Log- and Security Management

Wir unterstützen Sie in der Erarbeitung und Implementierung einer Log- und Security Management Lösung, damit Sie all die relevanten Informationen aus Ihrer ICT-Umgebung aufzeichnen und auf Security Incidents untersuchen können.

In einer IT Umgebung fallen täglich mehrere Gigabyte an Logs, sowie tausende Eventmeldungen an. Aus diesen Daten können wichtige Informationen zum Zustand der Umgebung gewonnen werden. Um diese Informationen zu gewinnen müssen die Rohdaten gesammelt, vereinheitlicht und korreliert werden können. 

Damit wertvolle Informationen aus den Rohdaten gewonnen werden können, müssen die einzelnen Events und Logmeldungen normalisiert und korreliert werden. Um dies zu ermöglichen werden all die verschiedenen Meldungen zentral zusammengezogen und in ein standardisiertes Format gebracht. Anhand von dynamischen Regeln können diese Meldungen korreliert und mit Hilfe von Regeln auf Abweichungen geprüft werden. So können unter anderem Security Threads schnell erkannt und Gegenmassnahmen eingeleitet werden. Zum Beispiel ist es möglich, das folgende Szenario zu erkennen:

  1. Eine Firewall meldet mehrere fehlgeschlagene Login Versuche und anschliessend einen erfolgreichen Login Versuch
  2. Ein Host beginnt auf dem IRC Port Traffic zu generieren


Dies deutet klar auf einen Hacker Angriff hin. Ohne den Betrieb einer zentralen Log- und Security Management Lösung wäre es unmöglich, diese Informationen so schnell zu erfassen, zu korrelieren und zu interpretieren.

Das Management System kann jetzt über verschiedenste Kanäle einen Mitarbeiter informieren oder auch automatisch auf den Security Incident reagieren. Im Beispiel von oben könnte beispielsweise ein Script erstellt werden, das in einem solchen Fall eine Firewall Rule schaltet, die den entsprechenden IRC Port schliesst.

Die Alarmierung von Mitarbeitern kann tages-, stunden-, und sogar minutenabhängig festgelegt werden. So ist es möglich, am Wochenende andere Alarmierungsprofile zu fahren als während den Arbeitszeiten.

Dank der Möglichkeit einfache Fehler automatisch zu bearbeiten, können die Alarmierungen eingegrenzt werden. Wenn beispielsweise ein Service nicht mehr verfügbar ist, kann das System versuchen den Service neu zu starten und erst, falls der Versuch fehlschlägt, einen Mitarbeiter alarmieren. Diese Automatisierungen können für jeden Service und jedes Device individuell angepasst werden. Sämtliche Informationen können graphisch aufbereitet und dargestellt werden. Die so gebildeten Dashboards bieten Ihnen einen schnellen Überblick über ihre ganzen Events und Incidents.

Amanox Solutions unterstützt Sie mit einem erfahrenen Engineering Team und ausgewählten Partnern bei der Planung und Implementierung eines zuverlässigen und skalierbaren Log- und Security Management Systems.