Sicherheit durch den Einsatz von



Ähnliche Dokumente
Einbindung des Web Map Service für Gemeinden Anleitung

Online Rechnung Die Online Rechnung der Brennercom

In diesem Tutorial lernen Sie, wie Sie einen Termin erfassen und verschiedene Einstellungen zu einem Termin vornehmen können.

Aktivieren des Anti-SPAM Filters

Über die Internetseite Hier werden unter Download/aktuelle Versionen die verschiedenen Module als zip-dateien bereitgestellt.

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Agile Vorgehensmodelle in der Softwareentwicklung: Scrum

AZK 1- Freistil. Der Dialog "Arbeitszeitkonten" Grundsätzliches zum Dialog "Arbeitszeitkonten"

Kurzeinführung Moodle

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Content Management System mit INTREXX 2002.

Handbuch ECDL 2003 Basic Modul 5: Datenbank Grundlagen von relationalen Datenbanken

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Credit-Eckdaten der Studien- und Prüfungsordnung als Basis zur Studienberatung

1. Einführung. 2. Weitere Konten anlegen

Diplomarbeit. Konzeption und Implementierung einer automatisierten Testumgebung. Thomas Wehrspann. 10. Dezember 2008

Installation OMNIKEY 3121 USB

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Um ein solches Dokument zu erzeugen, muss eine Serienbriefvorlage in Word erstellt werden, das auf die von BüroWARE erstellte Datei zugreift.

Vorlesung Betriebstechnik/Netzplantechnik Operations Research

Suche schlecht beschriftete Bilder mit Eigenen Abfragen

Umgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten.

WEB LEBEN: Beratungseinstieg über Risikoklassen Leitfaden

GeoPilot (Android) die App

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Transparente Hausverwaltung Marketingschmäh oder doch: eine neue Dimension der Dienstleistung?

ISAP Kundencenter. Alles. Einfach. Online. Das Handbuch zum neuen ISAP Kundencenter ISAP AG. All rights reserved.

YouTube: Video-Untertitel übersetzen

Internet Explorer Version 6

Sichern auf den zentralen TSM-Servern unter Windows. Sichern auf den zentralen TSM-Servern unter Windows

AnNoText. AnNoText Online-Update. Copyright Wolters Kluwer Deutschland GmbH

Anbindung LMS an Siemens S7. Information

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Agentur für Werbung & Internet. Schritt für Schritt: -Konfiguration mit Apple Mail

Wie richten Sie Ihr Web Paket bei Netpage24 ein

Anleitung für den Datenaustausch mit mobile.de

SEPA-Anleitung zum Release 3.09

Fachdidaktik der Informatik Jörg Depner, Kathrin Gaißer

eduvote Ein Umfragesystem für Lehrveranstaltungen - PowerPoint Add-In -

EasyWk DAS Schwimmwettkampfprogramm

macs Support Ticket System

HTBVIEWER INBETRIEBNAHME

Leitfaden zur Installation von Bitbyters.WinShutdown

Leitfaden zur Nutzung von binder CryptShare

Erstellung eines Verfahrensverzeichnisses aus QSEC

Anleitung zum Online-Monitoring für Installateure

QM: Prüfen -1- KN

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

teamsync Kurzanleitung

Abituraufgabe zur Stochastik, Hessen 2009, Grundkurs (TR)

personal.net Neue Quellensteuertarifcodes ab dem

Software zum Registrieren und Auswerten von Projektzeiten im Netzwerk

Der inobroker Kfz-Versicherungsvergleich. ino24 ist eine Beteiligung der Hubert Burda Media

Testplan. Hochschule Luzern Technik & Architektur. Software Komponenten FS13. Gruppe 03 Horw,

Social Media in der kommunalen Praxis Ein Blick hinter die Kulissen

Beispiel Shop-Eintrag Ladenlokal & Online-Shop im Verzeichnis 1

ISA Server 2004 Protokollierung - Von Marc Grote. Die Informationen in diesem Artikel beziehen sich auf:

Schnittstelle Drittmeldepflicht Ab ImmoTop

COSA. Portal Client Installation JAVA J2SE / JRE Version 1.4.2_09, Stand Copyright

Um zu prüfen welche Version auf dem betroffenen Client enthalten ist, gehen Sie bitte wie folgt vor:

1. Allgemeines. Mit der Vertragsverwaltung können u.a.

Nicht über uns ohne uns

Anmeldung als Affiliate bei Affilinet

Urlaubsregel in David

3. Neuen Newsbeitrag erstellen Klicken Sie auf das Datensatzsymbol mit dem +, damit Sie einen neuen Newsbeitrag erstellen können.

GDPdU Export. Modulbeschreibung. GDPdU Export. Software-Lösungen. Stand: Seite 1

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

NEWSLETTER // AUGUST 2015

Partnerportal Installateure Registrierung

HANDBUCH ÜBERNAHME BANKLEITZAHLEN

Handbucherweiterung Zuschlag

Hilfe zur ekim. Inhalt:

Leistungsstarke Enterprise Apps. Für Menschen erdacht. Für Veränderungen entwickelt.

Anleitung zur Benutzung des jobup.ch Stellensuchendekontos

NetStream Helpdesk-Online. Verwalten und erstellen Sie Ihre eigenen Tickets

Mit einem Mausklick sind s aus ACT! heraus in Outlook geschrieben, die dann wiederum auf Wunsch in ACT! dokumentiert werden.

reimus.net GmbH RS-Bilanzanalyse Handbuch zum Excel-Tool

-Verschlüsselung mit Geschäftspartnern

- Zweimal Wöchentlich - Windows Update ausführen - Live Update im Norton Antivirusprogramm ausführen

Ein Gesuch erfassen und einreichen

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

:: Anleitung Hosting Server 1cloud.ch ::

FrontDoor/Monitor mehr sehen von FrontDoor

HD Bedienungsanleitung HD Modul

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Professionelle Projektzeiterfassung

Ablaufbeschreibung für das neu Aufsetzen von Firebird und Interbase Datenbanken mit der IBOConsole

1 Einleitung. Lernziele. Dokumente vergleichen. Änderungen mit Überarbeitungsfenster bearbeiten Lerndauer. 4 Minuten.

ÖWD Time Access Papyrus Stammdaten

Inhalt... 1 Einleitung... 1 Systemanforderungen... 1 Software Download... 1 Prüfdokumentation... 4 Probleme... 5 Hintergrund... 5

Dieser Ablauf soll eine Hilfe für die tägliche Arbeit mit der SMS Bestätigung im Millennium darstellen.

Support-Ticket-System. - Anleitung zur Benutzung -

Task: Nmap Skripte ausführen

Sichern der persönlichen Daten auf einem Windows Computer

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Transkript:

Intelligentes Monitoring der IT- Sicherheit durch den Einsatz von SIEM Kai-Oliver Detken Carsten Elfers Malte Humann Marcel Jahnke Stefan Edelkamp DECOIT GmbH Fahrenheitstraße 9 D-28359 Bremen https://www.decoit.de detken@decoit.de

Agenda Kurzeinführung in SIEM-Systeme Architektur des F&E-Projektes imonitor Zeitreihenbasierte Anomalie-Erkennung Ereignis-Korrelation Erkennung von Vorfallvariationen Wissensaustausch Anwendungsfall Zusammenfassung

SIEM-Definition Der Begriff SIEM unterteilt sich in Security Event Management (SEM) Security Information Management (SIM) Das SEM-Sicherheitsmanagement beinhaltet: Echtzeitüberwachung Ergebniskorrelation Event-Benachrichtigungen Das SIM-Sicherheitsmanagement beinhaltet: Langzeiterfassung Analyse von Logdaten Reporting von Logdaten Grundsätzlich ermöglichen SIEM-Systeme durch das Sammeln von Sensorinformationen und Ereignissen, Bedrohungen zu erkennen und zu verhindern.

Das F&E-Projekt Das imonitor-projekt (www.imonitor-project.de) vom BMWi startete im Juli 2013 und endete erfolgreich im Juni 2015 Partner des Bremer Projektes waren: DECOIT GmbH (Koordination, Entwicklung, Verwertung) Universität Bremen, TZI (Entwicklung) neusta GmbH (Entwicklung, Verwertung) Es wurde eine neue Form der Ereigniskorrelation umgesetzt, die automatisiert neue Angriffsvarianten erkennt (KI-Komponente) Korrelationsregeln müssen nicht mehr nur manuell gepflegt werden Events werden übersichtlich in einer SIEM-GUI angezeigt

imonitor-architektur (1)

imonitor-architektur (2) Sensoren: Analysetools wie Snort, Nmap und OpenVAS sammeln Daten der Unternehmensumgebung, um das Normalverhalten zu erkennen Zeitreihenanalyse: Analysiert das Normalverhalten und versucht Anomalien ausfindig zu machen, ohne sich allein auf Mustererkennung zu stützen IO-Toolset: Erhebt die IT-Infrastruktur und ermöglicht logische Schlüsse auf der bestehende Datenstruktur und der Icinga-Konfiguration GUI: Grafische Oberfläche des SIEM-Moduls, um Vorgänge, Ereignisse und Tickets sowie eine Risikoabschätzung zentral sowie übersichtlich darzustellen Korrelation: Verarbeitung der Sensorereignisdaten und Erstellung eines Berichts sowie Vorschlag von Handlungsempfehlungen Aktuatoren: Komponenten wie iptables oder RADIUS, die in Echtzeit die Veränderung des Regelwerks vornehmen, stellen in einem Ticketsystem Handlungsempfehlungen dar

Zeitreihenbasierte Anomalie- Erkennung (1) Die Zeitreihenanalyse erweitert Icinga um eine Komponente, die es ermöglicht, alle eingehenden Performance-Daten auf Anomalien zu überprüfen Da Icinga nicht auf Anomalie-Erkennung spezialisiert ist, können sie bisher nicht sicher erkannt werden Auch das Fehlen von Werten kann eine Anomalie darstellen, die nicht durch Schwellenwerte erkannt werden kann Daher müssen passende Schwellwerte vorab konfiguriert werden, um diese Überprüfung nutzen zu können Die zeitreihenbasierte Anomalie-Erkennung ermittelt die zur Auswertung nötigen Informationen selbst, auf Basis der eingehenden Performance-Daten Die Grundlage bildet dabei das Erkennen von sich wiederholenden Mustern in den Daten Ein längeres Trainingsintervall sollte eingeplant werden

Zeitreihenbasierte Anomalie- Erkennung (2) Da die Performance-Daten selbst nur Zahlenwerte sind, lassen sie sich zusammen mit dem jeweiligen Zeitpunkt der Meldung als eine Zeitreihe auffassen Um ein wiederkehrendes Muster zu erkennen, wird die Information eines Periodogrammes mit denen der zyklischen Autokorrelation kombiniert Aus den verbleibenden Musterlängen wird die mit größtem Autokorrelationswert ausgewählt Sobald die Länge des Musters bekannt ist bzw. geschätzt werden kann, lässt sich für die komplette Zeitreihe ein durchschnittliches Muster berechnen Wird ein neuer Messwert von Icinga empfangen, kann er mit dem entsprechenden Eintrag im Muster verglichen werden Von der Zeitreihenanalyse an Icinga gemeldete Anomalien (grau) in durch Icinga via SNMP gesammelten Trafficdaten (schwarz)

Ereignis-Korrelation (1) Um einen möglichst umfangreichen Nutzen aus Icinga- Sensorereignissen ziehen zu können, wurde Icinga um eine Ereigniskorrelation ergänzt Diese ermöglicht, Ereignisse sowohl mit Hintergrundwissen als auch Ereignisse untereinander in Beziehung zu setzen bzw. zu korrelieren Unter Hintergrundwissen versteht man z.b. Informationen über IT- Assets, Prozessschritte mit deren Abhängigkeiten oder eingesetzte Software und Softwareversionen mit deren Verwundbarkeiten Dadurch kann geprüft werden, ob bei einem Ausfall eines Hosts wichtige betriebliche Prozesse gefährdet sind oder ob eine erkannte Anomalie im Zusammenhang mit einer Verwundbarkeit steht In imonitor wurde Icinga um eine solche Ereigniskorrelation, basierend auf einer sogenannten Ontologie bereichert Eine Ontologie ermöglicht die Repräsentation von SIEM relevanten Informationen in einer strukturierten Form

Ereignis-Korrelation (2) Die Abbildung zeigt einen Ausschnitt der Ontologie, die alle statischen Informationen in Konzepte strukturiert Beispiel: der kritische Servicezustand (ServicestateCritical) ist ein besonderer Servicezustand (Servicestate) So können Korrelationsregeln unabhängig von der konkreten Einsatzumgebung definiert werden In der Klasse Information werden alle statischen Infos gesammelt, während die Klasse Operation für die Korrelation zur Laufzeit verwendet wird Die Korrelationsregeln besitzen einen Bedingungsteil und einen Aktionsteil Im Aktionsteil kann eine Handlungsempfehlung zur Erklärung des Vorfalls generiert werden Dazu werden Hintergrundinfos gesammelt, die für eine Handlungsempfehlung oder Vorfallerklärung benötigt werden

Erkennen von Vorfallvariationen SPARQL wurde als Anfragesprache für die Ereignis-Korrelation in imonitor eingeführt Um auch Variationen von Vorfällen erkennen zu können, wurde die SPARQL-Anfragesprache zudem durch Abstraktionsfunktionen erweitert Mit einer Abstraktionsfunktion können Teile einer SPARQL- Bedingungen gekennzeichnet werden Diese Kennzeichnung führt dazu, dass für den Fall, dass keine Regel auf ein Ereignis greift, diese Bedingung automatisch von der Korrelation abstrahiert werden darf Der Bedingungsteil kann in imonitor direkt in einer SPARQL-Abfrage individuell festgelegt werden Die Abstraktion wird solange wiederholt, bis mindestens eine Regel das Ereignis behandelt oder das an der Abstraktionsfunktion anzugebende Abstraktionsmaximum erreicht ist

Wissensaustausch Um den Modellierungsaufwand möglichst gering zu halten, wurde eine Methode entwickelt, die es ermöglicht die Korrelationsregeln auch anderen Systemen zur Verfügung zu stellen Zusätzlich können vorgefertigte Korrelationsregeln ohne Integrationsaufwand heruntergeladen und verwendet werden Bevor eine Regel zur Verfügung gestellt wird, wird vom Client geprüft, ob kein individuelles Wissen verwendet wurde Problematisch ist dabei jedoch die automatische Überprüfung der Semantik, die durch eine manuelle Qualitätssicherung umgesetzt werden sollte Das heißt, es wird jede neue Regel manuell überprüft, bevor sie freigeschaltet wird

Anwendungsfall (1)

Anwendungsfall (2) Die Datenerhebung beinhaltet die Sensordaten der verschiedenen Kollektoren und die Erstellung der Hintergrundinfos Die Datenverarbeitung beinhaltet die Zeitreihenanalyse, die nach Anomalien die Datenbank durchforstet Zusätzlich ist hier auch die Korrelation enthalten, die die gespeicherten Daten aus Icinga verarbeitet und die einzelnen Ereignisdaten anhand der Regeln auswertet Die Vorfallsdatenbank enthält Erläuterungen des Vorfalls und etwaige Handlungsempfehlungen Die Korrelation stuft die Vorfälle in entsprechende Risikowerte ein Die Datenanzeige beinhaltet die SIEM- GUI, welche die Events anzeigt Wird ein neuer Vorfall in der Datenbank erkannt so legt die SIEM-GUI auch ein entsprechendes Ticket in dem angeschlossenem Ticketsystem an

SIEM-GUI

Zusammenfassung SIEM-Systeme ermöglichen eine ganzheitliche Sicht auf die IT- Sicherheit eines Unternehmens Intelligente Anomalie-Erkennung ist bei den Anbietern bislang kaum vertreten (Schwerpunkt ist Mustererkennung) Offene Schnittstellen sind notwendig, um auch andere Systeme mit einbinden zu können Skalierbarkeit und Performance von SIEM-Systemen ist durchaus ein Problem, welches auch bei imonitor aufgetreten ist (Stichwort: Big Data) Teile der imonitor-arbeiten werden in die vorhandenen Monitoring-Systeme der Industriepartner einfließen Ausführliche Use-Case-Demonstration unter Download auf der Webseite: www.imonitor-project.de oder auf YouTube

Vielen Dank für Ihre Aufmerksamkeit! DECOIT GmbH Fahrenheitstraße 9 D-28359 Bremen https://www.decoit.de info@decoit.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback