Wenn Administratoren zu spät oder womöglich gar nicht bemerken, dass Systeme kompromittiert wurden, dann können sie den Schaden nicht rechtzeitig begrenzen oder Schwachstellen bleiben für künftige Angriffe bestehen. SIEM-Tools informieren Systemverwalter in Echtzeit über verdächtige Aktivitäten.
Auch gut gewartete Systeme mit den neuesten Patches und die Beachtung von Best Practices bei der Konfiguration von kritischen Komponenten garantieren keine absolute Sicherheit. Angriffe richten sich bekanntlich ja nicht nur gegen die Technik, sondern auch gegen Mitarbeiter, etwa durch Phishing-Mails.
Herausforderung durch hybride Umgebungen
Neben kritischen Komponenten der Infrastruktur wie das Active Directory, die bevorzugtes Ziel von Attacken sind, sollten Admins beispielsweise auch Auffälligkeiten bei Exchange beobachten. Dazu zählen unter anderen ungültige Logon-Versuche, Passwortwechsel privilegierter Konten oder geänderte Zugriffsrechte auf Postfächer.
In heterogenen Umgebungen, bestehend aus lokalen und Cloud-Ressourcen, ist es beinahe unmöglich, Bedrohungen mit Hilfe der jeweiligen Bordmittel rechtzeitig zu bemerken. Abgesehen von der Beschränkung auf einzelne Plattformen sind sie von ihren Funktionen her meistens dazu nicht in der Lage.
Hier kommen SIEM-Tools wie Log360 von ManageEngine ins Spiel. Es überwacht Änderungen des Active Directory sowie in Dateisystemen und wertet Log-Files verschiedener Anwendungen bzw. Formate aus. Außerdem bietet es ein Auditing für Exchange und Microsoft 365.
Das Webinar "Angriffe auf das Unternehmensnetzwerk frühzeitig erkennen mit Log360" erläutert, wie Admins umgehend von ungewöhnlichen Ereignissen erfahren. Es handelt sich dabei um ein zweiteiliges Event.
Themen der Veranstaltung in Teil 1 sind:
- Kritische AD-Änderungen in Echtzeit auditieren und überwachen
- Anomalien und Abweichungen frühzeitig erkennen
- Datei- und Verzeichnis-Zugriffe überwachen
- Exchange Online und Azure AD verwalten
- Ihren Microsoft Exchange Server überwachen.
- Vordefinierte und individuell angepasste Berichte sowie vorgefertigte Compliance Reports erstellen für DSGVO, SOX, HIPAA, PCI etc.
In der zweiten Session kommen noch folgende Aspekte hinzu:
- Syslog-Daten und Events systemübergreifend sammeln und analysieren
- Angriffe auf das Unternehmensnetzwerk frühzeitig identifizieren
- Ihre Cloud-Umgebung absichern
- Ein Application Monitoring in Echtzeit etablieren
Das Webinar fand bereits statt. Sie können davon gerne Aufzeichnungen anschauen: Teil 1 und Teil 2.
MicroNova bietet seit 1987 Software und Systeme für die Bereiche Automotive Testing, Management von Mobilfunknetzen sowie IT-Management. 300 Experten und Expertinnen arbeiten am Hauptsitz in Vierkirchen bei München sowie an neun weiteren Standorten in Deutschland und Tschechien