Protokoll- und Netflow-Erfassung und -Verarbeitung

Protokolldaten, die von jedem Gerät und jeder Anwendung im Netzwerk generiert werden, sowie Netflow-Daten, die den Netzwerkverkehr überwachen, bieten Einblicke in die Netzwerkaktivitäten und sind somit die Hauptquellen für SIEM-Lösungen (Security Information and Event Management).

Eine SIEM-Lösung sammelt, speichert und analysiert diese Informationen, um tiefere Einblicke in das Netzwerkverhalten zu gewinnen, Bedrohungen zu erkennen und Angriffe proaktiv abzuwehren. In diesem Artikel werden einige Techniken zur Erfassung und Verarbeitung dieser Informationen erläutert.

Wie werden Protokolle erfasst?

Protokolle werden von allen Geräten wie Datenbanken, Routern, Firewalls, Servern, IDS/IPS-Geräten, Domänencontrollern, Workstations und Anwendungen erfasst.

Die Protokollerfassung kann auf zwei Arten erfolgen:

• Agentenlose Protokollerfassung

  Die agentenlose Protokollerfassung ist die vorherrschende Methode, die SIEM-Lösungen zur Erfassung von Protokollen verwenden. Bei dieser Methode werden die von den Geräten generierten Protokolldaten automatisch und sicher an einen SIEM-Server gesendet. Es ist kein zusätzlicher Agent erforderlich, um die Protokolle zu erfassen, wodurch die Belastung der Geräte verringert wird.

• Agentenbasierte Protokollerfassung

  Bei der agentenbasierten Protokollerfassung muss auf jedem Gerät, das Protokolle generieren kann, ein Agent bereitgestellt werden. Mit dieser Methode können Protokolle während der Erfassung anhand definierter Parameter herausgefiltert werden. Agenten beanspruchen außerdem weniger Bandbreite und Ressourcen und helfen bei der Bereitstellung gefilterter und strukturierter Protokolldaten. Diese Methode wird eingesetzt, wenn sich die Geräte in einer sicheren Zone befinden, in der die Kommunikation eingeschränkt ist und es schwierig ist, Protokolle an einen SIEM-Server zu senden.

Wie werden NetFlow-Daten erfasst?

Die NetFlow-Erfassung entspricht Informationen über den IP-Verkehr, hauptsächlich:

• Quell-IP-Adresse
• Ziel-IP-Adresse
• Aufgerufene Ports
• Ausgeführte Dienste
  und mehr.

Die Erfassung von NetFlow-Daten erfolgt mit einem NetFlow-Kollektor, der auch Zeitstempel, die angeforderten Pakete, Eingangs- und Ausgangsschnittstellen des IP-Verkehrs und vieles mehr aufzeichnet. Der Prozess der NetFlow-Erfassung umfasst das Sammeln der NetFlow-Daten und die Analyse der Daten auf Bandbreitengeschwindigkeit, Ressourcennutzung, Übertragung und Empfang in einem Netzwerk durch NetFlow-Kollektoren. Zu den Hauptfunktionen von NetFlow-Kollektoren gehören das Sammeln von Flow Data, die mithilfe des User Datagram Protocol (UDP) von NetFlow-fähigen Geräten übertragen werden, und das Filtern der gesammelten Daten, um deren Volumen zu reduzieren. Das Simple Network Management Protocol (SNMP) sammelt Informationen über den Datenverkehr an jedem Beobachtungspunkt in einem Netzwerk. Diese Methode der Datenerfassung ist auf allen Geräten mit einem Ethernet-Anschluss aktiviert, und die Daten werden überwacht und analysiert, um Anomalien zu erkennen und Bedrohungen zu verhindern.

Protokollverarbeitung

Die verschiedenen Techniken, die für die Protokollverarbeitung verwendet werden, sind unten aufgeführt.

Protokollanalyse

Ein Parser kann unstrukturierte Rohprotokolldaten nehmen und sie formatieren, indem er ähnliche Daten unter relevanten Attributen gruppiert. Die Analyse erleichtert das Abrufen und Durchsuchen von Protokollen. Jede SIEM-Lösung enthält mehrere Parser, um die gesammelten Protokolldaten zu verarbeiten.

Protokollnormalisierung

Bei der Normalisierung werden nur die erforderlichen Protokolldaten unter relevanten Attributen zugeordnet, die vom IT-Sicherheitsadministrator konfiguriert werden können. Um die wichtigen Aktivitäten in einem Netzwerk zu überwachen, müssen Protokolle normalisiert werden. Die Protokollnormalisierung kann dabei helfen, zwischen regulären und irregulären Aktivitäten in einem Netzwerk zu unterscheiden.

Protokollindizierung

Normalisierte Protokolldaten werden getrennt und in Dateien gespeichert, die indizierte Protokollinformationen enthalten. Administratoren können Abfragen auf die indizierten Daten anwenden, um den Suchvorgang zu beschleunigen. SIEM-Lösungen können vom Netzwerkadministrator so konfiguriert werden, dass die Daten unter einem bestimmten Index aufgezeichnet werden, um das Abrufen und Interpretieren zu erleichtern.

Protokollanalyse

Durch die Korrelation von Protokolldaten kann festgestellt werden, ob die verschiedenen Protokollquellen einem bestimmten Ereignis entsprechen, das die Netzwerksicherheit gefährdet. Forensische Berichte helfen dabei, zu überprüfen, wo das Netzwerk kompromittiert wurde und wie ein Angriff durchgeführt wurde. Die Protokollanalyse spielt eine entscheidende Rolle beim Verständnis des Benutzerverhaltens und der Erkennung von Bedrohungen und hilft auch dabei, einen Angriff zu verhindern, bevor er stattfindet.