Advanced Log Analysis

Controlware Advanced Log Analysis (ALA) im Detail

Log-Daten sind ein wesentlicher Bestandteil des Advanced Log Analytics Service (ALA). Um alle Quellen mit den entsprechenden Informationen effektiv nutzen zu können, ist es wichtig, alle Daten zu zentralisieren. Diese werden herangezogen, um Sicherheitsvorfälle zu erkennen oder alternativ um Services zu überwachen. Bei Bedarf werden auch Root Cause-Analysen durchgeführt.
Der ALA-Service basiert auf Splunk Enterprise. Dieses State of the Art-Log Management System bietet hohe Flexibilität, Performance und Skalierbarkeit, um alle gestellten Anforderungen umsetzen zu können.
Splunk Enterprise kann alle Arten von Daten aufnehmen und indizieren, beispielsweise Maschinendaten, historische Daten, Windows Event Logs, Webserver Logs, Application Logs, Network Feeds, Metriken, Change Monitoring, Message Queues, Archive und vieles mehr.

Basierend auf den indexierten Daten ist es mit Splunk möglich:

Daten zu durchsuchen und Korrelationen umzusetzen
Gesuchte Daten einzugrenzen, um die „Nadel im Heuhaufen“ zu finden
Daten in Dashboards und Reports bereitzustellen
Alarme zu generieren
Immer wiederkehrende Tasks zu automatisieren
Einen hybriden Ansatz (On-Premises und Cloud) zu realisieren

Wichtigste Merkmale

Controlware Security App verfügbar mit Basis- und Cyber Use Cases
Cyber Use Cases zur Erkennung von Angreifer-Techniken
Kontinuierliche Weiterentwicklung der Cyber Use Cases im Leistungsumfang enthalten
Kontext-Analyse zur Bewertung der Incidents in der individuellen Kundenumgebung

Inhaltlicher Betrieb (SOC-Leistungen):

False Positive-Prüfung

Die False Positive-Prüfung ist die Basis der Analyse von ALA Events, ausgelöst durch Use Cases. Hierbei wird untersucht, ob die Bedingungen für das Auslösen des Use Cases wie vorgesehen gegeben sind oder, ob es sich um Fehlauslösung gehandelt hat.
ALA-Kontext-Analyse

Nach dem Ausschluss der False Positives werden die ALA Events weitergehend untersucht und mit weiteren Informationen angereichert, basierend auf den vorhandenen Log-Daten.
Es werden Empfehlungen gegeben, wie diese ALA Events von der Kritikalität einzustufen sind und welche Maßnahmen im Kontext Incident Response sinnvoll sind.

Controlware Security App

Über die Controlware Security App profitiert der Kunde vom umfangreichen Use Case-Katalog bestehend aus Basis- und Cyber Use Cases.
Basis Use Cases decken dabei die häufigsten Compliance- bzw. Audit-Anforderungen ab und stellen damit einen kostengünstigen Basisschutz sicher.
Cyber Use Cases ermöglichen die sichere Erkennung der von Malware oder Angreifern genutzten Technologien.
Die Controlware Security App wird kontinuierlich weiterentwickelt, um auch neu auftretende Angreifer-Technologien zu erkennen.
Kundespezifische Use Cases lassen sich ebenfalls problemlos abbilden.