Bundesamt für Sicherheit in der Informationstechnik

M 4.430 Analyse von Protokolldaten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In einem Informationsverbund wird in der Regel eine große Menge an Protokolldateien generiert.

Bevor die Protokollierungseinträge ausgewertet werden können, muss eine Normalisierung der Daten durchgeführt werden. Durch eine Normalisierung werden die unterschiedlichen Datenformate der protokollerzeugenden Systeme in ein einheitliches Format überführt. Vor der Auswertung ist es zudem wichtig, dass die relevanten Daten eingegrenzt werden, um die Masse der Protokolldaten zu reduzieren. Dies wird mit Hilfe von Filtermöglichkeiten, Aggregation und Korrelation der Daten bewirkt (siehe M 4.431 Auswahl und Verarbeitung relevanter Informationen für die Protokollierung ). Besonders wichtig sind diese Maßnahmen, wenn an zentraler Stelle protokolliert wird.

Ein weiterer wichtiger Punkt bei der Analyse der Protokolldaten ist die Zeitsynchronisation. Um Angriffe oder Fehlfunktionen über mehrere IT -Systeme und Anwendungen hinweg erkennen zu können, sollte auf jedem System eine identische Uhrzeit eingestellt sein. Damit auch in einem großen Informationsverbund alle Systeme zeitsynchron sind, kann auf zentrale Zeitserver zurückgegriffen werden (siehe auch M 5.172 Sichere Zeitsynchronisation bei der zentralen Protokollierung ). Diese stellen die Systemzeit zum Beispiel über das Network Time Protokoll ( NTP ) zur Verfügung (siehe M 4.227 Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation ). Alle weiteren Systeme im Informationsverbund können damit synchronisiert werden.

Für eine Alarmierungsfunktion müssen die protokollierten Informationen zeitnah ausgewertet werden. Bei der Auswertung werden sicherheitskritische Ereignisse ohne Zeitverzögerung betrachtet. Zusätzlich werden auch relevante Daten aus bereits bestehenden Protokolldateien extrahiert und für die Analyse verwendet. Besonders Abweichungen vom Normalverhalten, Konfigurationsfehler und Fehlermeldungen müssen bei der Analyse berücksichtigt werden, um eine Übersicht über alle relevanten Ereignisse innerhalb eines Informationsverbundes zu erhalten.

Um einen relevanten Protokollierungseintrag zeitnah identifizieren zu können, ist es möglich, geeignete Algorithmen und Analysetechniken wie Signaturerkennung und Schwellwertanalyse einzusetzen. Diese Techniken werden häufig von IT-Frühwarnsystemen genutzt. Sobald ein Angriff erkannt wird, sollte ein Alarm ausgelöst werden, sodass ein unmittelbares Eingreifen gegen die Bedrohung möglich ist.

Um die Ereignisse und die Protokollierungseinträge für eine mögliche Beweissicherung nachvollziehen zu können, sollte nach der Auswertung ein Bericht erstellt werden. Viele Protokollierungsapplikationen bieten eine Web-Schnittstelle an, um das Ergebnis der Analyse auch grafisch darstellen zu können. Dadurch können mögliche Trends besser erkannt werden. Über die Web-Schnittstelle können auch beliebige Auswertungsansichten ("Views") und Filter definiert werden.

Werden die Protokolldaten zentral analysiert, ist es möglich, komplexe Zusammenhänge im Informationsverbund zu erkennen und nach Betriebs- oder Sicherheitsvorfällen innerhalb eines Informationsverbundes zu suchen. Daher sollten die Protokolldaten für zukünftige Auswertungen archiviert werden. Neben den eigenen Anforderungen an die Aufbewahrungsdauer muss im Vorfeld auch überprüft werden, welche gesetzlichen oder vertraglichen Aufbewahrungsfristen für Protokolldateien gelten. Um die Nachvollziehbarkeit von Aktionen zu gewährleisten, kann eine Mindestspeicherdauer vorgeschrieben sein, aus Datenschutzgründen kann es auch eine Löschungspflicht geben (siehe auch M 2.110 Datenschutzaspekte bei der Protokollierung ).

Prüffragen:

  • Werden die Daten vor der Auswertung normalisiert?

  • Wird der Informationsverbund zeitsynchron betrieben?

  • Wird nach der Auswertung der Protokolldaten ein Bericht erstellt?

  • Werden die Protokolldaten für zukünftige Auswertungen archiviert?

  • Werden bei der Archivierung der Protokolldaten gesetzliche Regelungen berücksichtigt?

Stand: 13. EL Stand 2013