Teil 2 - Die Basis – Logging von EventsSecurity Logging and MonitoringTeil 4 - Wer sollte das Monitoring durchführen?

Teil 3 - Das notwenige Übel: Monitoring von Events

Autor: Johannes Schmidt, MCSEboard.de

Leider reicht das reine Aufzeichnen der Events bei weitem nicht aus. Ein Admin oder ein Analyse-Tool muss sich diese Aufzeichnungen ansehen und entscheiden, ob es sich dabei um legitime / normale Events oder um einen Angriffsversuch handelt.

Grob kann man dabei drei Verschiedene Ansätze unterscheiden:

  1. Manuelles Monitoring: Eine oder mehrere Personen schauen sich die auflaufenden Events an und entscheiden, ob diese einen Angriffsversuch darstellen oder nicht.
  2. Regelbasiertes Monitoring: Auf dem zentralen Monitoring System werden Regeln / Warnschwellen hinterlegt, bei deren Auslösung ein Alarm ausgegeben wird. Zum Beispiel via eMail oder SMS.
  3. IDS oder NIDS basiertes Monitoring: Ein zentrales Monitoring System verwaltet ein komplexes Set an Regeln. Diese Regeln sollen helfen Angriffsmuster zu erkennen. Eine Alarmierung erfolgt analog dem regelbasierten Monitoring.

Jedes dieser Monitoring Konzepte hat seine Vor- und Nachteile, welche ich nachfolgend (bestimmt unvollständig) auflisten werde:

Vorteile Konzept 1:

  • Geringer technischer Aufwand für die Implementierung.
  • Menschlicher Verstand erlaubt das einfache erkennen von Fehlalarmen.

Nachteile Konzept 1:

  • Angriffe die sich über einen längeren Zeitraum hinweg wiederholen werde oft übersehen bzw. nicht erkannt.
  • Hohe Personalkosten.
  • Monitoring findet oft nur Zeitpunkt bezogen statt z. B. morgens und abends.

Vorteile Konzept 2:

  • Es können vorgefertigte Regelsätze der Hersteller implementiert werden, die oft auch Events betrachten und bewerten die nur sehr selten auftreten (MOM bietet z. B. für die meisten Microsoft Produkte fertige Regeln).
  • Geringer Personalaufwand für den Betrieb des Monitorings, da bereits sehr viele Events vorab aussortiert werden und damit nicht mehr bewertet werden müssen.
  • Die Auswertung der Events erfolgt nahezu in Echtzeit. Gegenmaßnahmen können somit zeitnah ergriffen werden.

Nachteile Konzept 2:

  • Angriffe, die sich über einen längeren Zeitraum hinweg ziehen, werden i. d. R. nicht erkannt bzw. von den Filtern aussortiert
  • Es fallen Kosten für die Anschaffung und den Betrieb der Monitoring- Systeme an.

Vorteil Konzept 3:

  • Die Angriffserkennung, sowie je nach Konfiguration auch die Gegenmaßnahmen, werden vollständig automatisch durchgeführt.
  • Ein IDS bzw. NIDS betrachtet ein Vielfaches der Daten / Events, als dies konventionell möglich wäre.
  • Es fallen nahezu keine Personalkosten für den Betrieb an.

Nachteile Konzept 3:

  • Ich habe noch kein IDS oder NIDS gesehen, dass tatsächlich funktioniert hat. Entgegen der Theorie erzeugen die Systeme entweder Unmengen an "false positives" oder sie schlagen nicht einmal Alarm wenn man das Netzwerk bzw. die enthaltenen Systeme massiven Scans aussetzt.
  • Sehr hohe Anschaffungskosten sowie Lizenzkosten für die Software.

© MCSEboard.de, Johannes Schmidt

Teil 2 - Die Basis – Logging von EventsSecurity Logging and MonitoringTeil 4 - Wer sollte das Monitoring durchführen?