Log-Management: Wichtige gesetzliche Pflicht für Unternehmen

Log-Datei-Management als Chance

Das Sammeln und Speichern der unternehmensweiten Log-Daten ist nicht nur lästige Pflicht für regulierte Branchen, sondern auch eine Chance für jedes Unternehmen. So können insbesondere die konsolidierten Daten aller IT-Systeme dabei helfen, die Ursache von Störungen im IT-Betrieb schneller ausfindig zu machen. Gleichzeitig können sie die Sicherheit im Unternehmen erhöhen, indem sie SIEM-Produkten (Security Information and Event Management) zuarbeiten. Diese versuchen, durch die Korrelation von Ereignissen sicherheitsrelevante Vorgänge zu erkennen, die bei der Analyse einzelner Log-Dateien nicht auffallen würden.

Versucht zum Beispiel ein Angreifer, sich an allen Anwendungen im Unternehmen einmalig anzumelden, so würde jede Applikation zwar einen fehlgeschlagenen Versuch in ihr Protokoll schreiben. Bei Betrachtung der einzelnen Log-Datei wäre dies jedoch nicht auffällig. Korreliert ein SIEM-System nun die Ereignisse aller Systeme, so würde auffallen, dass innerhalb einer kurzen Zeitspanne von einem Benutzer viele erfolglose Anmeldeversuche ausgehen. Das verschafft dem betroffenen Unternehmen dann überhaupt erst die Möglichkeit, zeitnah darauf zu reagieren.

Eine Log-Infrastruktur kann dabei SIEM-Systeme einerseits mit den notwendigen Log-Daten versorgen. Da die Eventkorrelation ein sehr rechenintensiver Vorgang ist, können andererseits auch hier intelligente Filter in der Syslog-Infrastruktur dabei helfen, das SIEM nur mit den relevanten Log-Meldungen zu belasten. Dadurch ist es in der Lage, Richtlinienverstöße noch schneller zu identifizieren und zu melden.