M 4.431 Auswahl und Verarbeitung relevanter Informationen für die Protokollierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Protokolldaten müssen aussagekräftige Informationen enthalten. Dabei spielt es keine Rolle, ob sie lokal oder zentral erfasst oder ob sie für ein IT-Frühwarnsystem bereitgestellt werden. Welche Ereignisse protokolliert werden, hängt unter anderem vom Schutzbedarf der jeweiligen IT-Systeme ab und muss in der Institution vorab abgestimmt und festgelegt werden (siehe M 2.500 Protokollierung von IT-Systemen). Unter anderem sind die folgenden Ereignisse besonders zu beachten:

Ein IT-Frühwarnsystem kann aus all diesen Ereignissen Meldungen extrahieren, sie qualifizieren und übersichtlich aufbereiten. Dazu werden die Protokolldaten vorab gefiltert, normalisiert, aggregiert und kategorisiert.

Filterung

Beim Filtern der gesammelten Protokolldaten werden unnötige Protokollmeldungen aussortiert. Dies ist notwendig, da die Menge der anfallenden Protokolldaten zu groß ist, um alle Informationen verarbeiten zu können. Die Filtereinstellungen können meist am zentralen Protokollierungsserver beziehungsweise am IT-Frühwarnsystem geregelt werden. Die Einstellungen müssen an die Gegebenheiten des Informationsverbundes angepasst und sollten nur von gut geschulten Administratoren durchgeführt werden. Es dürfen nicht zu viele, aber auch nicht zu wenig Protokollereignisse aussortiert werden. Des Weiteren sollten die Filtereinstellungen regelmäßig überprüft und aktualisiert werden, zum Beispiel, wenn neue Server zum zentralen Protokollserver beziehungsweise zum IT-Frühwarnsystem hinzugefügt oder alte Server außer Betrieb genommen werden.

Normalisierung

Um die Daten weiterverarbeiten und beispielsweise in einer Datenbank speichern zu können, müssen alle anfallenden Protokollmeldungen in ein einheitliches Datenformat konvertiert werden. Dieser Vorgang wird Normalisierung genannt. Die Meldungen unterscheiden sich von Hersteller zu Hersteller. Allerdings bestehen auch große Unterschiede zwischen Protokolldaten von Betriebssystemen und Applikationen.

Aggregation

Um die Daten weiter zu verarbeiten, folgt die Aggregation. Hier werden Protokollmeldungen mit identischem Inhalt zu einem Datensatz zusammengefasst. Oft werden vom gleichen System mehrmals hintereinander identische Protokollmeldungen erzeugt, was einen geringeren Informationswert für die nachfolgenden Meldungen bedeutet. Aus diesem Grund wird nur die erste Protokolldatei weiterverarbeitet. Allerdings ist es wichtig, die erste Protokollmeldung um die Anzahl der aufgetretenen redundanten Ereignisse zu ergänzen, um feststellen zu können, wie häufig die identischen Protokollmeldungen aufgetreten sind.

Kategorisierung und Priorisierung

Nachdem die Daten gefiltert, normalisiert und aggregiert wurden, sollten diese kategorisiert und priorisiert werden. Dadurch lässt sich der Informationsgehalt der Meldung erhöhen. So können beispielsweise Meldungen durch Zoneninformationen wie DMZ oder Hochsicherheitsbereich priorisiert und bei der Auswertung bevorzugt berücksichtigt werden. Zusätzlich lassen sich die Meldungen in einen System-Typ, wie Sicherheitsgateway, Betriebssystem oder Applikationen einordnen.

Korrelation der Daten

Eine wesentliche Anforderung des Protokollservers beziehungsweise des IT-Frühwarnsystems ist die Korrelation der Protokollmeldungen aus Protokolldatenquellen, bei der unterschiedliche Ereignisse miteinander verknüpft werden. Innerhalb eines Informationsverbundes haben die separaten Sicherheitskomponenten, wie Sicherheitsgateways, Intrusion-Detection-/-Prevention-Systeme und Antiviren-Gateways nur eine beschränkte Sicht auf ihre jeweilige Funktion. Deshalb sollten die entsprechenden Protokolldaten korreliert werden. Ein Beispiel für korrelierte Protokolleinträge wäre die Verbindung von Sicherheitsgateway- und Router-Protokolldaten mit Accounting-Informationen von einem kompromittierten System.

Korrelation kann auf verschiedenen Ebenen stattfinden:

Prüffragen: