IT Security: Bewährte Verfahren zum Umgang mit Logfiles

Was sind Logfiles?

Protokolldateien beziehungsweise Logfiles sind detaillierte, textbasierte Aufzeichnungen von Ereignissen innerhalb der IT-Systeme eines Unternehmens. Sie werden von einer Vielzahl von Geräten und Anwendungen erzeugt. Dazu gehören Antimalware, Systemdienstprogramme, Firewalls, Systeme zur Erkennung und Verhinderung von Eindringlingen (IDS/IPS), Server, Workstations und Netzwerkausrüstung.

Protokolldateien liefern einen wichtigen Nachweis und können zur Überwachung der Aktivitäten innerhalb der IT-Infrastruktur verwendet werden. Etwa zur Ermittlung von Richtlinienverstößen, zum Aufspüren betrügerischer oder ungewöhnlicher Aktivitäten und zum Aufzeigen von Sicherheitsvorfällen verwendet werden.

Da die Protokolle Details zu Vorgängen und Ereignissen enthalten, können Sicherheitsteams sie nutzen, um Anzeichen für eine Kompromittierung zu erkennen und darauf zu reagieren. So können Security-Teams untersuchen und analysieren, woher ein Angriff kommt und wie er sich auf IT-Ressourcen ausgewirkt hat.

Was ist Log-Management und warum ist es wichtig?

Die Verwaltung von Sicherheitsprotokolldaten umfasst die Erstellung, Übertragung, Speicherung, Analyse und Entsorgung von Sicherheits-Logdaten. Dabei wird deren Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet.

Dieser Prozess ist so wichtig, dass das Center for Internet Security die Protokollverwaltung als eine der kritischen Sicherheitskontrollen aufführt. Sie ist deshalb so wichtig, weil Unternehmen, die es versäumen, Systemereignisse zu sammeln, zu speichern und zu analysieren, Angriffen schutzlos ausgeliefert sind. Dies ist auch der Grund, warum die Protokollverwaltung für die Einhaltung verschiedener Gesetze und Standards wie beispielsweise ISO 27001, PCI DSS oder HIPAA erforderlich ist. Und auch beim IT-Grundschutz des BSI spielt das Thema Protokollierung eine entscheidende Rolle. Grundsätzlich müsssen bei jeder Art der Protokollierung die Vorgaben des Datenschutzes berücksichtigt werden.

Herausforderungen bei der Verwaltung von Sicherheitsprotokollen

Die Verwaltung von Sicherheitsprotokollen ist kein einfaches Unterfangen. Selbst wenn nur Ereignisse aufgezeichnet werden, die die wichtigsten Metriken abdecken, erzeugt bereits ein kleines Unternehmen dennoch eine große Menge an protokollierbaren Daten. Große Unternehmen können Hunderte von GByte an Protokollen erzeugen. Der Umgang mit dieser kontinuierlichen und umfangreichen Datenmenge stellt eine eigene Herausforderung dar.

Da die Protokolle von mehreren Endpunkten und unterschiedlichen Quellen und Formaten stammen, müssen sie normalisiert werden. Die Umwandlung der Informationen in ein einheitliches Format zur einfachen Suche, zum Vergleich und zur Lesbarkeit ist entscheidend. Die Systeme und Medien, die zur gemeinsamen Nutzung und Speicherung von Protokollen verwendet werden, müssen hochsicher sein und einen streng kontrollierten Zugriff ermöglichen. Darüber hinaus müssen sie in der Lage sein, große Datenmengen zu verarbeiten, ohne die Gesamtleistung des Systems zu beeinträchtigen.

Welche Ereignisse sollen protokolliert werden?

Welche Sicherheitsereignisse ein Unternehmen erfasst, hängt bis zu einem gewissen Grad von den branchenspezifischen Anforderungen und den einschlägigen gesetzlichen Vorschriften ab. Es gibt jedoch eine Reihe von Ereignissen, die immer erfasst und protokolliert werden sollten. Dies hilft dem Unternehmen auch bei der Erkennung, dem Verständnis von Angriffen und der Wiederherstellung nach einem Angriff zu unterstützen. Zu diesen Ereignissen gehören die folgenden:

• Erfolgreiche und nicht erfolgreiche Authentifizierung.
• Erfolgreiche und abgelehnte Zugriffskontrolle.
• Sitzungsaktivitäten, wie verwendete Dateien und Anwendungen, insbesondere Systemdienstprogramme.
• Änderungen bei den Benutzerrechten.
• Starten oder Anhalten von Prozessen.
• Änderungen an den Konfigurationseinstellungen.
• Software wird installiert oder gelöscht.
• Angeschlossene oder getrennte Geräte.
• System- oder Anwendungsfehler und Warnungen.
• Warnmeldungen von Sicherheitskontrollen wie Firewalls, IDS/IPS und Antimalware.

Die Fehlerprotokollierung - das heißt die Erfassung von Fehlern, die vom System und den darauf laufenden Anwendungen erzeugt werden - ist ebenfalls wichtig. Die Daten können verwendet werden, um herauszufinden, was mit einem System oder einer Anwendung nicht in Ordnung ist, und um Trends zu erkennen, die auf fehlerhafte Geräte hinweisen könnten.

Was ist ein Protokolleintrag?

Zu den Informationen, die in einem Protokolleintrag aufgezeichnet werden sollten, gehören die folgenden:

• Datum und Uhrzeit.
• Benutzer- und/oder Geräte-ID.
• Netzwerkadresse und Protokoll.
• Standort, wenn möglich.
• Ereignis oder Aktivität.

Kompromittierte oder ungenaue Protokolle können Ermittlungen bei verdächtigen Ereignissen behindern, ihre Glaubwürdigkeit untergraben und Disziplinar- und Gerichtsverfahren vereiteln.

Eine Möglichkeit, die Vertrauenswürdigkeit von Protokollen zu gewährleisten, ist die Verwendung synchronisierter Systemuhren, die jedem Protokolleintrag einen genauen Zeitstempel geben. Dazu muss eine Referenzzeit von einer externen Quelle bezogen werden, die mit einem Netzwerkzeitprotokoll kombiniert wird, um die internen Uhren zu synchronisieren. Zeichnen Sie die Zeit eines Ereignisses immer in einem einheitlichen Format auf, zum Beispiel in koordinierter Weltzeit. Für zusätzliche Sicherheit fügen Sie eine Prüfsumme hinzu.

Sicherheitsprotokollregeln und Integrität der Protokolldaten

Strenge Regeln sollten festlegen, wie und wann Protokolle gelöscht werden, wobei durch entsprechende Kontrollen sichergestellt werden sollte, dass ausreichend Speicherplatz für Protokolle vorhanden ist. Andernfalls werden Ereignisse möglicherweise nicht aufgezeichnet oder vergangene Ereignisse werden überschrieben.

Es scheint zwar ein pragmatischer Ansatz zu sein, so viele Daten wie möglich zu erfassen und sie so lange wie möglich zu speichern, aber in der Realität ist das nicht machbar. Der Umfang der Protokollierung sollte dem Risiko entsprechen. Die nachstehende Tabelle ist ein Beispiel für umsichtige Konfigurationseinstellungen für die Protokollierung gemäß dem „Guide to Computer Security Log Management“ des NIST. Beachten Sie, dass bestimmte Gesetze und Normen andere Einstellungen als in dieser Tabelle vorschreiben können.

Die Integrität der Protokolldaten ist von größter Bedeutung. Die Kontrollen müssen vor unbefugten Änderungen an den Protokolldateien schützen - der erste Schritt, den die meisten Angreifer unternehmen, besteht darin, die Protokolldateien zu verändern, um ihre Anwesenheit zu verbergen und eine Entdeckung zu vermeiden. Um sich dagegen zu schützen, sollten Protokolle sowohl lokal als auch auf einem entfernten Server aufgezeichnet werden, der sich außerhalb der Kontrolle der regulären Systemmanager befindet. Dieser Rahmen sorgt für Redundanz und bietet eine zusätzliche Sicherheitsebene, da die beiden Protokollsätze miteinander verglichen werden können und etwaige Unterschiede auf verdächtige Aktivitäten hindeuten.

Eine kostengünstigere Alternative zu einem speziellen Protokollserver ist das Schreiben von Protokollen auf einmal beschreibbare Medien, um zu verhindern, dass ein Angreifer sie überschreibt. Denken Sie daran, dass in Ereignisprotokollen sensible und personenbezogene Informationen erfasst werden können. Aus diesem Grund müssen auch angemessene Datenschutzkontrollen implementiert werden, zum Beispiel durch Anonymisierung oder Pseudonymisierung.

Weitere bewährte Verfahren zur Sicherheitsprotokollierung

Neben der Erfassung der richtigen Ereignisse, der Aufnahme der erforderlichen Informationen in einen Protokolleintrag, der Implementierung von Protokollregeln und der Sicherstellung der Protokollintegrität gibt es noch drei weitere bewährte Verfahren, die befolgt werden sollten.

1. Protokollierung ist nur der erste Schritt

Selbst wenn die richtigen Daten in angemessenem Umfang erfasst werden, sind sie wertlos, wenn sie nicht überwacht und analysiert werden und die Ergebnisse nicht berücksichtigt werden. Logging und Auditing stellen sicher, dass die Benutzer nur die Aktivitäten ausführen, für die sie autorisiert sind. Diese Prozesse spielen auch eine Schlüsselrolle bei der Verhinderung unangemessener Aktivitäten und stellen sicher, dass feindliche Aktivitäten aufgespürt, aufgespürt und gestoppt werden.

2. Zusätzliche Kontrolle für Administratoren und Systembetreiber

Ein Bereich der Protokollverwaltung, der besondere Aufmerksamkeit erfordert, sind die Aktivitäten von Administratoren und Systembetreibern. Diese Benutzer haben weitreichende Privilegien, und Sicherheitsteams müssen ihre Aktionen sorgfältig aufzeichnen und überprüfen. Zu diesem Zweck sollte diesen Benutzern kein physischer oder Netzwerkzugang zu den Protokollen ihrer eigenen Aktivitäten gewährt werden. Außerdem sollten die mit der Überprüfung von Protokollen beauftragten Personen unabhängig von den zu überprüfenden Personen, Aktivitäten und Protokollen sein.

3. Protokollierungs-Tools verwenden

Aufgrund der Menge der täglich anfallenden Daten, mit denen Unternehmen konfrontiert werden, benötigen die meisten ein spezielles Protokollverwaltungssystem, um die Verwaltung, Ereigniskorrelation und Analyse zu erleichtern. Ein spezialisiertes System verbessert auch die Qualität von Dashboard-Daten und Berichten.

SIEM ist ein gängiger Ansatz, um Protokolldaten aus mehreren Quellen zusammenzuführen. SIEM-Systeme können Daten in Echtzeit analysieren und analysieren, um Abweichungen von etablierten Basislinien zu erkennen. Wenn eine Anomalie entdeckt wird, können SIEM-Systeme Warnmeldungen erzeugen und möglicherweise zusätzliche Sicherheitsmechanismen aktivieren. Sie können regelbasiert sein und verwenden häufig eine statistische Korrelationsmaschine, um Beziehungen zwischen Ereignisprotokolleinträgen herzustellen. Fortgeschrittene Systeme stützen sich auch auf Analysen des Benutzer- und Entitätsverhaltens sowie auf Tools für die Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR, Security Orchestration, Automation and Response):