Bundesamt für Sicherheit in der Informationstechnik

M 4.431 Auswahl und Verarbeitung relevanter Informationen für die Protokollierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Protokolldaten müssen aussagekräftige Informationen enthalten. Dabei spielt es keine Rolle, ob sie lokal oder zentral erfasst oder ob sie für ein IT-Frühwarnsystem bereitgestellt werden. Welche Ereignisse protokolliert werden, hängt unter anderem vom Schutzbedarf der jeweiligen IT-Systeme ab und muss in der Institution vorab abgestimmt und festgelegt werden (siehe M 2.500 Protokollierung von IT-Systemen ). Unter anderem sind die folgenden Ereignisse besonders zu beachten:

  • falsche Passworteingabe für eine Benutzer-Kennung,
  • Sperrung einer Benutzer-Kennung,
  • Versuche von unberechtigten Zugriffen,
  • Ausfall oder Störungen der Hardware,
  • Daten zur Netzauslastung und -überlastung sowie
  • Informations- oder Warnmeldungen von Intrusion Detection Systemen.

Ein IT-Frühwarnsystem kann aus all diesen Ereignissen Meldungen extrahieren, sie qualifizieren und übersichtlich aufbereiten. Dazu werden die Protokolldaten vorab gefiltert, normalisiert, aggregiert und kategorisiert.

Filterung

Beim Filtern der gesammelten Protokolldaten werden unnötige Protokollmeldungen aussortiert. Dies ist notwendig, da die Menge der anfallenden Protokolldaten zu groß ist, um alle Informationen verarbeiten zu können. Die Filtereinstellungen können meist am zentralen Protokollierungsserver beziehungsweise am IT-Frühwarnsystem geregelt werden. Die Einstellungen müssen an die Gegebenheiten des Informationsverbundes angepasst und sollten nur von gut geschulten Administratoren durchgeführt werden. Es dürfen nicht zu viele, aber auch nicht zu wenig Protokollereignisse aussortiert werden. Des Weiteren sollten die Filtereinstellungen regelmäßig überprüft und aktualisiert werden, zum Beispiel, wenn neue Server zum zentralen Protokollserver beziehungsweise zum IT-Frühwarnsystem hinzugefügt oder alte Server außer Betrieb genommen werden.

Normalisierung

Um die Daten weiterverarbeiten und beispielsweise in einer Datenbank speichern zu können, müssen alle anfallenden Protokollmeldungen in ein einheitliches Datenformat konvertiert werden. Dieser Vorgang wird Normalisierung genannt. Die Meldungen unterscheiden sich von Hersteller zu Hersteller. Allerdings bestehen auch große Unterschiede zwischen Protokolldaten von Betriebssystemen und Applikationen.

Aggregation

Um die Daten weiter zu verarbeiten, folgt die Aggregation. Hier werden Protokollmeldungen mit identischem Inhalt zu einem Datensatz zusammengefasst. Oft werden vom gleichen System mehrmals hintereinander identische Protokollmeldungen erzeugt, was einen geringeren Informationswert für die nachfolgenden Meldungen bedeutet. Aus diesem Grund wird nur die erste Protokolldatei weiterverarbeitet. Allerdings ist es wichtig, die erste Protokollmeldung um die Anzahl der aufgetretenen redundanten Ereignisse zu ergänzen, um feststellen zu können, wie häufig die identischen Protokollmeldungen aufgetreten sind.

Kategorisierung und Priorisierung

Nachdem die Daten gefiltert, normalisiert und aggregiert wurden, sollten diese kategorisiert und priorisiert werden. Dadurch lässt sich der Informationsgehalt der Meldung erhöhen. So können beispielsweise Meldungen durch Zoneninformationen wie DMZ oder Hochsicherheitsbereich priorisiert und bei der Auswertung bevorzugt berücksichtigt werden. Zusätzlich lassen sich die Meldungen in einen System-Typ, wie Sicherheitsgateway, Betriebssystem oder Applikationen einordnen.

Korrelation der Daten

Eine wesentliche Anforderung des Protokollservers beziehungsweise des IT-Frühwarnsystems ist die Korrelation der Protokollmeldungen aus Protokolldatenquellen, bei der unterschiedliche Ereignisse miteinander verknüpft werden. Innerhalb eines Informationsverbundes haben die separaten Sicherheitskomponenten, wie Sicherheitsgateways, Intrusion-Detection-/-Prevention-Systeme und Antiviren-Gateways nur eine beschränkte Sicht auf ihre jeweilige Funktion. Deshalb sollten die entsprechenden Protokolldaten korreliert werden. Ein Beispiel für korrelierte Protokolleinträge wäre die Verbindung von Sicherheitsgateway- und Router-Protokolldaten mit Accounting-Informationen von einem kompromittierten System.

Korrelation kann auf verschiedenen Ebenen stattfinden:

  • Korrelierung innerhalb der gleichen Geräteklasse ( z. B. Sicherheitsgateways): Hierbei wird analysiert, ob Auslastungen und abnormes Verhalten innerhalb der Geräteklasse auftreten. Daraus werden beispielsweise Trendreports erzeugt.
  • Eine Korrelation über Geräteklassen mit ähnlichen Datenfeldern (z. B. Sicherheitsgateways und Router): Hier lässt sich der Ablauf eines Angriffs erweitert analysieren.
  • Eine Korrelation über verschiedene Geräteklassen: Erst dies ermöglicht einen umfassenden Einblick auf Transport- und Applikationsebene. Beispielsweise meldet der Virenscanner eines Arbeitsplatzrechners einen Wurm und dessen Quarantäne. Danach meldet das IDS einen Anstieg von Netzwerkverkehr auf einem dedizierten Port, ausgehend vom System mit dem Malware-Befall. Ohne Korrelation könnten diese beiden Einzelmeldungen als irrelevant eingestuft werden oder in der Menge an Protokollmeldungen untergehen.

Prüffragen:

  • Werden alle sicherheitsrelevanten Ereignisse nach den Vorgaben der Institution protokolliert?

  • Werden die Filtereinstellungen nur durch ausreichend geschulte Administratoren an die Gegebenheiten des Informationsverbundes angepasst?

  • Findet eine regelmäßige Überprüfung und Aktualisierung der Filtereinstellungen statt?

Stand: 13. EL Stand 2013