Tags: Sicherheit, Monitoring, Compliance
ManageEngine veröffentlichte die Version 8.0 von EventLog Analyzer, die nun auch Funktionen für das Security Information and Event Management (SIEM) enthält. Konkret beschränkt sich die Software jetzt nicht mehr darauf, kritische Systemereignisse durch die Auswertung von Logs zu entdecken. Vielmehr umfasst sie nun auch forensische Fähigkeiten, die durch die Identifizierung auffälliger Aktivitäten dabei helfen, mögliche Bedrohungen zu erkennen.
Zu den grundlegenden Funktionen des EventLog Analyzer gehört, dass er Einträge aus mehreren Log-Dateien konsolidieren kann (unter anderem Windows, Linux, Datenbanken, Router und Switches, etc.). Er ist dabei in der Lage, unterschiedlichste Log-Formate einzulesen, solange sie nicht in einem binären oder verschlüsselten Zustand vorliegen. Administratoren können mit Hilfe regulärer Ausdrücke gezielt einzelne Felder extrahieren.
Archivierung von Log-Informationen
Das Tool verschlüsselt die an zentraler Stelle zusammengeführten Log-Informationen und versieht sie mit einer Signatur, so dass die Log-Archive für künftige Analysen in einem unveränderten Zustand zur Verfügung stehen.
Zur Abwehr von Bedrohungen überwacht der EventLog Analyzer eine ganze Reihe von Systemereignissen und User-Aktivitäten. Dazu zählen das Beobachten von unautorisierten und fehlgeschlagenen Anmeldeversuchen, oder die Analyse aller Aktivitäten von privilegierten Benutzern.
Compliance überwachen
Außerdem überwacht es die Einhaltung von diversen Regelwerken wie SOX oder HIPAA und erstellt Reports, aus denen mögliche Abweichungen erkennbar sein sollen. Dieses Compliance-Feature beschränkt sich nicht auf solche Standardregularien, die der EventLog Analyzer mit Hilfe vorgegebener Berichte berücksichtigt. Darüber hinaus können Anwender ihre eigenen Vorgaben definieren.
Beim Auftreten bestimmter Ereignisse kann das Tool die Administratoren per Mail oder SMS benachrichtigen, alternativ kann man in solchen Situationen die Ausführung von Programmen veranlassen. Dabei ist es möglich, spezifische Alerts an bestimmte Vorkommnisse zu koppeln, beispielsweise an fehlgeschlagene Login-Versuche, Compliance-Verletzungen oder die Änderung von Konten.
Suchfunktion und Dashboards
Zu den neuen Funktionen der Version 8.0 gehört zudem eine Volltextsuche, die alle unterstützten Log-Formate durchsuchen kann. Sie erlaubt dabei auch die Eingabe von komplexen Suchausdrücken mit Hilfe von Wildcards und Boolschen Operatoren.
Eine weitere Verbesserung betrifft die Benutzeroberfläche, die nun konfigurierbare Dashboards bietet. Sie trägt der Tatsache Rechnung, dass die Software mehr an Informationen liefert und daher flexible Möglichkeiten zu deren Visualisierung benötigt.
Der ManageEngine Eventlog Analyzer 8.0 kostet ab ca. 300 Euro für 10 Hosts. Eine kostenlose Testversion kann von der Website des deutschen Distributors MicroNova heruntergeladen werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Verdächtige Aktivitäten und unsichere Systeme entdecken mit EventSentry
- Client-Monitoring: Nexthink v6.2 mit vielen neuen Features
- Fortgeschrittene Techniken mit Nmap: TCP-Window-, FIN-, NULL- und XMAS-Scans
- Gartner-Quadrant zu SIEM: 5 Hersteller führend (u.a. Microsoft, Splunk, IBM)
- Nmap: Firewalls umgehen mit Ping- und TCP-ACK-Scans
Weitere Links