Das Ergebnis
Die Schlagworte Visualität, Transparenz und einfach verständliche Darstellung wichtiger Ereignisse werden oftmals genannt, wenn es um die Zielsetzung eines SIEM-Projekte geht. Um den größtmöglichen Output beim Einsatz eines SIEMs zu erhalten, sollten die folgenden Problemstellungen, die viele Projekte scheitern lassen, vorab durch entsprechende Gegenmaßnahmen vermieden werden: kein Projektmanagement-Team identifiziert, unklare Rollenzuordnung für die Projektverantwortlichen, unklare und realistische Zeitplanung und unklare Anforderungsdefinition. Ebenso sollten ein schlechtes Problemmanagement und mangelnde Einbindung der \’non-IT\‘ Abteilungen vermieden werden. Ein SIEM lebt – wie ein menschlicher CIO – vom Input. Daher sollten neben den reinen netzwerkbezogenen Events auch Applikationsdaten (Log Files, Event- viewer etc.) in die Korrelation mit aufgenommen werden.
Events versus Flows
Die Dragon Security Command Console von Enterasys ist beispielsweise in der Lage, sowohl Events (z.B. SNMP, XML, Syslog, Agentbased, API) als auch Flows (NetFlow, Q-Flow, S-Flow etc.) zu verarbeiten. Die Flows, die das System dabei erzeugt, gehen im Gegensatz zu reinen Netflow-Daten bis in die Applikationsschicht (Layer 7). Somit kann aus den Flow-Daten ein echter Rückschluss auf die Applikation gezogen werden -auf Basis des Packetinhalts und nicht auf Basis von Applikationsports. Um alle Möglichkeiten voll ausschöpfen zu können, ist es wichtig, im Vorfeld eine Testinstallation der realen IT-Infrastruktur vorzunehmen, wie es beim \’Proof of Concept\‘ bei Enterasys Standard ist. Gemeinsam mit Kunden und Partnern werden Leistungsmerkmale und Testszenarien, welche die DSCC zu erfüllen hat, definiert, das System konfiguriert und die Leis-tungsfähigkeit wird in der Testphase unter Beweis gestellt. Alle derzeit auf dem Markt befindlichen SIEM-Systeme strahlen
