FireMon Immediate Insight spürt Hacker-Angriffe auf: Detaillierte Analyse von Log-Daten

IT-Systeme produzieren jede Menge Log-Daten. Doch daraus verwertbare Informationen zu gewinnen, ist alles andere als einfach. Die Software FireMon Immediate Insight übernimmt diese Aufgabe und identifiziert in Echtzeit Sicherheitsrisiken, die sonst unentdeckt blieben.

Immediate Insight von FireMon ergänzt Log-Management- und SIEM-Lösungen um erweiterte Analysefunktionen.

Bislang war Immediate Insight des IT-Sicherheitsspezialisten Firemon nicht in Deutschland verfügbar. Das hat sich nun geändert. Das Programm stammt von Immediate Insight, einem Unternehmen, das Firemon vor eineinhalb Jahren übernommen hat. Die Lösung untersucht umfangreiche Bestände von Log-Daten daraufhin, ob sie Hinweise auf Cyber-Angriffe enthalten, die bislang nicht erkannt wurden. Dabei setzt Immediate Insight Big-Data-Techniken ein.
Die Auswertung und Analyse erfolgt in Echtzeit. Das heißt, IT-Sicherheitsfachleute erhalten umgehend eine Rückmeldung. Außerdem lässt sich die Software so konfigurieren, dass sie Schäden durch Attacken verhindert. Der Hersteller positioniert Immediate Insight nicht als Konkurrenzprodukt zu SIEM-Lösungen (Security Incident and Event Management). Solche Sicherheitskomponenten bieten beispielsweise HPE (ArcSight), Solarwinds (Log & Event Manager) und Logrhythm (Security Intelligence Platform) an. Vielmehr nutzt FireMon die Daten, die solche Programme erfassen und führt eine automatisierte Analyse durch.

Abschied von der Handarbeit

Immediate Insight will eine Lösung für ein Problem bieten, mit dem sich laut einer Studie des Markforschungsunternehmens Forrester 55 Prozent der IT-Sicherheitsfachleute konfrontiert sehen: Sie verlassen sich weitgehend auf „Handarbeit", um Log-Daten und die Informationen von SIEM-Systemen auszuwerten und zu interpretieren. Das ist selbst in mittelgroßen IT-Umgebungen nicht zu schaffen. Daher kommt es immer wieder vor, dass Muster unberücksichtigt bleiben, die auf Attacken oder neuartige Formen von Cyber-Angriffen hinweisen. Laut der Studie stehen Tools, die als Ergänzung von SIEM- und Log-Lösungen eine solche Analyse ermöglichen, auf der Wunschliste von IT-Sicherheitsfachleuten ganz oben. Somit tut sich hier eine Chance für Systemhäuser und Fachhändler auf, Kunden eine Ergänzung zu vorhandenen IT-Sicherheitssystemen anzubieten.
Immediate Insight greift auf Daten zu, die aus unterschiedlichen Quellen stammen, etwa Firewall, Web-Servern, Intrusion-Detection-Lösungen sowie Anwendungen und Netzwerkanalyse-Systemen. Diese Daten werden um Kontextinformationen ergänzt. Dadurch ist die Software in der Lage, Verbindungen zwischen unterschiedlichen Datenbeständen herzustellen. IT-Manager können die Resultate in Gruppen zusammenfassen, Langzeitanalysen durchführen und verdächtige Ergebnisse bis auf einzelne IT-Systeme oder Applikationen herunter zu brechen.

Virtual Machine

Noch ein Blick auf die Technik: Firemon wird in Form einer Virtual Machine implementiert. Erforderlich sind acht virtuelle Prozessoren (vCPU), 32 Gigabyte Arbeitsspeicher und 500 Gigabyte Speicherplatz auf einer Festplatte oder SSD. Für die Suche nach verdächtigen Vorkommnissen stellt die Lösung eine Suchfunktion ähnlich der von Google bereit. IT-Fachleute können in „normaler" Sprache Suchanfragen formulieren und die Daten entsprechenden untersuchen lassen.

weitere infos: www.firemon.com/de