Für alle Phasen eines Angriffs gilt: Nur, was man erkennt, kann man auch stoppen.
Daher ist eine gut durchdachte Log-Zentralisierung von grosser Bedeutung. Bei der Log Zentralisierung werden die Logs der Server, Workstations, Geräte usw. an einem zentralen und sicheren Ort (oder mehreren Orten) gesammelt und gespeichert. Dabei kann es sich um eine lokale Speicherung, um eine Speicherung bei einem externen Dienstleister oder in einem Cloud-Dienst handeln.
Ziel ist es, auch im Falle eines Angriffs oder einer Kompromittierung einfachen Zugang zu diesen Informationen zu erhalten.
Falls das Unternehmen über die nötigen Mittel verfügt, hat es die Option, eine Log Überwachung in einem SIEM zu implementieren und Use-Cases für Warnmeldungen zu erstellen sowie ein SOC einzurichten, um sich einem umfassenden und zentralisierten Überblick über das zu verschaffen, was auf einer IT-Infrastruktur vor sich geht.
Dies ist in der Regel die letzte Etappe auf der «Sicherheitsreise» eines Unternehmens, da diese Tools nicht ganz billig sind und ihre Einrichtung ziemlich anspruchsvoll ist.
SIEM
SIEM (Security Information & Event Management) sind Lösungen zur Erkennung von und Reaktion auf Ereignisse oder Sicherheitsvorfälle innerhalb einer IT-Umgebung. Sie sammeln und aggregieren Logs auf Ebene der IT-Infrastruktur und führen Analysen durch, um Anomalien in Echtzeit zu verfolgen und zu erkennen. Ils collectent et regroupent les logs au niveau de l’ensemble de l’infrastructure IT et effectuent des analyses pour suivre et détecter des anomalies en temps réel.
SOC
Ein SOC (Systems Operations Center) ist eine zentrale Sicherheitsleitstelle, die die Systeme und Netzwerke eines Unternehmens überwacht und verwaltet. Diese Plattform ermöglicht es, die Leistung der Systeme zu überwachen, Probleme in Echtzeit zu erkennen und zu beheben und die Betriebskontinuität zu gewährleisten.
Zu beachten ist, dass SOC und SIEM nur dann nützlich sind, wenn jemand die durch diese Tools generierten Warnmeldungen nachverfolgt und entsprechend darauf reagiert.
—
Definition «Logs»: Log, die Kurzform von «Logging», bezeichnet eine Datei, die Ereignisse im Zusammenhang mit einem System oder einer Software automatisch protokolliert. Anhand einer solchen Log-Datei kann die interne Aktivität eines Prozesses analysiert werden.