SEDM - Security Event Detection Management

Managed Security ServiceSecure HostingSecure Consultingcover

SEDM - Security Event Detection Management dient u.a.zur Analyse von Firewall-Logs

  • Automatisch Anomalien erkennen
    Sicherheitsvorfälle detailliert analysieren
  • Sicherheitsrelevante Korrelationen über lange  
    Zeiträume herstellen und reporten
  • Konfigurationsfehler in der Perimeter Sicherheit
    aufdecken

SEDM - Security Event Detection Management  dient u.a.zur Analyse von Firewall-Logs sowie von NetFlow-Daten in denen automatisch Anomalien erkannt werden.
Eine Anomalie ist eine Abweichung vom bisherigen Verhalten. Das bisherige Verhalten wird auf Basis von historischen Daten im Zeitrahmen von 15 bis 90 Tagen, je nach Erkennungsmodul, ermittelt.

Datenbasis für SEDM sind Firewall-Log-Daten die in einem ElasticSsearch System gespeichert werden. Damit stehen diese Daten für SEDM zur Verfügung und – falls eine Anomalie entdeckt wird – ebenfalls für den Administrator zur dynamischen Auswertung mittels ELA (Enhanced Log Analyser).Prinzip bedingt kann es immer erklärbare Anomalien geben, die zu False Positives führen können. Dies können z.B. Newsletter Aussendungen sein, die nicht regelmäßig, sondern in Peaks versendet werden. Daher können Whitelists gesetzt werden, welche dann für diese Systeme die Anomalie Erkennung ausschalten.

Eine Anomalie muss nicht bösartig sein, wie oben bereits ausgeführt. Weitere Gründe sind z.B. Konfigurationsfehler, tatsächlich geändertes Verhalten durch Einführung neuer Prozesse oder die Einführung einer neuen Software.

Eine Anomalie wird nur einmal gemeldet, da sie danach als bereits vorhandenes Verhalten und damit nicht als Anomalie gilt.

SEDM liefert nicht die Ursache für die Anomalie, aber Anhaltspunkte. Auf Basis der vorhandenen Firewall-Logs kann der Administrator z.B. mittels ELA die Ursache analysieren. Eine tiefgreifende Analyse ist bei Anomalien immer nur in Verbindung mit dem Kunden möglich da nur der Kunde entscheiden kann, ob das Verhalten ein Fehler, eine bösartige Anomalie oder nur eine Nutzungsänderung ist.

Prinzipbedingt kann SEDM bei Einführung ein durch Bots verseuchtes Netz erst dann erkennen, wenn die Bots z.B. durch neue Befehle von einem C&C  Server ihr Verhalten ändern.

Bedingt durch die Anomalie Erkennung in SEDM kann ein Netzwerk deutlich sicherer und sauberer gehalten werden. SEDM ist nicht invasiv, stört also den normalen Betrieb nicht, und hilft dennoch dem Administrator seltsames Verhalten zu erkennen und damit auch dieses seltsame Verhalten abzustellen. Auch wenn SEDM primär zur Erkennung von Angriffen, insbesondere durch Firewalls sonst schwer einzudämmenden APTs, entwickelt wurde, ist durch die Erkennung von Anomalien durch Konfigurationsfehler tatsächlich ein sehr schneller und wesentlicher Mehrwert auch ohne aktive Angriffe gegeben.

Gerade im Bereich Industrie 4.0, die durch gleichmäßigen, regelmäßigen und wenig sprunghaften Netzwerktraffic geprägt ist, ist SEDM ein hervorragendes Produkt um Befall der schlecht zu wartenden Industrieanlagen zu erkennen. Da SEDM allein auf Basis von Firewall-Logs arbeitet, kann der Einsatz von SEDM im laufenden Betrieb ohne Störung der Produktion erfolgen.

Beispiele

Information for high number of dropped connections

Eine nähere Analyse zeigte auf, dass bei dieser Anomalie die Firewall Update von Akamai aus verhindert hatte. Die Lösung war die benötigte Freischaltung auf der Firewall damit die gewollten Updates auch tatsächlich ausgeliefert werden konnten.

Zugriffe auf verdächtige Domains:

In diesem Fall gab es Zugriff auf malicious Domains die unterbunden werden mussten. Im Original Report ist die Source IP mit enthalten welche hier aus Datenschutzgründen ausgeblendet wurde.
Der Zugriff war erlaubt, aber nicht gewollt. Die Systeme der Source IPs wurden daraufhin auf Malware hin untersucht.

Produktblatt als pdf.Download

SEDM - Security Event Detection Management

Download [169 KB]