln und aufzubewahren, um bestimmte Compliance-Anforderungen zu erfüllen. Der eigentliche Mehrwert eines Logdaten-Managements entsteht jedoch erst durch die weiteren, vielfältigen Möglichkeiten – wie beispielsweis die Logdaten-Analyse.
Mit Converged SIEM erhalten Sie Zugriff auf das volle Potenzial von Logdaten. Alle Logdaten-Einträge stehen sofort und zentral zur Verfügung. Das bedeutet, dass Sie immer wissen, wo Sie eine Fehlersuche durchführen müssen – ganz gleich, ob es sich um Probleme mit der Netzwerkkonnektivität handelt, Virenscanner-Warnungen, oder Benutzer, die sich immer wieder aussperren. Sie können verschiedenste Aufgaben bewältigen ohne schwer verständliche Log-Dateien lesen oder eine Vielzahl von Systemen durchsuchen zu müssen – falls die Daten überhaupt noch verfügbar sind.
Falls Sie sich für den umfassenden Funktionsumfang unserer Tools interessieren, sollten Sie sich auch weitere Blog-Beiträge auf unserer Website ansehen!