Logdatei Analyse Mithilfe von Logdaten-Sensoren werden Ereignisse eines IT-Systems in einer Logdatei aufgezeichnet. Die Protokollierung von Ereignissen in einer Logdatei bietet einen Nachweis, mit dem die Aktivität und Abläufe eines IT-Systems nachvollzogen werden können. Mithilfe der Logdatei können Diagnosen von Problemen (Prozess, Cyber-Sicherheit …) durchgeführt werden. Es kann auch nützlich sein, Logeinträge von unterschiedlichen Quellen zu kombinieren. Beispiele von unterschiedlichen Quellen sind: Betriebssystem, Anwendung und Daten sowie Netzwerkkomponenten (Router, Gateways, Hubs …), Webserver, Mail-Server, Firewall, DNS-Server, VoIP-Server usw.
Design einer Protokollierung von Aktivitäten in einem IT-System Als Erstes muss entschieden werden, welche Ereignisse in einem IT-System protokolliert werden können. Für die Protokollierung von sicherheitsrelevanten Informationen ist es wichtig zu definieren, welche Ereignisse hilfreich sind, um Angriffe zu identifizieren, Angriffsabläufe zu speichern, Lagebilder aufzuzeichnen usw. Dann muss dafür gesorgt werden, dass die entsprechenden Komponenten im IT-System diese Ereignisse mit weiteren Informationen generieren. Weitere Informationen sind: Welche Komponenten hat das Ereignis generiert, zu welchem Zeitpunkt, was sind die Kriterien, die zu diesem Ereignis geführt haben, usw.
Das Log-Modul nimmt das Ereignis entgegen, prüft im Log-Regelwerk, was mit diesem speziellen Ereignis passieren soll, zum Beispiel als Log-Eintrag in die Log-Datei schreiben oder/und eine Alarmierung durch das Log-Modul an einen Cyber-Sicherheitsexperten senden. Im Log-Regelwerk steht die Policy, was mit Ereignissen gemacht werden soll.
Logdaten stellen einen Nachweis dar und helfen dabei, Aktivitäten wie Angriffe zu identifizieren und zu verstehen. In den Logdaten sind in der Regel sehr hilfreiche Sicherheitsinformationen enthalten.
Vorteile von Logdaten: • detaillierte Sicherheitsinformationen zu definierten Ereignissen • der reale Angriffspfad kann analysiert werden • erfolgreiche Angriffe können gespeichert und weiter analysiert werden • die Logdaten können auch zur Beweissicherung genutzt werden
Nachteile von Logdaten: • schwierige Definition der Ereignisse und ein optimaler Regelsatz • Problem: in der Praxis sind nur ca. 5 % der Log-Einträge wichtig (sicherheitsrelevant) • erfolgreiche Angriffe sind bereits umgesetzt, wenn sie protokolliert und analysiert werden Bild Logdaten-Analyse
Eine Logdatei Analyse hilft, Cyber-Angriffe auf der Basis von Logdaten in Logdateien von verschiedenen IT-Systemen zu identifizieren sowie Aktivität und Abläufe von IT-Systemen nachvollziehen zu können.
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Logdatei Analyse Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten
