Dieser Artikel ist Teil unseres Guides: Big Data: Anwendung, Datenschutz und Technologie

Monitoring, Big Data und MapReduce: So unterscheiden sich SIEM-Anbieter

Produkte von SIEM-Anbietern können große Unterschiede aufweisen. Ein mögliches Unterscheidungsmerkmal ist der Umgang mit Big Data oder MapReduce.

Neben der veränderlichen Erwartungshaltung von Security-Teams haben SIEM-Plattformen (Security Information & Event Management) auch eine Evolutionsphase durchlebt. Einstige Nischenanbieter, die sich heute in einem belebten Marktumfeld wiederfinden, haben in Reaktion auf die wachsenden Anforderungen von Unternehmen ihre Produkte aufpoliert. Sie haben zudem neue Fertigkeiten etabliert, um sich von anderen Dienstleistern weiter abzusetzen.

Der SIEM-Markt ist alles andere als statisch. Die Marktführer von gestern sind längst nicht mehr die „sichere Bank“, die sie einmal waren. Mannigfaltige Produkte weisen in gleich mehreren Bereichen erweiterte oder verbesserte Möglichkeiten auf. Nachfolgend finden Sie vier Fertigkeiten, die Anbieter gerne nutzen, um auf dem Markt Fuß zu fassen und den Weg in Ihr Netzwerk zu finden.

Anwendungs- und Datenbank-Monitoring auf SIEM-Plattformen

Die Auswertung von Log-Dateien und das Sammeln von Netzwerkaktivitäten sind Basisfunktionen von SIEM-Plattformen. Ein netzwerklastiger Blick auf Sicherheit hat allerdings nur begrenzten Nutzen. 

Die Fähigkeit, die Funktionsweise von Anwendungen zu analysieren und die erwünschte Interaktion der Anwender mit diesen Anwendungen zu ermitteln, kann nicht in der Netzwerkschicht angesiedelt werden. Missbrauch muss im Kontext der Anwendungsfunktion bewertet werden.

Aus genau diesem Grund wurden zusätzliche Möglichkeiten für Datensammlung und -analyse in SIEM-Plattformen integriert – oder in einigen Fällen sogar vollständig mit ihnen fusioniert. 

Features wie Anwendungs-Monitoring, Datenbankaktivitäts-Monitoring und Dateiintegritäts-Monitoring sind gängige Beispiele für solche Ergänzungen. Diese Features betrachten das Verhältnis zwischen intensiver und normaler Aktivität und können damit sehr viel besser zulässige Aktivitäten von abzuwehrenden Angriffen unterscheiden.

LDAP und Active Directory: Identity Services-Integration mit SIEM

Echte Nutzeridentitäten mit Aktivität verknüpfen zu können, hat viele SIEM-Systemanbieter dazu bewegt, die Integration von Identitäts-Managementsystemen wie LDAP (Leightweight Access Protocol) und Active Directory voranzutreiben. Statt lediglich den generischen Namen eines Dienstkontos (z. B. „App User“) oder Benutzerkontos auszugeben, können SIEM-Plattformen diese generischen Bezeichner mit tatsächlichen Benutzeridentitäten verknüpfen. Dies sorgt für ein klares Bild des Nutzerverhaltens über multiple Benutzerkonten hinweg in verschiedenen Netzwerk-, Dienste- und Anwendungsschichten.

Big-Data-Engines

In Reaktion auf den stetig ansteigenden Bedarf an schnellem Speicher für große Datenmengen und zwecks Analyse enormer Datenvielfalt nahezu in Echtzeit haben viele SIEM-Anbieter ihre Plattformen weg von der traditionellen relationalen Datenhaltung hin zu nicht-relationalen Big-Data-Engines (wie Hadoop) geführt. Diese Plattformen sind elastischer – sie skalieren deutlich besser als relationale Plattformen – und bieten beispiellose Geschwindigkeit beim Hinzufügen von Daten. Dies ermöglicht höhere Performanz bei steigender Ereignisanzahl.

Die fehlende Unterstützung der Vorteile relationaler Plattformen (relationaler Speicher, transaktionale Integrität) machen sie mit anderen Vorzügen (intrinsische Hardware-Ausfallsicherheit, Speicherung flexibler Datentypen) als nur dem schnellen Einfügen von Datensätzen und der besseren Skalierbarkeit wett.

Parallelverarbeitung

Die Verwendung von MapReduce-Abfragetechnologien erlaubt in Big-Data-Umgebungen umfassende Parallelverarbeitung, welche die Datenanalyse signifikant beschleunigt. Überdies entfällt auch die Notwendigkeit vorheriger Aggregation, Normalisierung und Korrelation der Daten. Die Mapping-Funktion, intrinsischer Bestandteil der MapReduce-Abfragen, übernimmt die Korrelation, und die Reduction-Funktion vollzieht die Aggregation. Daraus resultiert ein Datenbestand, der nahezu ohne Verzögerung durchsucht werden kann.

Über den Autor:
Adrian Lane ist CTO der Analystenfirma Securosis in Phoenix. Adrian hat sich auf Datenbanksicherheit, Datensicherheit und Softwareentwicklung spezialisiert. Davor arbeitete er für mehrere Sicherheits- und Softwareunternehmen in Führungspositionen; darunter Ingres, Oracle, Unisys und IPLocks. Häufig zieht es ihn bei Branchenevents als Referent auf die Bühne. Adrian hat einen Abschluss der University of California in Berkeley mit Postgraduiertentätigkeit zu Betriebssystemen an der Stanford University. Schreiben Sie Adrian unter alane@securosis.com.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close