Log-Informationen sammeln und speichern zu müssen ist für viele Administratoren und Security- oder Zertifizierungsbeauftragte eine unangenehme Aufgabe. ISO-27xxx-Regularien, der Sarbanes-Oxley-Act (SOX), die Eigenkapitalvorschriften unter Basel-II, der Health Insurance Portability and Accountability Act (HIPAA) und der Payment Card Industry Data Security Standard (PCI-DSS) zwingen Unternehmen jedoch dazu, Informationen über ihren Netzwerkverkehr für eine bestimmte Zeit zu speichern. Im Falle sicherheitskritischer Ereignisse müssen diese schließlich auch im Nachhinein noch analysiert werden können.
Log-Dateien enthalten zwar viele Informationen, die bei richtiger Auswertung einen umfangreichen "Live"-Überblick über Probleme und Sicherheitsvorfälle liefern. Aber genau darin besteht auch das Problem: Selbst in mittelständischen Unternehmen erreichen die Log-Dateien von Servern, Betriebssystemen, Datenbanken und Netzwerkkomponenten unter Umständen mehrere Gigabyte pro Stunde. Der Großteil der Informationen ist nicht sicherheitsrelevant, muss aus regulatorischen Gründen häufig aber trotzdem mitgespeichert werden. Vorhandene Datenbanklösungen helfen häufig nicht mehr weiter - gerade dann, wenn es um die detaillierte Auswertung und Korrelation unterschiedlicher Log-Dateien geht. Um die Datenberge besser in den Griff zu bekommen, sollten Unternehmen deshalb auf dezidierte Log-Management-Systeme zurückgreifen.
Foto: ProSoft
Sammeln und speichern - das einfache Log-Management
Moderne Log-Management-Software sammelt alle Log-Dateien im Unternehmen ein und speichert sie manipulationssicher ab, um sie anschließend an einen speziellen Log-Server zu übertragen. Sollte die Verbindung hierhin unterbrochen sein, werden die Daten zwischengespeichert. Wichtig ist, dass gespeicherte oder archivierte Log-Dateien nicht im Zugriffsbereich des Administrators liegen.
Einige regulatorische Vorschriften erfordern den verschlüsselten Transfer zum Log-Server, sobald dieser über ein öffentliches Netzwerk erfolgt. Zumindest die Log-Einträge, die Anmeldedaten oder andere personenbezogenen Daten enthalten, sollten grundsätzlich immer verschlüsselt übertragen werden oder durch eine gegenseitige Sender-Empfänger-Zertifizierung sichergestellt sein.
Auswerten und zusammenführen - Logs für Fortgeschrittene
Mit dem Sammeln und sicheren Speichern von Logfiles sind die reinen Vorschriften erfüllt. Unternehmen, die in ein Log-Management-System investieren, können aber auch darüber hinaus profitieren. Besonders im Fall von versuchten oder erfolgreichen Angriffen auf das Netzwerk sind die Aufzeichnungen bares Geld wert. Spätestens mit der Novelle des Bundesdatenschutzgesetzes (BDSG) im Jahr 2009 ergibt die detaillierte Logfile-Analyse Sinn:
Kommen personenbezogene Daten abhanden, ist ein Unternehmen per Gesetz dazu verpflichtet, die Betroffenen über die Tragweite des Diebstahls zu unterrichten. Wer seine Log-Dateien da nicht genau auswerten kann, muss viel Geld und vor allem Zeit aufwenden, um herauszufinden, welche Daten genau abhandengekommen sind. Häufig geschieht das mithilfe einer SIEM-Software (Security Information and Event Management), die Informationen aus verschiedenen Log-Dateien interpretiert. Professionelle Log-Management-Systeme verbinden Log-Management und SIEM in einer Lösung und sparen Anwender damit eine separate SIEM-Investition.
Wie Log-Management-Systeme funktionieren
Ein anwenderfreundliches Log-Management-System sollte in drei Stufen arbeiten:
Normalisieren
Auswerten
Korrelieren
1. Normalisieren: Der englische Begriff "Normalisation" bezeichnet die Strukturierung und Konsolidierung unterschiedlicher Log-Formate. Dabei darf der Inhalt der Log-Datei nicht verändert werden. Der technische Hintergrund: Viele Systeme schreiben ihre Logs in eigenen Formaten, einige liefern CSV-ähnliche Textdateien. Windows legt seine Logs im Binärformat im Ereignisprotokoll ab. Devices liefern oft nur SNMP-Traps im eigenständigen Format. Das Syslog-Protokoll ist ein etabliertes und standardisiertes Protokoll zur Log-Übermittlung, das häufig genutzt werden kann. Größter Nachteil ist die unverschlüsselte Übertragung im Klartext, was wiederum Regularien wie PCI bei sensiblen Daten untersagen.
Die Normalisierung, also die Übersetzung vom eigenständigen Log-Format in ein einheitliches Format, muss sicherstellen, dass die Log-Informationen auf keinen Fall verändert werden. Die normalisierten Log-Dateien werden mit einheitlichem Zeitstempel (zum Beispiel UTC=Universal Time Coordinated) zentral gespeichert. Die Speicherung muss dabei lückenlos, manipulations-, revisions- und ausfallsicher erfolgen. Die Log-Dateien dürfen also nach der Erfassung nicht mehr verändert, sondern nur noch ausgewertet werden. Um sicherzugehen, dass alle Logs gespeichert werden, muss das System redundant ausgelegt sein, und gegebenenfalls müssen alle Meldungen mit einer fortlaufenden Nummer versehen werden.
2. Auswerten: Die Auswertung der Dateien ist neben der Speicherung meist ein integrierter Bestandteil einer Log-Management-Lösung. Einzelne Log-Dateien können auf relevante Fehlercodes überprüft werden. Oft sind hier "Übersetzungen" integriert. Der Fehlercode 530 im Eventlog sagt beispielsweise aus, dass sich ein Anwender außerhalb der erlaubten Anmeldezeiten einloggen wollte. Abhängig von der Position des Mitarbeiters im Unternehmen kann dies eventuell auf einen versuchten "Einbruch" hinwiesen.
Ein Fehlercode 675 würde für den Administrator bedeuten, dass jemand versucht, sich an einem bereits gesperrten Anmeldekonto anzumelden. Das ist ein Indiz, dass ein ehemaliger Mitarbeiter versucht, sich noch weiterhin Zugang zum Netzwerk zu verschaffen, oder dass seine Zugangsdaten von Kollegen missbraucht werden, um Spuren zu verwischen. Diese einfachen Beispiele aus dem Eventlog zeigen die Möglichkeiten der Auswertung von Log-Dateien und die daraus resultierenden Vorteile. Daneben lassen sich auch von Applikationen und Hardware-Devices Performance- oder Temperaturdaten auslesen und analysieren.
Lange Antwortzeiten von Webseiten können ein Problem des Webauftritts aufzeigen. Hohe Temperaturen oder eine starke Prozessorauslastung bei Servern über einen bestimmten Zeitraum sind Indikatoren für eine zu geringe Dimensionierung der Hardware. Erst die in einer Log-Management- oder SIEM-Lösung enthaltene Analyse kann aufgrund bestimmter Fehlermeldungen oder Parameter Alarm auslösen, Benachrichtigungen oder Mails senden oder die Daten an den Support oder Helpdesk weiterleiten.
Foto: ProSoft
3. Korrelieren: Die Korrelation, laut Wikipedia die "Königsdisziplin" der Log-Datei-Analyse, macht den Nutzen von Log-Management besonders deutlich. Hierbei werden Log-Informationen aus unterschiedlichen Quellen analysiert und ausgewertet. Zusatzparameter wie der zeitliche Zusammenhang fließen in die Auswertung mit ein. Ein einfaches Beispiel verdeutlicht den Nutzen der Korrelation:
Wenn Anwender sich remote mit einem falschen Passwort an einer geschützten Website anmelden, sind die daraus resultierenden Informationen im Ereignisprotokoll und im Router an sich nicht erwähnenswert. Mehrere falsche Anmeldungen innerhalb einer Minute hingegen können ein Indiz für eine versuchte Attacke sein. Die Korrelation im SIEM erkennt diese Attacke quasi in Echtzeit und alarmiert die Verantwortlichen oder unterbricht die Verbindung der Website zum öffentlichen Netz, um so die Attacken zu unterbinden.
Es ist aus Anwendersicht wünschenswert, dass die wichtigsten Grundregeln von der Log-Management- respektive SIEM-Lösung mitgeliefert werden, da das Erstellen von Regeln zur Log-Korrelation durchaus einige Zeit in Anspruch nimmt. Mithilfe des Log-Managements lassen sich auch die Compliance-Anforderungen überwachen und vordefinierte Regeln erleichtern.
Fazit
Logs liefern sehr detaillierte Informationen über alle IT-Ereignisse im Netzwerk - sowohl in Echtzeit als auch für forensische Untersuchungen im Nachhinein. Das lückenlose Sammeln, Speichern und Archivieren von Log-Dateien an sich ist eine Vorgabe, die viele Unternehmen aufgrund von Regularien oder Gesetzen erfüllen müssen. Hauptgrund für diese Bestimmungen ist es, Unregelmäßigkeiten und Sicherheitsvorfälle nachträglich lückenlos aufklären zu können.
Aufgrund der Menge an Log-Dateien, die auch in KMUs stündlich generiert werden, ist eine spätere Analyse aufwendig und im Prinzip nur mit geeigneten Tools effizient möglich. Die Echtzeitauswertung, die von Log-Management-Lösungen angeboten wird, ist hier die bessere Wahl, weil auf kritische Ereignisse zeitnah reagiert werden kann. Alarme oder anzustoßende Prozesse bei vordefinierten Ereignissen erleichtern das Handling. Die Korrelation von Log-Ereignissen aus verschiedenen Quellen ist das zu erreichende Optimum. Dabei werden nicht nur statische Fehlercodes in einer Log-Datei erkannt und gemeldet. Komplexe Ereignisse, die mehrere IT-Komponenten und deren Logs betreffen, werden analysiert und lösen einen Alarm und Meldungen aus, wenn bestimmte logische Abhängigkeiten zu anderen Meldungen in einem bestimmten Zeitraum auftreten.
Zusätzlich müssen geeignete Log-Management- und SIEM-Lösungen Datenschutzstandards beherrschen. Log-Informationen, besonders wenn der Versand zwischen unterschiedlichen Standorten über öffentliche Netze läuft, müssen verschlüsselt oder durch Zertifikate gesichert sein. Speicherung und Archivierung von Log-Dateien müssen manipulationssicher erfolgen und mit einem eindeutigen Zeitstempel versehen werden. Und schließlich muss die Lösung in der Lage sein, auf unterschiedlich schwerwiegende Ereignisse entsprechend zu reagieren. Entweder wird die Info an einen Verantwortlichen gemeldet, oder es wird ein Alarm an eine Gruppe abgesetzt, das Ereignis an eine andere Managementlösung weitergeleitet, oder es werden Prozesse ausgelöst.
Um eine Log-Management-Lösung möglichst umfänglich und trotzdem kurzfristig einsetzen zu können, sind integrierte Regeln, die Vorgaben von den zu beachtenden Regularien oder Compliance-Anforderungen abbilden, notwendig. Zusätzlich wird jede Organisation im Laufe der Zeit noch ganz spezifische Regeln definieren. Inzwischen gibt es immer mehr Lösungen, die sowohl bei deren Implementierung als auch bei Anpassungen ohne externes Consulting auskommen.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.