Firewall Log Analyse und Anomalie-Erkennung​

Pallas hat einen einfach zu bedienenden Managed Service entwickelt, der das Sicherheitsniveau stark erhöht. In der Kategorie „IT und Industrie“ wurde sie dafür mit dem BEST OF Industriepreis 2018 ausgezeichnet.

Pallas-Produkte überzeugen

SEDM und ELA ermöglichen eine einfache und schnelle Loganalyse sowie Alarmierung bei Anomalien in den Firewall Logs.

Kontakt

*Pflichtfeld
*Pflichtfeld

Ihre Vorteile

Anomalieerkennung

Bisher unbekannte Bedrohungen offenbaren sich häufig durch Anomalien. SEDM erkennt diese allein auf Basis von Firewall Logs und damit noninvasiv.

Umfangreiche Logspeicherung

Firewall Logs sind extrem umfangreich. Firewalls selber bieten häufig keine performante und einfache Analysefunktion und sind im Speicherumfang begrenzt – diese Limitierungen werden mittels ELA deutlich reduziert

Einfache Analyse

Mittels unserer webgestützten Administrationsoberfläche können zielgerichtet Bedrohungen oder Auffälligkeiten gesucht und analysiert werden.

ELA − Enhanced Log Analysis ist eine webbasierte, interaktive Plattform

  • Unternehmenskritische Anomalien erkennen
  • Schnell und zuverlässig auskunftsfähig zu Sicherheitsvorfällen
  • Sicherheitsrelevante Korrelationen über lange Zeiträume herstellen und reporten
  • Standortübergreifend Anomalien erkennen
  • Automatisch Anomalien erkennen
  • Sicherheitsvorfälle detailliert analysieren
  • Sicherheitsrelevante Korrelationen über lange Zeiträume herstellen und reporten
  • Konfigurationsfehler in der Perimetersicherheit aufdecken
startseite icon control

ELA − Enhanced Log Analysis ist eine webbasierte, interaktive Plattform für den IT-Administrator, der seine Firewall-Logdaten analysieren möchte. ELA ermöglicht eine detaillierte Anzeige und Analyse von Firewall-Ereignissen sowie eine übersichtliche Dashboard-Darstellung der wichtigsten Werte. Zur Nutzung von ELA wird die Managed Firewall so konfiguriert, dass die Logdaten in Echtzeit in das ELA-System gesendet werden. Eingehende Logdaten werden indexiert, nach Kunden separiert gespeichert und für die Analyse bis max. 90 Tage im System vorgehalten.

Die Ersteinrichtung wird begleitet durch eine Einweisung des Kunden-Administrators in ELA. Pallas unterstützt bei Auswertung und Interpretation der Firewall-Logdaten. Durch das Zusammenführen von Logs mehrerer Firewalls in ein zentrales System sind Auffälligkeiten und Unterschiede mehrerer Standorte einfach ermittelbar. Muss ein Security Incident untersucht werden, so ist durch die flexible Auswertung der Logs eine schnelle Analyse möglich. Stößt der Kunden-Administrator bei der Auswertung an seine Grenzen, so können Security-Spezialisten von Pallas aushelfen.

Die Anbindung der Firewall Logs erfolgt über VPN, sodass auch vertrauliche Firewall-Systeme an ELA angebunden werden können. ELA basiert auf dem quelloffenen und leistungsfähigen ElasticSearch und Kibana, betrieben durch Pallas im Pallas-Datencenter in Deutschland. Gerade im Industrie- und Fertigungsumfeld spielen Security und Firewalls eine wichtige Rolle, höchste Priorität hat jedoch, dass die Fertigung läuft und nicht gestört wird.

Jede Störung muss daher schnellstmöglich erkannt und behoben werden. Die in Firewall-Systemen eingebauten Log-Auswertungen sind diesbezüglich häufig limitiert und unterstützen den Firewall-Admin nur unzureichend. Basierend auf den hochkomplexen und hervorragenden Open Source Lösungen ElasticSearch und Kibana hat Pallas einen einfach zu bedienenden Managed Service entwickelt. Der Service bietet dem Firewall-Admin eine sehr schnelle Log-Auswertung.

Der Firewall-Admin muss dazu keine hochkomplexe Infrastruktur aufbauen und betreiben, um eine deutliche Arbeitserleichterung zu erleben.

SEDM − Security Event Detection Management

SEDM − Security Event Detection Management dient u. a. zur Analyse von Firewall-Logs sowie von NetFlow-Daten, in denen automatisch Anomalien erkannt werden.

Eine Anomalie ist eine Abweichung vom bisherigen Verhalten. Das bisherige Verhalten wird auf Basis von historischen Daten im Zeitrahmen von 15 bis 90 Tagen ermittelt, und zwar je nach Erkennungsmodul. Datenbasis für SEDM sind Firewall-Log-Daten, die in einem ElasticSearch System gespeichert werden. Damit stehen diese Daten für SEDM zur Verfügung und – falls eine Anomalie entdeckt wird – ebenfalls für den Administrator zur dynamischen Auswertung mittels ELA (Enhanced Log Analysis). Prinzipienbedingt kann es immer erklärbare Anomalien geben, die zu False Positives führen können. Dies können z. B. Newsletter-Aussendungen sein, die nicht regelmäßig, sondern in Peaks versendet werden. Daher können Whitelists gesetzt werden, welche dann für diese Systeme die Anomalieerkennung ausschalten.

Eine Anomalie muss nicht bösartig sein, wie oben bereits ausgeführt. Weitere Gründe sind z. B. Konfigurationsfehler, tatsächlich geändertes Verhalten durch Einführung neuer Prozesse oder die Einführung einer neuen Software. Eine Anomalie wird nur einmal gemeldet, da sie danach als bereits vorhandenes Verhalten und damit nicht als Anomalie gilt. SEDM liefert nicht die Ursache für die Anomalie, aber Anhaltspunkte. Auf Basis des vorhandenen Firewall-Logs kann der Administrator z. B. mittels ELA die Ursache analysieren. Eine tiefgreifende Analyse ist bei Anomalien immer nur in Verbindung mit dem Kunden möglich, da nur der Kunde entscheiden kann, ob das Verhalten ein Fehler, eine bösartige Anomalie oder nur eine Nutzungsänderung ist. Prinzipienbedingt kann SEDM bei Einführung ein durch Bots verseuchtes Netz erst dann erkennen, wenn die Bots z. B. durch neue Befehle von einem C&C Server ihr Verhalten ändern.

Bedingt durch die Anomalieerkennung in SEDM kann ein Netzwerk deutlich sicherer und sauberer gehalten werden. SEDM ist nichtinvasiv, stört also den normalen Betrieb nicht, und hilft dennoch dem Administrator, seltsames Verhalten zu erkennen und damit auch dieses seltsame Verhalten abzustellen. Auch wenn SEDM primär zur Erkennung von Angriffen entwickelt wurde, insbesondere durch Firewalls sonst schwer einzudämmenden APTs, ist durch die Erkennung von Anomalien durch Konfigurationsfehler tatsächlich ein sehr schneller und wesentlicher Mehrwert auch ohne aktive Angriffe gegeben.

Gerade im Bereich Industrie 4.0, die durch gleichmäßigen, regelmäßigen und wenig sprunghaften Netzwerktraffic geprägt ist, stellt SEDM ein hervorragendes Produkt dar, um Befall der schlecht zu wartenden Industrieanlagen zu erkennen. Da SEDM allein auf Basis von Firewall-Logs arbeitet, kann der Einsatz von SEDM im laufenden Betrieb ohne Störung der Produktion erfolgen.

Jetzt anfragen

Hinterlegen Sie uns Ihre E-Mailadresse und wir
nehmen gerne mit Ihnen Kontakt auf

Sie interessieren sich für unsere Lösung?

Wir bieten auch

Nachfolgende Dienstleistungen könnten Sie ebenfalls interessieren

Firewall

SIEM as a Service

Kontakt

*Pflichtfeld