SIEM: FireMon Immediate Insight analysiert Log-Daten

    FireMon Immediate Insight - Analyse von Log-DatenFireMon bietet seine Software Immediate Insight jetzt auch in Deutschland an. Die Lösung ermöglicht es, große Bestände von Log-Daten auf Spuren von bislang nicht erkannten Angriffen hin zu untersuchen. Solche Big-Data-Analysen erfolgen in Echtzeit und ermöglichen es laut Hersteller, Cyber-Attacken zu unterbinden, bevor diese Schaden anrichten.

    Immediate Insight soll IT-Sicherheitsrisiken identifizieren, die sich mit herkömmlichen SIEM-Tools (Security Incident and Event Management) nicht erkennen lassen. Dies ist die Analyse großer Datenbestände mit dem Ziel, Muster von Angriffen oder neuartigen Attacken automatisch zu erkennen und Gegenmaßnahmen einzuleiten.

    Handarbeit immer noch weit verbreitet

    Laut einer Studie der Marktforschungsgesellschaft Forrester von November 2015 ist diese automatisierte Analyse noch nicht Standard. Demnach greifen 55 Prozent der Administratoren auf eine manuelle Interpretation der Daten von Sicherheitssystemen zurück oder verwenden dazu einfache Tools, die Handarbeit erfordern. Dieses Verfahren stößt an Grenzen, wenn große Mengen von Log-Daten untersucht werden müssen.

    Hinzu kommt, dass sich 55 Prozent der IT-Sicherheits­fachleute eine schnellere Reaktion auf Angriffe oder unzulässige Aktionen wünschen. Damit steht dieser Punkt auf der Wunschliste der Administratoren ganz oben, noch vor der Option, das Ausschleusen von Geschäftsdaten zu verhindern (44 Prozent).

    Datensilos untersuchen

    Laut einem Beitrag in der Knowledgebase von FireMon dauert es 60 Minuten, um Immediate Insight zu implementieren. Die Lösung benötigt eine Virtual Machine mit 8 vCPUs, 32 GByte RAM und 500 GByte Speicherplatz auf einer Festplatte oder SSD. Untersuchen lassen sich Log-Informationen von Quellen wie Firewalls, Intrusion-Detection-Systemen (IDS), Proxies und Web-Server. Auch Logs von Anwendungen sowie Daten von Paketanalyse-Programmen, die Schnittstellen wie pcap und netflow nutzen, werden verarbeitet.

    Damit, so FireMon, greift Immediate Insight auf Informationen zu, die ansonsten in separaten "Daten-Silos" lagern. Die Software fügt außerdem zu Log-Files automatisch Kontext­informationen hinzu. Dadurch ist die Lösung in der Lage, ungewöhnliche Aktivitäten im Netzwerk zu identi­fizieren.

    Suche à la Google

    FireMon Immediate Insight - Suche nach Sicherheitslücken und SchadsoftwareLaut den technischen Unterlagen Immediate Insight können Fachleute die erfassten Informationen ähnlich wie mit einer Suchmaschine durchsuchen, also mit "normalen" Sprachbegriffen. Außerdem unterstützt die Software Point-and-Click-Aktionen. Die Ergebnisse lassen auf Netzwerk-User, Systeme, Netzwerksegmente oder Anwendungen herunter brechen.

    Außerdem fasst das Tool ähnliche Daten zu Gruppen zusammen und ermöglicht Trendanalysen über einen längeren Zeitraum hinweg. Die Ergebnisse bestimmter Analyse-Aktionen speichert Immediate Insight auf Wunsch auf einem Pinboard. Der Fachmann kann dann diese Informationen im Detail weiter unter die Lupe nehmen.

    Kein Ersatz für SIEM-Systeme

    FireMon positioniert Immediate Insight als Ergänzung, nicht als Alternative zu SIEM-Lösungen. Das englischsprachige Datenblatt von Immediate Insight ist auf dieser Web-Seite zu finden. Immediate Insight kam übrigens im Frühjahr 2015 zum Portfolio von FireMon hinzu, im Zuge der Übernahme der gleichnamigen Firma durch FireMon.

    Eine Demo-Version der Software steht auf folgender Web-Seite zum Herunterladen zur Verfügung: https://www.firemon.com/de/demoversion/.

    Keine Kommentare