IT-cube

Arcsight ESM v5.0 verfügbar

Thu, 02 Sep 2010 00:00:00 +0200

ArcSight ESM ist jetzt in Version 5.0 verfügbar. ArcSight erweitert damit seine Security Information and Event Management Plattform um neue Funktionalitäten und bietet grundlegende Systemverbesserungen. Die neuen Funktionen von ESM v5.0 im Überblick:

Mit „Actors“ können Nutzer und ihr Verhalten auf Applikationen und Netzwerkaktivitäten abgebildet werden.
Events mit gemeinsamen Attributen können über "Domain Field-Sets" identifiziert und gruppiert werden.
Die Einführung "globaler Variablen" sowie ein "ESM Service Layer" zur Integration eigener Applikationen mittels Web Services ergänzen die neue Version.

ArcSight ESM v5.0 bietet zudem in den folgenden Bereichen grundlegende Systemverbesserungen:

Flexibleres und erweiterbares Security-Event-Schema
Erweiterung der unterstützten Datentypen wie IPv6
Erweiterung des Asset Modells um Asset Aging
Aufbewahrung von Case Events auch über die Retention Policy hinaus
Hierarchical Deployment Enhancement - Forwarding von Correlated Events ergänzt um Base Events
Einführung von Multi-Mapping innerhalb von Active Lists
Erweiterte Funktionen innerhalb von Variablen wie bspw. "Get Year", "String to List", "Concatenate Three Actors"
Einführung von Actions innerhalb von Trends
Einführung von Custom-Layout Views für Dashboards
Verbesserte und vereinfachte Handhabung des Query Editors

FAZIT

Ein Upgrade auf ArcSight ESM v5.0 lohnt sich. Dies ist für Bestandskunden allerdings erst mit dem Erscheinen von ESM v5.0 Service Pack 1 (voraussichtlich Q4/2010) möglich. Neukunden können bereits jetzt mit ArcSight ESM v5.0 durchstarten. Mehr zur Arcsight SIEM-Solution...

Splunk-Workshop im IT-Administrator

Wed, 04 Aug 2010 12:01:00 +0200

„…Betrachten wir den typischen Ablauf eines Trouble Shootings. Das Monitoring-Tool, zum Beispiel Nagios, meldet ein Problem. Sie melden sich über die Konsole des fehlerhaften Systems an und beginnen, mit grep, tail -f oder ähnlichen Kommandos Logdateien auf Auffälligkeiten hin zu durchforsten. Da Sie den Zeitpunkt nur grob kennen, quälen Sie sich durch Millionen von Log-Events. Dabei sind die Chancen, gleich auf dem ersten System fündig zu werden, recht gering. Sie weiten die Suche auf die Kommunikationspartner des vermuteten Systems aus, müssen dazu Logdaten unterschiedlicher Formate interpretieren und benötigen extrem viel Zeit, Wissen und Erfahrung, um den Auslöser des Problems zu finden. Am Ende haben Sie einige Indizien entdeckt, exportieren die betreffenden Logzeilen und schicken diese dem Applikationsverantwortlichen zur weiteren Analyse zu. Leider hat dieser keinen Administrationszugriff auf sämtliche OS-Logs und kommt daher wieder auf Sie zurück. Die Iteration beginnt von vorne…“ Lesen Sie mehr über die Möglichkeiten zu IT-SEARCH mit Splunk in der aktuellen Ausgabe des IT-Administrator August 2010, Seite 35-37, Workshop Teil 1/2. Online-Ausgabe bestellen Mehr zum Einsatz von Splunk

Schwachstellen-Scan für Webapplications

Wed, 28 Jul 2010 13:23:00 +0200

Mit McAfee® Vulnerability Manager® 7.0.0. ist die Ära Foundstone jetzt offiziell passé. Als Produktteil der McAfee Risk Management Solution bietet das neue Release einen Webapplication -Scanner, der nach Schwachstellen im Webcode sucht und über ein- und ausschließende URL-Angaben gesteuert wird. Auch die Möglichkeiten für SQL-Injections werden überprüft und gemeldet. Eine weitere Namensänderung erfolgte für die Remediation Funktion. Das „neue“ Ticketing bietet verschiedene Ansichtsoptionen nach Assets, Schwachstellen oder Usern. Die PCI Reports sind PCI DSS konform, erlauben die Sortierung nach CVSS Score und enthalten Scan-Konfigurationen und Zusammenfassungen. Der Scan Controller Service ermöglicht die Kommunikation mehrerer Scan-Engines mit der Datenbank bei simultanen Scans. Neu unterstützt werden jetzt MS SQL Server 2008, VMware Workstation 7.0 und VMware vSphere 4.0, MS Internet Exlorer 7 bzw. 8 sowie der MS Windows Server 2008 R2 64-bit.

Fazit:

Der Webapplication-Scanner ist ein interessantes neues Feature. Schade, dass er separat lizensiert werden muss. Positiv ist der weitere Ausbau der unterstützten Plattformen.

IT-Security-Themen auf einen Blick

Tue, 15 Jun 2010 12:53:00 +0200

www.it-cube.net bietet nach Relaunch umfassenden Überblick auf alle relevanten IT-Security-Themen

München, 20. Juni 2010 – it-cube.net geht nach einem Relaunch mit modernem und userfreundlichem Design, aber vor allem auch mit einem umfassenden Überblick auf alle relevanten IT-Security-Themen ins Netz. Detailliert und kompetent informiert die Website praxisnah über Security-Themen von Application Security bis WAN-Optimization und über Produkte von Arcsight bis Zertificon. IT-Fachleute finden außerdem zu jedem Thema einen Experten, der für alle Fachanfragen gerne kontaktiert werden kann. IT-CUBE SYSTEMS hat seine jahrelangen praxisnahen Erfahrungen im Bereich IT-Security jetzt auf einer neu entwickelten Website zusammengefasst. Ziel ist es, IT-Fachleuten einen einfachen und übersichtlichen Einstieg in alle Security-Themen zu bieten. Welche Themen sind aktuell relevant, wo besteht Handlungsbedarf, welche Lösungsmöglichkeiten existieren? Auf diese Fragen bietet www.it-cube.net die richtigen Antworten. IT-CUBE SYSTEMS gewinnt seine Expertise aus zwei wesentlichen Komponenten: Aus erfolgreichen, anspruchsvollen Kundenprojekten und aus hochkompetenten Mitarbeitern, die ein ausgeprägtes Gespür für zukunftssichere Technologietrends in der IT besitzen. Durch vielfältige Partnerschaften sind wir zeitnah über aktuelle Entwicklungen in der Produktlandschaft informiert und können uns dennoch unsere Neutralität bewahren. Dieses Know-how geben wir gerne zum Vorteil unserer Kunden weiter. Als leistungsstarker Systemintegrator hat IT-CUBE SYSTEMS sich in einem starken Wettbewerbsumfeld überaus erfolgreich eine Position an der Spitze der IT-Security-Integratoren erarbeitet.

IT-CUBE SYSTEMS - We keep IT trusted

IT-CUBE SYSTEMS ist ein Full-Service-Provider für IT-Sicherheitslösungen, der bedarfsgerechte IT-Infrastruktur- und Sicherheitslösungen entwickelt. Als Full-Service-Partner begleiten wir Projekte über die gesamte Laufzeit von der Planung, Leasing-Finanzierung über die Implementation bis hin zum operativen Betrieb. IT-CUBE SYSTEMS ist in München angesiedelt und sowohl im süddeutschen Raum als auch international tätig. Zu unseren Kunden zählen namhafte Großkonzerne, aber auch mittelständische Unternehmen verschiedener Branchen, u. a. aus Luft- und Raumfahrt, Automobilindustrie, Finanzwirtschaft, Telekommunikation und Medizin. Unsere Leistungen gliedern sich in die Bereiche IT-Security, IT-Infrastructure, Managed & Professional Services. Dabei fokussieren wir uns auf: Perimeter Defense, Content Security, Remote Access, Intrusion Prevention, SIEM & IT-Search, DLP Endpoint Security, Application Security, E-Mail & Disc Encryption, Vulnerability & Risk Management, GRC, Logmanagement, IT-Monitoring, IP-Adress-Management, WAN-Optimization, Loadbalancing, Network Access Control, Infrastrukturplanung.

Vollständige Zugriffskontrolle in Real-Time

Wed, 12 May 2010 00:00:00 +0200

Ein Netzwerk ist heute ein komplexes, sich dynamisch veränderndes Gebilde, das verschiedenartigste Geräte beinhaltet. Trotzdem existiert in nur wenigen Unternehmen eine zeitgemäße Port-Security-Lösung verbunden mit einer Inventarisierung und Dokumentation aller Geräte im Netzwerk. Stattdessen werden in der täglichen Praxis Notebooks und andere Systeme von internen und externen Nutzern ohne Kenntnis der IT-Abteilung an Netzwerk-Dosen angeschlossen.

Können Sie in Echtzeit erfassen, welche Geräte sich in Ihrem Netzwerk befinden?
Können Sie Systeme in Ihrem Netzwerk bei Bedarf isolieren, ohne dass Sie Berechtigungen auf diesen Systemen besitzen?

Eine umfassende Kenntnis über die im Netzwerk angeschlossenen Geräte ist eine Grundvoraussetzung, um ein Enterprise LAN sicher zu betreiben. Ohne vollständigen, exakten und aktuellen Netzwerküberblick und integrierte Zugriffskontrollen auf Port-Ebene ist die Stabilität, Integrität und ständige Verfügbarkeit des Enterprise LAN in ständiger Gefahr durch nicht kontrollierbare Netzwerkkomponenten und Malware. Insightix Network Access Control bietet hierfür eine Lösung. Das gesamte Netzwerk ist in Real-Time vor nicht autorisierten Geräten geschützt. Basisfunktionen von NAC sind die grundlegende Überprüfung und resultierende Korrekturmaßnahmen von Systemen, die nicht den Sicherheitsrichtlinien entsprechen. Die Verhängung von Quarantäne oder das Umrouten in ein Gästenetz sind mögliche Optionen, um unterschiedliche Sachverhalte zu handhaben. Informieren Sie sich jetzt im Detail zum Thema Network Access Control…

Applikationen haben sich verändert. Paketfilter nicht.

Wed, 05 May 2010 00:00:00 +0200

Web2.0-Applikationen, die neue Mobilität sowie neue Bedrohungsarten haben die Aufgabe des traditionellen Paketfilters immer unwichtiger werden lassen. Der Trend einzelne Bedrohungsrisiken durch dedizierte Lösungen wie Intrusion Prevention Systeme (IPS), Content Filter (Application Level Gateways, Proxies), Web Viren Scanner, Instant Messaging Filter, etc. abzusichern ist ungebrochen. IT-Abteilungen stöhnen unter der Last, die Komplexität, Betriebsaufwand sowie Support-/ Maintenance-Kosten mit sich bringen. Dennoch sind sie nicht in der Lage den Fluss moderner Applikationen über Segment- und Perimetergrenzen hinweg wirksam und Policy-konform abzusichern. Spätestens jetzt wird klar, dass die alten Denkschemata der Stateful Packet Inspection ausgedient haben. Frisches Denken im Firewalling ist gefordert. Die zentralen Anforderungen an eine echte "Next Generation" lassen sich einfach ableiten:

Identifikation von Applikationen unabhängig von Port, Protokoll, Verschleierungsmethoden oder Verschlüsselung
Identifikation von Benutzern unabhängig von der IP-Adresse
Granulare Sicht und Kontrolle über Anwendungszugriffe und Funktionen
Echtzeitschutz gegen in Anwendungen versteckte Bedrohungen
Multi-Gigabit-Durchsatz, In-line Integration, minimale Latenzerhöhung

Lesen Sie mehr über Next Generation Firewalling...

splunk > live!

Mon, 08 Mar 2010 00:00:00 +0100

Was ist Splunk?

Zunächst einfach ein Werkzeug für IT-Search und Log-Analyse. Die Software ermöglicht eine Volltext-Indexierung aller Logformate und erfüllt damit die Voraussetzung für effiziente Suche, Analyse, Visualisierung, Reporting und Alerting.

Was bringt mir Splunk?

Mit Splunk konzentrieren Sie die Logs Ihrer gesamten IT-Infrastruktur einschließlich der Applikationen an einer Stelle und finden innerhalb weniger Sekunden die Stecknadel im Heuhaufen. Hierfür bietet Splunk intelligente und verteilte Suchfunktionen, mit deren Hilfe Sie - in Analogie zu Google - nach beliebigen Ausdrücken, Wörtern oder Wortgruppen suchen können. Wie funktioniert Splunk? Mittels „Universal Indexing“ indiziert Splunk alle Arten von Logdaten, jeden Term, jedes Ereignis von allen Quellen in Echtzeit, ohne dabei Datenbanken zu verwenden, teure Konnektoren zu benötigen oder benutzerdefinierte Parser für proprietäre Anwendungen vorauszusetzen. Um es auf den Punkt zu bringen: Splunk frisst einfach alles und lässt Sie es finden!

Wie kann ich mehr über Splunk erfahren?

Am besten Sie kommen zur splunk > life! nach München. Nehmen Sie sich an diesem Tag eine Auszeit und gehen Sie künftig pünktlicher nach Hause. Erfahren Sie, wie Splunk Ihnen dabei helfen kann, schneller und effizienter ihre IT zu managen, hören Sie begeisterte Splunk-Anwender über ihre Einsatzfälle berichten und schauen Sie sich Live-Demos an.

Details zu Themen, Agenda und Impressionen...

AppSec2010 Conference

Tue, 19 Jan 2010 09:00:00 +0100

Rückblick auf die AppSec2010: Themen, Agenda, Downlods und Impressionen...