Marc Guardiola CISO
1 Oktober 2019

Vom Logging zur Wertschöpfung

Log Management ist einer der Secure Managed Services, die wir unserer Kunden anbieten. Sie können es verwenden, um das Verhalten und die Leistung Ihrer Systeme abzubilden. Aber nicht nur das. Es sind verschiedene Anwendungen möglich, sodass Sie Ihre Protokollinformationen besser nutzen können.

Viel von dem, was in einem Unternehmensnetz geschieht, würde sofort wieder vergessen werden, sobald es vorbei ist, wenn nicht irgendwo ein Log davon gespeichert würde. Fast alle Geräte in einer IT-Infrastruktur registrieren alles, was sie tun, in Logs. In den letzten Jahren sind diese Logs immer wichtiger geworden – nicht nur, um herauszufinden, was ein bestimmtes Gerät getan (oder unterlassen) hat, sondern auch für Anwendungen, die viel weiter gehen.

Es kann durchaus praktisch und relevant sein, sich die Leistungen und Aktivitäten eines Gerätes anzusehen, aber noch interessanter wird es, wenn man die Logdaten aller (Netzwerk-)Geräte kombinieren kann. Vielleicht ist es Ihrem eigenen Unternehmen bereits von dem Gebiet Compliance her bekannt: In bestimmten Branchen und für bestimmte Aktivitäten muss ein Unternehmen nachweisen können, dass es den Überblick über alles hat, was sich auf seinem Netzwerk abspielt (beispielsweise in ISO- und SOC2-Audits). Eine gute Log-Übersicht kann das abdecken. Aber etwas registrieren zu müssen, bedeutet nicht unbedingt dasselbe, wie es gut nachvollziehbar zu machen, um einen Wert zu schöpfen.

Wertvolle Einsichten

Ein Beispiel dafür, was ein Überblick über Ihre Logdaten für Sie erreichen kann, ist die Verbesserung Ihres Kundensupports. Jeder Helpdesk kennt das Phänomen, dass ein Kunde eine Reklamation hat, die sich nur schwer auf eine spezifische Ursache zurückführen lässt. Die Antwort auf solche unklaren Reklamationen liegt oft in den Logs versteckt. Eine gute Log-Analyse hilft, schnell die Ursache zu klären und eine Lösung zu finden. Mehr noch: Wenn man die Log-Daten gut überwacht, kann das helfen, Reklamationen vorzubeugen, weil in den Logs oft Hinweise zu finden sind, dass bestimmte Geräte oder Verbindungen nicht optimal funktionieren. Daher nutzen wir bei Solvinity die Log-Analyse beispielsweise auch, um Störungen zu vermeiden und eine hohe Verfügbarkeit zu garantieren.

Logs können auch einen guten Eindruck davon vermitteln, wie die Endanwender mit den IT-Geräten umgehen. Werden bestimmte Funktionen gar nicht genutzt, kann das beispielsweise Anlass sein, weniger Lizenzen zu kaufen oder sich von bestimmten Anwendungen ganz zu trennen. Andererseits können sie auch helfen, Trends rechtzeitig anzuzeigen. Wird eine bestimmte Anwendung unerwartet oft genutzt, kann man durch die Bereitstellung von mehr Bandbreite vermeiden, dass diese Anwendung immer langsamer läuft oder sogar stecken bleibt. Die Log-Analyse versetzt Sie in die Lage, die Arbeitskapazitäten Ihres IT-Teams auf die Stellen zu konzentrieren, wo neue Bedürfnisse entstehen, damit Kunden und Anwender stets eine optimale Anwendererfahrung mitnehmen. 

Ein weiterer Schritt ist es, Logs für das Management von Sicherheitsvorfällen zu nutzen. In den Logs befinden sich versteckte Hinweise, die von spezieller Software (oder von geschulten Security-Spezialisten in einem Security Operation Center) genutzt werden können, um beispielsweise Hackingversuche aufzudecken oder Indizien zu finden, dass Mitarbeiter etwas versucht haben, wofür sie keine Befugnis haben. Eine intelligente Log-Analyse wird immer häufiger auch dazu genutzt, verdächtige Aktivitäten automatisch und in Echtzeit aufzuspüren oder sogar zu blockieren. Werden beispielsweise sensible Geschäftsdaten auf einen USB-Stick kopiert? Hat sich ein Geschäftsführer von einem fremden Standort aus eingeloggt? Mit der Log-Analyse kann man hierauf direkt reagieren.

Ein Urwald an Daten

So einfach, wie es sich anhört, ist es in der Praxis leider nicht. Ein Log zu untersuchen, ist die eine Sache, aber hunderte Logs auf der Suche nach möglichen Korrelationen zu durchforsten, ist dann wirklich viel Arbeit. Diese Arbeit lässt sich zwar zu einem großen Teil automatisieren, aber erst, nachdem man viel Zeit mit intelligentem Nachdenken verbracht hat. 

Fast alle heute eingesetzten Geräte erzeugen Logs, aber es gibt keinen einheitlichen Standard für diese Logs. Geräte unterschiedlicher Hersteller speichern ihre Logs für kürzere oder längere Zeiträume, und auch der Datentyp, das Format und die Reihenfolge, in der die Daten gespeichert sind, können sehr verschieden sein. Das macht die Analyse solcher Daten besonders arbeitsintensiv. Außerdem ist die Sicherung der Logs auf allen diesen Geräten nicht unbedingt eindeutig. Wenn man Logs dazu nutzen will, um verdächtige Aktivitäten aufzudecken, muss man sich darauf verlassen können, dass diese Logs ein zuverlässiges Bild von der Wirklichkeit vermitteln. 

Aus diesem Grund erfassen wir bei Solvinity alle Logs von allen unter unserer Regie laufenden Netzwerkgeräten (und auf Wunsch sogar die Logs von Geräten, die nicht von uns betreut werden) unmittelbar in einer zentralen, gut gesicherten Datenbank. Die Daten, die wir darin speichern, werden von uns automatisch „normalisiert“. Was bedeutet, dass wir mehrere intelligente Skripts entwickelt haben, um dafür zu sorgen, dass die Daten aus den oft Hunderten von Logs, die bei uns eintreffen, auf eine Weise gespeichert werden, die es ermöglicht, sie einfach zu vergleichen und zu analysieren, unabhängig vom Typ des Geräts und seinem Hersteller. 

Diese Datenbank mit Logdaten nutzen unsere eigenen Mitarbeiter täglich für ihre Administrationsaktivitäten. Da die Logdaten in einem grafischen Dashboard aufbereitet werden, bekommen unsere Kundenteams eine Übersicht darüber, wie die Kundenumgebung funktioniert, von der Infrastruktur bis hin zu den Anwendungen. Dieselbe Datenbank (und das zugehörige Dashboard) stellen wir als ergänzenden Logging-Dienst auch unseren Kunden zur Verfügung, von denen einige die Logdaten schon selbst für diverse Analysen einsetzen. So können beispielsweise SIEM-Lösungen (Security Information and Event Management), die die Logdaten analysieren, um Sicherheitsvorfälle in Echtzeit aufzuspüren, direkt an unsere Loggingplattform gekoppelt werden. Aber wir haben auch immer mehr Kunden, die selbst Zugang zu unseren grafischen Dashboards haben wollen, um besser zu verstehen, was in ihrer Umgebung alles geschieht, und um daraus Erkenntnisse zu gewinnen, die für das Unternehmen von großem Wert sein können.

Wenn Sie mehr darüber wissen möchten, wie Solvinity Logs für Sie erschließen und was Logging für Ihr Unternehmen bedeuten kann, nehmen Sie bitte Kontakt zu uns auf. Wir informieren Sie gerne, welche Möglichkeiten es gibt.

Lees ook

Meer

Können wir Ihnen weiterhelfen?

Montag bis Freitag von 8 bis 18 Uhr