SolarWinds kombiniert SIEM mit Bedrohungsanalyse

    Seine SIEM-Lösung (Security Incident and Event Management) SolarWinds Log & Event Manager (LEM) hat SolarWinds um eine weitere Sicherheitskomponente ergänzt: eine Funktion für die Analyse von Sicherheitsbedrohungen ("Threat Intelligence"). Genauer gesagt hat der Hersteller einen Threat Intelligence Feed in Version 6.2 von LEM integriert.

    SolarWinds Log & Event Manager 6.2 - AlarmmeldungDer Feed wird mit Informationen über bekannte Sicherheits­bedrohungen "gefüttert". Der Log & Event Manager überprüft anhand dieser Daten die IT-Umgebung daraufhin, ob solche Cyber-Bedrohungen auf Systemen vorhanden sind. Wenn ja, wird der Systemverwalter informiert. Zudem können automatisch Gegenmaßnahmen eingeleitet werden, etwa das Blockieren der Netzwerkverbindung.

    Basis: Informationen von Sicherheitsexperten

    Laut diesem Beitrag im Thwack-Community-Blog von SolarWinds stammen die Daten im Threat Intelligence Feed von externen IT-Sicherheitsfirmen. Dazu zählen beispielsweise der Anti-Spam-Spezialist Spamhaus und das Internet Storm Center (Dshield). Auch Listen mit den IP-Adressen von Command-and-Control-Servern von Bot-Netzen wie Zeus werden eingesetzt.

    Nach Angaben von SolarWinds erfasst die Threat-Intelligence-Funktion unter anderem folgende Bedrohungen:

    • Schadsoftware, die interne Hosts angreift, die mit so genannten Bad Actors kommunizieren,
    • Phishing-Versuche, bei denen interne Hosts eine unverdächtige E-Mail anklicken und zu einem Kommando- und Kontroll-Server nach Hause telefonieren,
    • externe Angriffe von Hosts, die selbst infiziert sein können oder bereits für schadhafte Aktivitäten bekannt sind.

    Individuelle Filter und Policies

    IT-Administratoren können entweder auf bereits vorgefertigte Filter und Regelwerke zurückgreifen, um das Netzwerk vor solchen Bedrohungen zu schützen, oder sie erstellen auf Grundlage dieser Vorlagen eigene Filter und Policies.

    SolarWinds Log & Event Manager - RegelwerkeBei einem Angriff können damit beispielsweise Domänen-Nutzer aus einer bestimmten Gruppe entfernt werden. Zudem lassen sich einzelne Prozesse "abschießen" oder Netzwerk­verbindungen unterbrechen.

    Weitere Verbesserungen

    Neben der Threat Intelligence und Bug-Fixes hat SolarWinds weitere Optimierungen bei LEM vorgenommen. Eine betrifft das Update von Konnektoren (Connectors): Ab Version 6.2 können neue Ausgaben von Connectors automatisch eingespielt werden. Dieser Prozess, so SolarWinds in diesem Blog-Beitrag, sei bislang etwas mühsam gewesen.

    Außerdem haben Administratoren jetzt die Möglichkeit, über den LEM-Manager Details über die Ressourcen-Zuteilung der Host-Appliance abzufragen, etwa die CPU-Auslastung und den genutzten Arbeitsspeicher. Der Hintergrund: Log & Event Manager steht als virtuelle Appliance zur Verfügung. Weitere Informationen zu LEM (in Deutsch) sind auf dieser Web-Seite zu finden.

    Preis

    Die neue Version 6.2 von SolarWinds Log & Event Manager ist ab 3.665 Euro verfügbar. Darin enthalten ist ein Jahr Wartung.

    Keine Kommentare