22. 05. 2017 Tobias Goller Log Auditing, NetEye

NetEye als zentraler Bestandteil eines Security Operations Centers

cyber-security-2296269_1280

Wenn ich in letzter Zeit bei meinen größeren Kunden unterwegs war, wurde (und wird) immer häufiger über das Thema „Security Operations Center“ (kurz: SOC) diskutiert.

Gerade bei großen Unternehmen die im öffentlichen Interesse stehen wie Banken, Energiedienstleister, Versicherungen, usw. wird das Thema „Cyber-Bedrohungen“ immer aktueller. Verstärkt wird dies von der Tatsache, dass einige tatsächlich bereits Opfer von Cyberangriffen geworden sind.

Um Cyber-Bedrohungen vorzubeugen und zu bekämpfen, denken immer mehr Unternehmen daran ein Security Operations Center ins Leben zu rufen. (Security Operations Center auf Wikipedia erklärt)

Natürlich muss ein SOC auf die Bedürfnisse des Unternehmens angepasst werden, gleichzeitig muss es aber auch flexibel genug sein, um Herausforderungen wie schnelles Wachstum und sich stetig ändernde Anforderungen meistern zu können.

Der Einsatz unserer Unified Monitoring Lösung NetEye unterstützt die Umsetzung eines SOCs in den Bereichen:

  • kontinuierliche Überwachung
  • Log Management mit Anomaly Detection
  • DDoS-Schadensbegrenzung
  • Reporting

Kurz zu den einzelnen Punkten:

Kontinuierliche Überwachung

Das „normale“ System-Monitoring, also die Überwachung von Hardware, Betriebssystemen, Diensten und Prozessen (DNS, DHCP, NTP, Active Directory usw.), das Sammeln aussagekräftiger Daten zu Ressourcen und die Messung der Systemleistung (CPU, RAM, Load, Plattennutzung, Datengröße usw.) zählen zu den Grundfunktionen von NetEye.

Log Management mit Anomaly Detection

Seit dem Release von NetEye 3.5 verfügt unsere Lösung über ein umfassendes Log Management Modul das auf dem Elastic Stack basiert. Events werden dort gesammelt, indiziert und aggregiert. Individuelle Suchen werden ermöglicht und auf alle Events kann automatisch reagiert werden. (siehe dazu auch „Der Elastic Stack bei WÜRTHPHOENIX NetEye: Warum Log Management?“)

Seit einiger Zeit beschäftigen wir uns auch mit dem Thema Anomaly Detection zur Verbesserung der Alarmqualität.

DDoS-Schadensbegrenzung

Besonders interessant ist der Einsatz von NetEye auch für die Analyse der Daten des DDoS (Distributed Denial of Service). Mitigation Systems DDoS Attacken zählen heutzutage zu den häufigsten und leider auch zu den auswirkungsstärksten Cyberattacken, da sie Webserver und häufig sogar ganze Netzwerke regelrecht lahmlegen. (Beispiel vom vergangenen Herbst: Angriff auf die DNS-Infrastruktur von Dyn. Zum Artikel auf heise.de)

Die Häufigkeit solcher Angriffe wird auf der untenstehenden Landkarte vom 08. Mai 2017 sichtbar. (Die Webseite http://www.digitalattackmap.com/ stellt diese Grafik kontinuierlich zur Verfügung)

DDoS 08.05.2017

Sobald die Systeme angegriffen werden, ist primär der Faktor Zeit bedeutend. Schnell zu erkennen, dass man angegriffen wird ist ausschlaggebend um den Schaden so gering wie möglich zu halten. Hierfür werden DDoS Mitigation Systeme eingesetzt. Die von diesen Systemen gesammelten Daten (Logs) können an das NetEye Log Management geschickt werden. Die zentrale Logging-Architektur erlaubt:

  • Daten (Logs) aus den unterschiedlichen Layern der IT-Landschaft auszulesen (Applikaitonen, Web Server, Datenbanken, Firewalls)
  • Diese zu parsen damit sie einfacher analysiert werden können
  • Sie abzulegen
  • und auf Dashboards zu visualisieren

Dadurch können Angriffe auch noch zu einem späteren Zeitpunkt analysiert werden, um herauszufinden woher und von wem diese stammen.

Reporting

Das in NetEye integrierte Reporting Modul ermöglicht die Erstellung individueller Reports und bietet eine Funktionalität zur automatischen Verteilung per E-Mail.

Fazit

Cyber-Angriffe sind eine reale Bedrohung und sollten auf keinen Fall unterschätz oder auf die leichte Schulter genommen werden. Die Einrichtung eines Security Operations Center wird für viele Unternehmen Realität werden. NetEye und wir als erfahrene Berater können sie dabei in einigen wichtigen Punkten unterstützen.

Tobias Goller

Tobias Goller

NetEye Solution Architect at Würth Phoenix
I started my professional career as a system administrator. Over the years, my area of responsibility changed from administrative work to the architectural planning of systems. During my activities at Würth Phoenix, the focus of my area of responsibility changed to the installation and consulting of the IT system management solution WÜRTHPHOENIX NetEye. In the meantime, I take care of the implementation and planning of customer projects in the area of our unified monitoring solution.

Author

Tobias Goller

I started my professional career as a system administrator. Over the years, my area of responsibility changed from administrative work to the architectural planning of systems. During my activities at Würth Phoenix, the focus of my area of responsibility changed to the installation and consulting of the IT system management solution WÜRTHPHOENIX NetEye. In the meantime, I take care of the implementation and planning of customer projects in the area of our unified monitoring solution.

Latest posts by Tobias Goller

05. 03. 2024 Unified Monitoring
nBox Mini
13. 02. 2024 NetEye, Unified Monitoring
SNMP Trap Archiving in Elastic via Tornado
18. 10. 2023 Unified Monitoring
ntopng – Display Multiple Metrics in One Graph
25. 09. 2023 NetEye, Unified Monitoring, Visual Synthetic Monitoring
Alyvix Modules in NetEye
10. 07. 2023 Unified Monitoring
ntop News in the Next Release
See All

Related Content

Tags: , , , , , ,

11. 04. 2024 Business Service Monitoring, NetEye, SLM

SLA Reporting on a Business Process

Scenario NetEye 4 is a comprehensive monitoring platform which natively supports Business Processes. A Business Process is an abstract view of a customer’s business from the Application point of view. Usually, it’s a collection of Icinga 2 checks aggregated by Read More
21. 12. 2022 Log Management, Log-SIEM, NetEye

How We Verify the Integrity of El Proxy Blockchains Altered by a Retention

El Proxy helps in compliance with GDPR regulations, which, besides the rest, imposes guarantees on the integrity of data and ensures that the data is kept for no longer than a predefined period of time. El Proxy ensures the integrity Read More
13. 12. 2022 Development, Log Management, Log-SIEM, NetEye

How We Sped up El Proxy Verification

Before deploying El Proxy in production we, the R&D Team, carried out numerous benchmarks and reproduced real life scenarios to ensure that the real-time log signing performed by El Proxy would not represent a bottleneck in environments where logs that Read More
31. 12. 2021 Development, Log Management, Log-SIEM, NetEye

Real Time Log Signing on Fleet-managed Elastic Agents – A Preliminary Investigation

The R&D Team is currently working on the integration of the new Elastic Fleet management tool in NetEye 4. Once Elastic Fleet is fully integrated in NetEye 4, all of the Log Management features currently supported will also need to Read More
24. 12. 2021 Log Management, NetEye

Log Management through NetEye Satellites

In the enormous world of Log Collection, quite often customers need to collect logs from various systems in remote locations, like from an office in another country. For Icinga we know that the latest NetEye 4.20 release fully supports distributed Read More

Leave a Reply

Your email address will not be published. Required fields are marked *

Search by technology

Contact

Contact us
Serviceportal

Archive