Sicherheitsvorfälle in Logs aufspüren

Auf fast allen IT-Systemen liegen Log-Dateien, die von Betriebssystemen und Anwendungen produziert werden. Durch Log-Dateien kann ein Entwickler oder Administrator Fehlerzustände, Erfolge und Misserfolge einer Anwendung oder des IT-Systems erkennen und bewerten. Üblicherweise landen Logs als Datei in vorgegebenen Verzeichnissen, die dann versiertes IT-Personal manuell öffnen und einsehen kann. Leider wachsen Log-Dateien schnell auf viele Tausend Zeilen pro Tag an, sodass kaum jemand sie manuell sichtet. Weil es mühsam ist, schaut man meist erst bei Problemen in die Logs und kehrt mithilfe der Erkenntnisse zumindest die Scherben auf. Was bei einer vollgelaufenen Festplatte ärgerlich, aber gerade noch vertretbar ist, wird problematisch, wenn es um Angriffe und Sicherheitsprobleme geht. Da gilt es, möglichst früh von Unregelmäßigkeiten zu erfahren, um den Angreifern einen Schritt voraus zu sein.

Security Information and Event Management (SIEM) heißt das Gebiet der Informationssicherheit, in dem alle zur Verfügung stehenden Informationen (also unter anderem Logs) systematisch gesammelt und Sicherheitsereignisse möglichst automatisch erkannt werden. SIEM-Werkzeuge sind in der Lage, große Mengen an Log-Quellen zu durchsuchen, zu analysieren, Bedrohungen zu erkennen und zu melden. Log-Auswertung ist der erste Schritt und die Grundvoraussetzung für das, was man als SIEM bezeichnet. Dieser Artikel beschreibt zunächst, was Sie mit SIEM für die Sicherheit in Ihrem Netz tun können und zeigt dann praktisch, wie Sie Ihre eigenen Logs systematisch auswerten.