Logdatei Analyse - Prof. Dr. Norbert Pohlmann

Was ist eine Logdatei Analyse?

Logdatei Analyse
Mithilfe von Logdaten-Sensoren werden Ereignisse eines IT-Systems in einer Logdatei aufgezeichnet. Die Protokollierung von Ereignissen in einer Logdatei bietet einen Nachweis, mit dem die Aktivität und Abläufe eines IT-Systems nachvollzogen werden können.
Mithilfe der Logdatei können Diagnosen von Problemen (Prozess, Cyber-Sicherheit …) durchgeführt werden. Es kann auch nützlich sein, Logeinträge von unterschiedlichen Quellen zu kombinieren. Beispiele von unterschiedlichen Quellen sind: Betriebssystem, Anwendung und Daten sowie Netzwerkkomponenten (Router, Gateways, Hubs …), Webserver, Mail-Server, Firewall, DNS-Server, VoIP-Server usw.


Design einer Protokollierung von Aktivitäten in einem IT-System
Als Erstes muss entschieden werden, welche Ereignisse in einem IT-System protokolliert werden können. Für die Protokollierung von sicherheitsrelevanten Informationen ist es wichtig zu definieren, welche Ereignisse hilfreich sind, um Angriffe zu identifizieren, Angriffsabläufe zu speichern, Lagebilder aufzuzeichnen usw. Dann muss dafür gesorgt werden, dass die entsprechenden Komponenten im IT-System diese Ereignisse mit weiteren Informationen generieren. Weitere Informationen sind: Welche Komponenten hat das Ereignis generiert, zu welchem Zeitpunkt, was sind die Kriterien, die zu diesem Ereignis geführt haben, usw.

Das Log-Modul nimmt das Ereignis entgegen, prüft im Log-Regelwerk, was mit diesem speziellen Ereignis passieren soll, zum Beispiel als Log-Eintrag in die Log-Datei schreiben oder/und eine Alarmierung durch das Log-Modul an einen Cyber-Sicherheitsexperten senden. Im Log-Regelwerk steht die Policy, was mit Ereignissen gemacht werden soll.

Logdaten stellen einen Nachweis dar und helfen dabei, Aktivitäten wie Angriffe zu identifizieren und zu verstehen.
In den Logdaten sind in der Regel sehr hilfreiche Sicherheitsinformationen enthalten.

Vorteile von Logdaten:
• detaillierte Sicherheitsinformationen zu definierten Ereignissen
• der reale Angriffspfad kann analysiert werden
• erfolgreiche Angriffe können gespeichert und weiter analysiert werden
• die Logdaten können auch zur Beweissicherung genutzt werden

Nachteile von Logdaten:
• schwierige Definition der Ereignisse und ein optimaler Regelsatz
• Problem: in der Praxis sind nur ca. 5 % der Log-Einträge wichtig (sicherheitsrelevant)
• erfolgreiche Angriffe sind bereits umgesetzt, wenn sie protokolliert und analysiert werden Bild Logdaten-Analyse

Weitere Informationen zum Begriff “Logdatei Analyse”:

„Sicherheit zwischen Klick und Webseite – TLS/SSL: Eine Frage der Implementierung“

„Kommunikationslage im Blick – Gefahr erkannt, Gefahr gebannt“

„Cyber Security – 10 aktuelle Problemfelder: Problembewusstsein muss zunächst entwickelt werden!“

„Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen“

„Eine vertrauenswürdige Zusammenarbeit mit Hilfe der Blockchain-Technologie“

„Blockchain-Technologie unter der Lupe“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„Self-Sovereign Identity (SSI) – Das souveräne europäische Ökosystem für Identitätsdaten“

„Experten-Roundtable “EDGE: Cloud-Continuum oder Revolution?”“

„Smart Energy – Reale Gefährdung?“

„Technologische Souveränität in einer zunehmend komplexeren Welt-Wirtschaftslage“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„It’s all about Trust!“

Summary

Article Name

Logdatei Analyse

Description

Eine Logdatei Analyse hilft, Cyber-Angriffe auf der Basis von Logdaten in Logdateien von verschiedenen IT-Systemen zu identifizieren sowie Aktivität und Abläufe von IT-Systemen nachvollziehen zu können.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo