Verschiedenste sicherheitsrelevante Systeme in Ihrem Unternehmen erzeugen Loginformationen, z.B. Windows ADS, McAfee ePO, CheckPoint Firewall, Juniper SSL-VPN-GW, IronPort MailScanner, BlueCoat Content Scanner, etc.

Diese Informationen werden bisher weder zentral miteinander korrelliert noch zentral archiviert. Es findet keine Aufbereitung der Echtzeit-Meldungen, kein einheitliches Archivieren und keine monatliche Reporterstellung über die gesammelten historischen Daten statt.

Sie haben keinen wirklich zuverlässigen Überblick über die Sicherheitslage in Ihrer Organisation. Ihre Anweisungen und Maßnahmen sind eher reaktiv und stehen nicht in direktem Bezug zu den tatsächlichen Vorfällen.

Wenn das die Situation ist, die Sie ändern möchten, ist ArcSight ESM der richtige Ansatz.

Beispielprojekt

Ergebnis der IST-Analyse einer Kundensituation (Auszug):

• Ca. 10 Mio Logentries / Tag
• stark unterschiedliche Logformate
• inhomogene Zeitbasis / Retention Period
• unregelmäßige und zeitaufwändige manuelle Analysen
• kein Alerting wegen zu hoher Anzahl von False Positives
• keine / bedarfsweise manuelle Cross-Device Correlation
• kritische Events gehen im Datenstrom unter
• hohe Dunkelziffer nicht erkannter Angriffe
• kein regelmäßiges Reporting über den Risklevel und Trendanalyse
• Security Planning / Operations Teams mit Tagesgeschäft ausgelastet
• Security Officers ohne geeigneten Werkzeuge

Grundsätzliche Anforderungen an ein SIM (Auszug):

• 100% Erfassung aller Logs von Sicherheitssystemen, Syslogs, Servern, etc.,
• automatisierte Assetintegration
• Vollständige Normalisierung / Intelligente Vorverarbeitung
• Cross-Device und Echtzeitkorrelation
• Verschlüsselte (gepufferte) Datenübertragung mit einstellbarer Bandbreitenbelegung
• Vordefinierte Filterregelwerke
• Vordefinierte Parser/Agenten/Konnektoren für alle einzubindenden Systeme
• Industrie-Standard-Datenbank (Oracle)
• Verarbeitung massiver burstartiger Logdatenströme
• Prozessunterstützung / Notification / Alerting
• Reporting / Visualisierung