SEDM und ELA

Pallas-Produkte überzeugen

Pallas hat einen einfach zu bedienenden Managed Service entwickelt der das Sicherheitsniveau stark erhöht.

In der Kategorie "IT und Industrie" wurde sie dafür mit dem BEST OF – Industriepreis 2018 ausgezeichnet.

Hier stellen wir Ihnen unsere ausgezeichneten Lösungen vor

ELA - Enhanced Log Analysis ist eine webbasierte, interaktive Plattform

  • Unternehmenskritische Anomalien erkennen
  • Schnell und zuverlässig auskunftsfähig zu Sicherheitsvorfällen
  • Sicherheitsrelevante Korrelationen über lange Zeiträume herstellen und reporten
  • Standortübergreifend Anomalien erkennen

ELA - Enhanced Log Analysis ist eine webbasierte, interaktive Plattform für den IT-Administrator, der seine Firewall-Logdaten analysieren möchte. ELA ermöglicht eine detaillierte Anzeige und Analyse von Firewall Ereignissen sowie eine übersichtliche Dashboard-Darstellung der wichtigsten Werte.

Zur Nutzung von ELA wird die Managed Firewall so konfiguriert, dass die Logdaten in Echtzeit in das ELA-System gesendet werden. Eingehende Logdaten werden indexiert, nach Kunden separiert gespeichert und für die Analyse bis max. 90 Tage im System vorgehalten.

Die Ersteinrichtung wird begleitet durch eine Einweisung des Kunden-Administrators in ELA. Pallas unterstützt bei Auswertung und Interpretation der Firewall-Logdaten.

Durch das Zusammenführen von Logs mehrerer Firewalls in ein zentrales System sind Auffälligkeiten und Unterschiede mehrerer Standorte einfach ermittelbar.

Muss ein Security Incident untersucht werden, so ist durch die flexible Auswertung der Logs eine schnelle Analyse möglich. Stößt der Kunden-Administrator bei der Auswertung an seine Grenzen, so können Security Spezialisten von Pallas aushelfen.

Die Anbindung der Firewall Logs erfolgt über VPN, sodass auch vertrauliche Firewall Systeme an ELA angebunden werden können.

ELA basiert auf dem Quelloffenen und leistungsfähigen ElasticSearch und Kibana, betrieben durch Pallas in Pallas Datencenter in Deutschland

Gerade im Industrie- und Fertigungsumfeld spielt Security und Firewalls eine wichtige Rolle, höchste Priorität hat jedoch, dass die Fertigung läuft und nicht gestört wird.

Jede Störung muss daher schnellstmöglich erkannt und behoben werden. Die in Firewall Systemen eingebauten Log-Auswertungen sind diesbzgl. häufig limitiert und unterstützen den Firewall Admin nur unzureichend.

Basiernd auf den hochkomplexen und hervorragenden OpenSource Lösungen ElasticSearch und Kibana hat Pallas ein einfach zu bedienenden Managed Service entwickelt. Der Service bietet dem Firewall Admin eine sehr schnelle Log Auswertung.

Der Firwall Admin muss dazu keine hochkomplexe Infrastruktur aufbauen und betreiben, um eine deutliche Arbeitserleichterung zu erleben.

Produktblatt als pdf-Download
ELA - Enhanced Log Analysis [312 KB]

ELA - Enhanced Log Analysis ist eine webbasierte, interaktive Plattform

  • Automatisch Anomalien erkennen
  • Sicherheitsvorfälle detailliert analysieren
  • Sicherheitsrelevante Korrelationen über lange
  • Zeiträume herstellen und reporten
  • Konfigurationsfehler in der Perimeter Sicherheit aufdecken

SEDM - Security Event Detection Management dient u.a.zur Analyse von Firewall-Logs sowie von NetFlow-Daten in denen automatisch Anomalien erkannt werden.
Eine Anomalie ist eine Abweichung vom bisherigen Verhalten. Das bisherige Verhalten wird auf Basis von historischen Daten im Zeitrahmen von 15 bis 90 Tagen, je nach Erkennungsmodul, ermittelt.

Datenbasis für SEDM sind Firewall-Log-Daten die in einem ElasticSsearch System gespeichert werden. Damit stehen diese Daten für SEDM zur Verfügung und – falls eine Anomalie entdeckt wird – ebenfalls für den Administrator zur dynamischen Auswertung mittels ELA (Enhanced Log Analyser).Prinzip bedingt kann es immer erklärbare Anomalien geben, die zu False Positives führen können. Dies können z.B. Newsletter Aussendungen sein, die nicht regelmäßig, sondern in Peaks versendet werden. Daher können Whitelists gesetzt werden, welche dann für diese Systeme die Anomalie Erkennung ausschalten.

Eine Anomalie muss nicht bösartig sein, wie oben bereits ausgeführt. Weitere Gründe sind z.B. Konfigurationsfehler, tatsächlich geändertes Verhalten durch Einführung neuer Prozesse oder die Einführung einer neuen Software.

Eine Anomalie wird nur einmal gemeldet, da sie danach als bereits vorhandenes Verhalten und damit nicht als Anomalie gilt.

SEDM liefert nicht die Ursache für die Anomalie, aber Anhaltspunkte. Auf Basis der vorhandenen Firewall-Logs kann der Administrator z.B. mittels ELA die Ursache analysieren. Eine tiefgreifende Analyse ist bei Anomalien immer nur in Verbindung mit dem Kunden möglich da nur der Kunde entscheiden kann, ob das Verhalten ein Fehler, eine bösartige Anomalie oder nur eine Nutzungsänderung ist.

Prinzipbedingt kann SEDM bei Einführung ein durch Bots verseuchtes Netz erst dann erkennen, wenn die Bots z.B. durch neue Befehle von einem C&C Server ihr Verhalten ändern.

Bedingt durch die Anomalie Erkennung in SEDM kann ein Netzwerk deutlich sicherer und sauberer gehalten werden. SEDM ist nicht invasiv, stört also den normalen Betrieb nicht, und hilft dennoch dem Administrator seltsames Verhalten zu erkennen und damit auch dieses seltsame Verhalten abzustellen. Auch wenn SEDM primär zur Erkennung von Angriffen, insbesondere durch Firewalls sonst schwer einzudämmenden APTs, entwickelt wurde, ist durch die Erkennung von Anomalien durch Konfigurationsfehler tatsächlich ein sehr schneller und wesentlicher Mehrwert auch ohne aktive Angriffe gegeben.

Gerade im Bereich Industrie 4.0, die durch gleichmäßigen, regelmäßigen und wenig sprunghaften Netzwerktraffic geprägt ist, ist SEDM ein hervorragendes Produkt um Befall der schlecht zu wartenden Industrieanlagen zu erkennen. Da SEDM allein auf Basis von Firewall-Logs arbeitet, kann der Einsatz von SEDM im laufenden Betrieb ohne Störung der Produktion erfolgen.

Produktblatt als pdf-Download
SEDM - Security Event Detection Management [169 KB]