![](\"https:\/\/www.forenova.com\/wp-content\/uploads\/2024\/10\/image-png-Oct-08-2024-12-34-36-1548-PM.webp\")
Die Sammlung wertvoller Informationen von den verschiedenen Netzwerkger\u00e4ten, Hosts, Anwendungen und Endger\u00e4ten ist von entscheidender Bedeutung und wird zudem von mehreren Datenschutz- und Compliance-Vorschriften gefordert, beispielsweise von GPDR und TISAX f\u00fcr die deutsche Automobilindustrie.<\/p>\n\n\n\n
Anbieter von Managed Detection and Response (MDR<\/a>) wie ForeNova <\/a>setzen im Rahmen ihrer verwalteten Angebote eine Vielzahl von Funktionen ein, um Kunden bei der Verwaltung ihrer umfangreichen Protokolldatenbest\u00e4nde zu unterst\u00fctzen und wertvolle Telemetriedaten zu extrahieren. Ziel ist es, aktuelle und zuk\u00fcnftige Cyberangriffe zu verhindern.<\/p>\n\n\n\n Die in den Protokolldateien eingebetteten Telemetriedaten liefern wertvolle Informationen \u00fcber Netzwerkverbindungen, Anwendungsport- und Protokollkommunikation sowie Elemente eines Cyberangriffs. Die Protokollverwaltung spielt eine entscheidende Rolle f\u00fcr die Cybersicherheit, insbesondere bei der Erkennung von Ransomware-Angriffen oder Hackeraktivit\u00e4ten in ihren fr\u00fchen Stadien. Dadurch k\u00f6nnen potenzielle Schwachstellen identifiziert werden, bevor es zu einem gr\u00f6\u00dferen Schaden kommt.<\/p>\n\n\n\n Unternehmen, die den gr\u00f6\u00dftm\u00f6glichen Nutzen aus der Sammlung ihrer Protokolldateien ziehen m\u00f6chten, sollten in eine L\u00f6sung investieren, die die Protokolldaten aufnimmt und in eine verwertbare Form umwandelt.<\/p>\n\n\n\n Suchabfragen sind im SIEM-Tool weniger effizient als in Protokollverwaltungsl\u00f6sungen. Bedrohungsj\u00e4ger m\u00fcssen mit ihren Suchanfragen schneller reagieren, insbesondere w\u00e4hrend eines Zero-Day-Angriffs.<\/p>\n\n\n\n Protokollverwaltungsl\u00f6sungen und traditionelle SIEM-L\u00f6sungen (Security Information Event Management) weisen eine hohe \u00dcberschneidung ihrer Funktionalit\u00e4ten auf. Allerdings gibt es auch einige entscheidende Unterschiede zwischen den beiden L\u00f6sungen. SIEM-L\u00f6sungen sammeln Daten von verschiedenen Ger\u00e4ten, analysieren die Telemetriedaten und geben dann Warnmeldungen an verschiedene Beteiligte weiter, darunter SecOps, IT-Operationen und Governance-, Risiko- und Compliance-Teams (GRC).<\/p>\n\n\n\n Auch die Protokollverwaltung sammelt Telemetriedaten, \u00e4hnlich wie ein SIEM. Der Fokus dieser L\u00f6sungen liegt auf dem Sammeln, Parsen und Rationalisieren von Daten, um eine bessere Suche zu erm\u00f6glichen. Protokollverwaltungssysteme unterst\u00fctzen zudem die Einordnung der Daten in spezifische Kategorien, wodurch der Datenfluss in eine SIEM-L\u00f6sung optimiert wird.<\/p>\n\n\n\n Die Datenrationalisierung ist von entscheidender Bedeutung, um wertvolle Telemetriedaten von weniger wichtigen Elementen zu trennen. SIEM-L\u00f6sungen, die gefilterte und rationalisierte Daten von einem Protokollverwaltungssystem erhalten, k\u00f6nnen dadurch die Anzahl der erforderlichen Analysevorg\u00e4nge reduzieren. Die Effizienzsteigerung im Bereich der Telemetrie erm\u00f6glicht es dem SIEM, zeitnaher und pr\u00e4ziser Benachrichtigungen an die relevanten Stellen zu generieren.<\/p>\n\n\n\n SecOps-Teams, die regelm\u00e4\u00dfig Audits und Berichte zur Einhaltung von Vorschriften erstellen, m\u00fcssen Zugriff auf den gefilterten und unstrukturierten Telemetrie-Feed erhalten. Die in den Protokolldateien eingebetteten Quelldaten werden h\u00e4ufig als Beweismaterial f\u00fcr Gerichtsverfahren und strafrechtliche Ermittlungen herangezogen, insbesondere wenn das Unternehmen Opfer eines Cyberangriffs wird.<\/p>\n\n\n\n Das FBI, die Homeland Security sowie die Strafverfolgungsbeh\u00f6rden der Europ\u00e4ischen Union<\/a> verf\u00fcgen \u00fcber Cybersicherheit-Experten, die mit der Bearbeitung solcher F\u00e4lle betraut sind. Das Sammeln von Protokolldaten von der Verwaltungsplattform stellt in einigen F\u00e4llen von Cyber-Ermittlungen eine Priorit\u00e4t dar. Die eigentlichen Rohdaten gewinnen schnell an Bedeutung als Quelle der Wahrheit innerhalb der Beweiskette und m\u00fcssen aufbewahrt werden, einschlie\u00dflich der Aufbewahrungskette.<\/p>\n\n\n\n Bei einer Beweiskette, die auf Protokolldatenprozessen innerhalb des SIEM basiert, kann es zu einer Reduzierung der Beweiskraft kommen. Dies ist darauf zur\u00fcckzuf\u00fchren, dass ein Gro\u00dfteil der Informationen lediglich die urspr\u00fcnglichen Rohdaten darstellt, sofern das Unternehmen das SIEM f\u00fcr s\u00e4mtliche Protokollverwaltungsfunktionen 100% nutzt.<\/p>\n\n\n\n SOAR-Automatisierung und -Warnungen<\/strong><\/p>\n\n\n\n <\/p>\n\n\n\n Protokollverwaltungssysteme, die einem SIEM \u00e4hneln, bieten angemessene Warnungen und Benachrichtigungen, oft in Echtzeit.<\/p>\n\n\n\n SIEM-L\u00f6sungen bieten zudem eine gr\u00f6\u00dfere Auswahl an Workflows, einschlie\u00dflich Security Orchestration Automation and Response (SOAR<\/a>).<\/p>\n\n\n\n SOAR-Workflows erstellen F\u00e4lle entweder auf der Grundlage eines einzelnen Beweismaterials, einschlie\u00dflich Protokolldateien, oder kritischer Informationen, die aus vielen Quellen gesammelt wurden. Ein weiterer wertvoller Punkt der SOAR-Funktionalit\u00e4t ist die F\u00e4higkeit des SIEM, Spielb\u00fccher zu erstellen und zu verteilen, die auf spezifischen Angriffsvektoren basieren. Diese B\u00fccher helfen den Beteiligten, ihre Rolle und die Schritte zu verstehen, die jedes Mitglied ausf\u00fchren muss, um die Ausbreitung des Angriffs zu stoppen.<\/p>\n\n\n\n Unternehmen, die ihre Investitionen in die Protokollverwaltung f\u00fcr die Cybersicherheit maximieren m\u00f6chten, sollten ihre Strategie sorgf\u00e4ltig planen, bevor sie den Prozess der Datentelemetrieerfassung aktivieren.<\/p>\n\n\n\n Im Folgenden finden Sie eine Liste mit Fragen, die alle CISOs und CIOs vor der Einf\u00fchrung der Protokollverwaltung im Unternehmen ber\u00fccksichtigen m\u00fcssen.<\/p>\n\n\n\n Die Speicherung von Protokollen ist mit einem hohen Bedarf an digitalem Speicherplatz verbunden. Das Parsen und Rationalisieren von Protokolldateien ist mit einem hohen Bedarf an Rechen-, Speicher- und I\/O-Ressourcen verbunden. Die Entscheidung, welche Ereignisse zu Zwecken der Cybersicherheit und Compliance gesammelt werden sollen, obliegt dem Unternehmen.<\/p>\n\n\n\n Das SecOps-Team sammelt eine Reihe von Daten, die f\u00fcr die allt\u00e4gliche Nutzung relevant sind. Dazu geh\u00f6ren:<\/p>\n\n\n\n Unabh\u00e4ngig davon obliegt es den CIOs, einen \u00e4hnlichen Umfang festzulegen, welche Ereignisse in Anwendungen, Datenbanken und Endbenutzerger\u00e4ten erfasst werden m\u00fcssen.<\/p>\n\n\n\n Der Zugriff auf Protokolldateien sollte klar definiert sein, \u00e4hnlich wie bei Regierungsmitarbeitern, die mit Verschlusssachen arbeiten. Die Personen, die Zugriff auf die Protokolldateien beantragen, m\u00fcssen \u00fcber die erforderlichen Kenntnisse verf\u00fcgen, um die Informationen, die sie abrufen m\u00fcssen, sowie die externen Systeme und wichtigen Beteiligten, an die sie diese exportieren d\u00fcrfen, zu identifizieren. Die Aktivierung einer rollenbasierten Zugriffskontrolle (RBAC<\/a>) ist f\u00fcr Unternehmen zur Wahrung der Datenintegrit\u00e4t unerl\u00e4sslich, insbesondere im Hinblick auf die Verhinderung der Verwahrkette von Protokolldateien. Diese Daten sind f\u00fcr das Unternehmen von gro\u00dfem Wert, insbesondere nach der Abwehr eines Zero-Day-Cyberangriffs. Sp\u00e4ter greifen Threat-Intelligence-Systeme auf diese wertvollen Daten zu, die von den Unternehmen bereitgestellt werden. Die Gew\u00e4hrung von Zugriff auf die Telemetriedaten an Hacker k\u00f6nnte zu k\u00fcnftigen Angriffen f\u00fchren.<\/p>\n\n\n\n Diese Fragestellung sollte zwischen dem CISO und dem CIO er\u00f6rtert werden. Die Verwaltung der Protokolle f\u00fcr Cybersicherheits- und Anwendungsdienste kann als vollst\u00e4ndige Umgebungsansicht nebeneinander existieren. Anwendungsdienste, bei denen Anzeichen daf\u00fcr vorliegen, dass sie ausgenutzt werden, sind als Cybersicherheitsangriff zu melden.<\/p>\n\n\n\n Weitere Protokollinformationen, darunter eine erh\u00f6hte CPU-Auslastung, ein Speicherleck und ges\u00e4ttigte Protokolldateien, weisen auf potenzielle Systemausbeutungen hin.<\/p>\n\n\n\n Ein zentralisiertes Protokollverwaltungssystem mit rollenbasierter Zugriffskontrolle (RBAC) w\u00e4re f\u00fcr die meisten Unternehmen die optimale L\u00f6sung, um den Zugriff auf die Rohdaten, die Datums- und Zeiteinstellungen und den Speicherort zu beschr\u00e4nken.<\/p>\n\n\n\n Unternehmen, die Protokolldateien \u00fcber einen Zeitraum von sechs Jahren aufbewahren, sind verpflichtet, eine geeignete Speicherstrategie zu entwickeln. Dabei kann es sich um eine Mischung aus lokalen, Cloud- und Wechselspeichermedien handeln. Es ist davon auszugehen, dass die meisten Unternehmen mehrstufige Speicherstrategien einsetzen werden. Bei einer mehrstufigen Speicherung werden weniger h\u00e4ufig genutzte Protokolldateien von teuren Tier-1-Ger\u00e4ten in eine kosteng\u00fcnstigere Umgebung verschoben.<\/p>\n\n\n\n Es ist erforderlich, eine einheitliche Regelung zu schaffen, die die Aufbewahrungsdauer von Cybersicherheitsprotokollen festlegt. Unternehmen, die in regulierten Branchen wie dem Finanzwesen, der Regierung, der Forschung, der Automobilindustrie und dem Gesundheitswesen t\u00e4tig sind, bewahren die Protokolle \u00fcblicherweise mehrere Jahre lang auf.<\/p>\n\n\n\n Im Folgenden finden Sie ein Beispiel f\u00fcr einige Compliance- und Datenschutzvorschriften, die die Aufbewahrungsfristen f\u00fcr Protokolldateien bestimmen:<\/p>\n\n\n\n \u201e<\/span>Basel II-Vereinbarung<\/a>: Diese internationale Bankenverordnung schreibt vor, dass Finanzinstitute Protokolldateien drei bis f\u00fcnf Jahre lang aufbewahren m\u00fcssen.“ Dar\u00fcber hinaus ist sicherzustellen, dass die Dateien im Falle eines Rechtsstreits unbegrenzt aufbewahrt werden k\u00f6nnen.\u201c<\/span><\/p>\n\n\n\n \u201e<\/span>HIPAA<\/a>\uff1aNach dem Health Insurance Portability and Accountability Act m\u00fcssen Organisationen, die im Gesundheitswesen t\u00e4tig sind, Protokolldateien sechs Jahre lang aufbewahren.\u201c<\/span><\/p>\n\n\n\n \u201e<\/span>ISO 27001:<\/a> Der ISO 27001-Konformit\u00e4tsrahmen schreibt vor, dass Unternehmen Datenprotokolle mindestens drei Jahre lang aufbewahren m\u00fcssen.sind Organisationen dazu verpflichtet, Datenprotokolle mindestens drei Jahre lang aufzubewahren.\u201c<\/span><\/p>\n\n\n\n
Definition Wichtigkeit des Protokollmanagementprozesses<\/span><\/strong><\/h2>\n\n\n\nProtokollverwaltung entscheidend f<\/strong>\u00fc<\/strong>r die Bedrohungsjagd<\/strong><\/h3>\n\n\n\n
![](\"https:\/\/www.forenova.com\/wp-content\/uploads\/2024\/10\/image-png-Oct-08-2024-12-34-56-2737-PM.webp\")
Eine effektive Bedrohungsjagd durch das SecOps<\/a>-Team erfordert eine effiziente Protokollverwaltung, um die Bereitstellung rationalisierter Daten zu gew\u00e4hrleisten. Bedrohungsj\u00e4ger nutzen rationalisierte Daten, um schneller suchen zu k\u00f6nnen als mit \u00e4hnlichen Abfragen im SIEM.<\/p>\n\n\n\nProtokollverwaltung vs. SIEM<\/span><\/strong><\/h2>\n\n\n\n
Der Zugriff auf Protokollinformationen f<\/strong>\u00fc<\/strong>r Auditing, Legal Hold und Reporting<\/strong><\/h3>\n\n\n\n
![\"\"](\"https:\/\/www.forenova.com\/wp-content\/uploads\/2024\/10\/image-png-Oct-08-2024-12-35-17-9824-PM.webp\")
<\/figure>\n\n\n\nWas sind einige empfohlene Ans\u00e4tze f<\/strong>\u00fc<\/strong>r die Protokollverwaltung in der Cybersicherheit?<\/strong><\/h3>\n\n\n\n
Welche Ereignisse sollten erfasst werden? <\/strong><\/h3>\n\n\n\n
\n
Wer hat Zugriff auf die Protokolldateien?<\/strong><\/h3>\n\n\n\n
Sollten CIOs und CISOs die Sammlung von Cybersicherheitsprotokollen und Anwendungsprotokollen voneinander trennen?<\/strong><\/h3>\n\n\n\n
Wo sollte die Organisation die Protokolldaten speichern?<\/strong><\/h3>\n\n\n\n
Wie lange sollten die Protokolle aufbewahrt werden?<\/strong><\/h3>\n\n\n\n
![\"v2\"\/](\"https:\/\/www.forenova.com\/wp-content\/uploads\/2024\/10\/TISAX-Guide-Cover-EN.png\")
<\/figure>\n\n\n\n