Ratgeber zum optimalen Management von Security-Logs

Warum ein SIEM nicht durch Big-Data-Analysen ersetzt werden kann
0 Bewertungen
1
5
0
 
 
 
Bewerten
 
 
 
 
 
 
0 Kommentare  
47 Downloads  
Kann ein Big-Data-System einer echten SIEM-Lösung den Rang ablaufen? Erfahren Sie in dem vorliegenden Whitepaper, warum dies nicht so ist und warum Sie weiterhin eine dedizierte Security-Lösung benötigen, mit der Sie Ihre Log-Files auswerten können.

Inhalt:

Manche Unternehmen und IT-Entscheider fragen sich, ob sie in Zeiten leistungsfähiger Big-Data-Analysen überhaupt noch in Security Information and Event Management (SIEM) investieren sollen? Das vorliegende Dokument geht ausführlich auf diese Frage ein. Erfahren Sie hier, warum SIEM-Lösungen noch lange nicht ausgedient haben. Lesen Sie, welches die wichtigsten Unterschiede zwischen den beiden Plattformen sind und warum Sie weiterhin ein SIEM benötigen, um die von Ihnen gesammelten Daten auch unter Security-Aspekten in Echtzeit auszuwerten.

Zusätzlich stellen die Autoren moderne verhaltensbasierte Analysen vor, die Sie in Form von User Behavior Analytics (UBA) mit einem SIEM kombinieren können. Detailliert zeigt das Dokument, welche Vor- und Nachteile Big-Data-Analysen, SIEM-Lösungen und verhaltensbasierte Ansätze haben und wie sie sich auf die Sicherheit in Ihrer Organisation auswirken. Dazu stellt es die wesentlichen Komponenten einer modernen Sicherheitsarchitektur vor und hilft Ihnen dabei, die für Ihr Unternehmen passende Lösung zu finden.

Originalauszug aus dem Dokument:

If you simply capture all the “event logs” as is, the data could become useless orphan data. For example, in today’s enterprise network, as laptops are added and removed from networks their IP address is assigned dynamically by the DHCP server. A single IP address can be assigned and reassigned many times over a given search interval. Therefore, the relationship between an IP address and their hostname changes quickly with time.

It is very difficult if not impossible to make the connection between a hostname and an IP address for any snapshot in time after the DHCP server has reassigned the same IP address repeatedly to a number of different hosts. Armed with just the IP address information, it would be impossible to determine which host has security issues as the IP address is dynamically assigned and does not belong to any one system.

If the event log is missing the hostname information and it only has an IP address, then it is impossible to use that information to correlate with event logs from Microsoft Active Directory, which only has the hostname information. With security context built into the advanced matured SIEM architecture, it provides data enrichment and tags the event data with metadata to augment the event log with additional security context. The enrichment in this situation is either simply tagging the event log with the missing hostname when you have an IP address or tagging the event log with the IP address where there is only a hostname.

Kommentar verfassen

LOGIN für heise Business Services

Sie haben noch keinen Account?
Hier registrieren und informieren.