rvlsoft - Fotolia

IT-Security: Logfiles und Protokolldaten speichern und auswerten

Sicherheitslösungen produzieren Protokolldaten. Und das lokal wie in der Cloud. Die muss man speichern und auswerten – hier mehrere Lösungswege.

Sicherheitslösungen haben meist alle etwas gemeinsam: Die Datenausgabe in Form von protokollierten Ereignissen und Warnungen.

Wächst ein Unternehmen oder werden höhere Sicherheitsanforderungen gestellt, wächst die Größe dieser Protokolldateien und der Speicherbedarf oft schnell ganz erheblich.

Nachdem Dienste zunehmend in die Cloud verlagert werden, stehen Unternehmen mit diesen großen Mengen an Daten vor einigen Herausforderungen. Es gilt die Daten zu synchronisieren und auszuwerten. Einige Cloud Service Provider sind in diesem Bereich bereits sehr aktiv und eröffnen neue Möglichkeiten.

Security-Log-Dateien in der Cloud analysieren

Ein Unternehmen mit 1000 Mitarbeitern und einer durchschnittlichen Netzwerkgröße erzeugt an einem einzigen Tag leicht entsprechende Protokolldateien mit 100 GByte Kapazität. Wenn ein Großteil der Infrastruktur dieses Unternehmens über Cloud-Plattformen abgebildet werden, ist die Analyse an einem lokalen Standort via SIEM nahezu unmöglich.

Wie soll eine derartige Datenmenge schnell genug synchronisiert werden, um eine Echtzeit-Analyse zu ermöglichen? Zudem können bei diesem Ansatz auch potentielle Angriffspunkte für Angreifer entstehen, die den Datenstrom verzögern oder sogar stoppen, indem sie dafür sorgen, dass die Menge an Log-Daten stark zunimmt. Und schon kann die Überwachung eine Schwachstelle aufweisen.

Die praktikabelste Option mag hier die Überwachung und Analyse der Protokolldateien direkt in der Cloud-Plattform sein. Eine Hybrid-Option wäre eine SIEM-Lösung oder eine Log-Analyse-Anwendung auf einem Cloud-basierten Server einzusetzen und nur gefilterte, korrelierte oder interessante Daten ins lokale System zurückzuspielen.

Microsoft hat ein Whitepaper (PDF) veröffentlicht, das Themen abdeckt wie Azure-Deployment-Überwachung und die Windows-Ereignisweiterleitung. Amazon bietet da ähnliche Möglichkeiten. Viele Cloud Provider bieten für Kunden auch die Möglichkeit, ihre eigenen SIEM-Produkte oder Lösungen wie Splunk einzusetzen.

Die Log-Dateien aus der Cloud herunterladen

Die Sicherheitsprotokolldaten können auch in regelmäßigen Abständen oder ad hoc aus der Cloud heruntergeladen werden – selbst wenn es erhebliche Mengen sind. Diese Daten lassen sich dann einem lokalen SIEM zuführen. Dort findet die lokale Analyse statt und bei Bedarf eine Korrelation mit anderen Ereignissen (siehe auch Kostenloses E-Handbook: SIEM richtig auswählen).

Ein regelmäßiger Download kann über eine API geregelt werden. Dies kann dann beispielsweise täglich erfolgen, oder zumindest so häufig, dass die Daten kontinuierlich und effektiv synchronisiert werden. Ebenso wie dies bei Cloud-Antivirus- oder Intrusion-Detection-Systemen häufig der Fall ist. Diese Methode wird bei Cloud-basierten Sicherheitsprodukten oftmals zur Anwendung gebracht.

Wer so etwas plant, sollte sowohl die Bandbreitennutzung berücksichtigen, als auch die Möglichkeit, das die Sichtbarkeit von Sicherheitsereignissen durchaus etwas eingeschränkt sein kann. Beispielsweise wenn der Daten-Feed unterbrochen wurde.

Es kann immer der Fall eintreten, dass man die Sicherheitsprotokolle von Monaten vor Ort benötigt. Etwa aus Compliance-Gründen, oder weil sich tatsächlich ein Sicherheitsvorfall ereignet hat. Ein solcher Download bietet sich hier meist schon aus Gründen der schieren Datenmengen nicht an. Hier bieten die Provider in der Regel gesonderte Lösungen, bei Amazon ist das beispielsweise Snowball. Eine Transportlösung, um Daten bis zur PByte-Kapazität aus der Cloud zu exportieren. Für den physichen Transport kommt hier eine gesicherte Speicher-Appliance zum Einsatz. Die meisten Provider bieten ähnliche Lösungen, da derlei Anfragen nicht ungewöhnlich sind.

Log-Dateien in die Cloud laden

Nun haben einige Unternehmen nicht das Problem, die Log-Daten aus der Cloud zu exportieren, sondern sie möchten die lokalen Daten in die Cloud laden. Dies kann etwa der Fall sein, wenn die SIEM-Lösung dieser Firmen in der Cloud arbeitet. Und dies ist wiederum der Fall, wenn das Unternehmen ohnehin die meisten Log-Dateien in der Cloud produziert, und nur wenige lokal. Dann gilt es, die lokal erzeugten Log-Daten in die Cloud zu laden, damit dort die Analyse und Korrelation erfolgen kann.

Zudem kann dieser Ansatz auch eine zuverlässlige Form der Off-Site-Speicherung sein – etwa um Datenredundanz einzuhalten. Wenn ein Angreifer die lokalen Log-Dateien attackiert, ist eine Off-Site-Kopie eine gute Lösung.

SIEM as a Service

Zudem gewinnen Unternehmen, die sich mit ebenfalls Cloud-basierten Diensten speziell um das Log-Management und die Analyse dieser Daten kümmern, an Bedeutung. Exemplarisch sei hier Loggly aus San Francisco genannt. Hier können die Kunden ihre Logfiles hochladen, das Loggly SOC (Security Operations Center) überwacht und analysiert die Daten, im Bedarfsfall erhält der Kunde eine Alarmmeldung. Diese Art Angebote werden manchmal als SIEM as a Service oder auch SOC as a Service bezeichnet.

Die Zahl derartiger Dienste nimmt zu und wird dies wahrscheinlich auch in Zukunft tun. Solche Dienstleistungen ersparen es Unternehmen eigene, qualifizierte Security Operations Center aufzusetzen, die ständig verfügbar sind. Allerdings sind diese „as a Service“-Angebote sicher nicht für jedes Unternehmen die richtige Option. Sei es aus mangelnder Bandbreite, aus Anforderungen an die Verfügbarkeit oder schlicht Compliance oder lokalen Vorschriften folgend.

Fazit

Der Herausforderung die Protokolldaten und Logfiles von Sicherheitslösungen adäquat zu  handhaben, stehen inzwischen eine Reihe von Werkzeugen und Optionen gegenüber. Die meisten Optionen verfolgen einen hybriden Ansatz, wo ein Teil der Daten lokal verbleibt und ein Teil in der Cloud abgelegt wird. Diese Daten sollten auf die ein oder andere Weise synchronisiert werden, hier stehen ebenfalls unterschiedliche Optionen zur Verfügung. Das Entstehen von Angeboten wie SIEM as a Service zeigt, wie dynamisch der Cloud-Bereich immer noch ist. Da bleibt es spannend abzuwarten, welche Entwicklungen in diesem Segment noch zu erwarten sind.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: SIEM richtig auswählen.

Cloud-Sicherheit: Darauf sollten Sie achten.

EU-Datenschutz: Cloud-Sicherheit und die GDPR – erste Schritte für die Compliance.

Log-Management: Sechs Schritte zum Erfolg.

Erfahren Sie mehr über Cloud-Sicherheit