Inhalt
Was also ist Log Management genau, welche Vorteile bringt es und was braucht man, um es technisch umsetzen zu können?
Was ist Log Management?
Log Management beschreibt das zentralisierte Speichern von Eventlogs und die Fähigkeit, diese Daten durchsuchen und analysieren zu können.
Systeme, deren Eventlogs zentral gespeichert werden, bezeichnet man in diesem Zusammenhang als Logquelle. Um Eventlogs von einer Logquelle zu beziehen, wird entweder ein integrierter Mechanismus (z.B. syslog) oder eine zusätzliche Software verwendet, welche die lokalen Eventlogs weiterleitet. Derartige Software wird als Shipper oder Agent bezeichnet und ist Bestandteil der jeweiligen Log Management-Lösung.
Die Vielfalt der anbindbaren Logquellen-Typen ist groß und bildet beinahe die ganze Palette von IT-Infrastruktur Komponenten ab.
Typische Logquellen-Typen sind z.B.:
- Serverseitige Betriebssysteme (Windows Server, Linux & UNIXoide)
- Endpoint Betriebssysteme (Windows & Mac OS X)
- Netzwerkinfrastruktur (Switche, WLAN APs, Router, Firewalls, Load Balancer)
- Security Appliances (Layer 7 Firewalls, IDS, IPS, Spam Filter)
- Blackbox & IoT Geräte (Drucker, Thermo-Sensoren,…)
Über den typischen Anwendungsfall hinaus ist zudem auch eine Erfassung exotischer Logformate möglich, indem man selber sogenannte Log Parser entwickelt. Diese basieren in den meisten Fällen auf der Verwendung von Regulären Ausdrücken (RegEx).
Vorteile von Log Management
Die Vorteile einer soliden Log Management Lösung sind vielfältig und erstrecken sich über verschiedene Bereiche.
Nachvollziehbarkeit & Fehleranalyse
Wenn bei einem zentralen Service Probleme auftreten oder ein wichtiger Server überhaupt nicht mehr zu erreichen ist, hat es einen großen Wert, zentral auf alle Logdaten zu diesem System zugreifen zu können. Eine einfache Suche nach der IP-Adresse oder dem Hostnamen kann häufig bereits Aufschluss darüber schaffen, wo Probleme bestehen, wann ein System ausgefallen ist und was kurz vor dem Ausfall passierte.
IT-Hygiene & Sichtbarkeit über die eigene IT-Landschaft
Der Begriff der IT-Hygiene ist vor allem im Bereich Cyber Security verbreitet, gemeint ist damit jedoch primär eine gründliche Kenntnis der eigenen IT-Landschaft, welche auch für die operative IT von großem Vorteil ist.
Konkret wird darunter z.B. verstanden, dass man in der Lage ist zu unterscheiden zwischen legitimen Systemen, welche unter Kontrolle des Unternehmens stehen, und solchen, die im Firmennetzwerk nichts verloren haben. Nicht selten bringen z.B. Mitarbeiter ihre privaten Geräte aus guter Absicht heraus mit zur Arbeit.
Ein Logmanagement-System ist zwar nicht dazu geeignet, derartige Vorfälle automatisiert zu erkennen, es ist jedoch ein hervorragendes Werkzeug, um Wissen über die eigene Umgebung aufzubauen und auf Basis der Logdaten eine vernünftige Asset Datenbank aufzubauen.
Sicherheit vor Log-Manipulation & Löschung von Logdaten
Wenn menschliche Angreifer ein System übernehmen oder Ransomware einen Rechner verschlüsselt, geht damit oft auch der Zugriff auf die Logdaten verloren. Entweder werden sie von der Ransomware verschlüsselt oder vom Angreifer gelöscht, um seine Spuren zu verwischen. Besonders fähige Angreifer (z.B. NSA, Stichwort: DanderSpritz) manipulieren Logdaten sogar, um Nebelkerzen zu werden.
Gegen die Löschung, Verschlüsselung oder Manipulation von lokalen Logdaten ist man mit einer zentralisierten Log Management-Lösung abgesichert. Aus diesem Grund ist die zentralisierte Speicherung von Logdaten auch ein zentrales Erfordernis von ISO 27001 und anderen Compliance Regelwerken im Bereich IT-Security.
SIEM & IT-Forensic Readiness
Wer sich im Bereich Cyber Security langfristig weiterentwickeln will oder gar plant, ein konzernweites CDC / SOC aufzubauen, kann gut mit einer Log Management-Lösung einsteigen und diese später zu einer vollwertigen SIEM-Lösung ausbauen. Besonders praktisch ist hier die Planungssicherheit, die man durch die Implementierung einer Logmanagement-Lösung erlangt. Denn die ungleich höheren Kosten einer SIEM-Implementierung hängen letztlich primär vom Volumen der erfassten Eventlogs ab, welches dem Betreiber einer Log Management-Lösung ja bereits bekannt ist. Doch auch abseits von langfristigen Zielen kann eine Log Management-Lösung die Reaktionsfähigkeit eines Unternehmens verbessern. Falls ein Security Incident auftritt und ein IT-Forensiker beurteilen soll, was vorgefallen ist und ob eventuell noch weitere Systeme betroffen sind, ist eine Log Management Lösung äußerst wertvoll.
IT-Sicherheitsvorfälle werden oft erst nach Wochen oder Monaten erkannt. Lokale Eventlogs fungieren i.d.R. als Ringpuffer und entsprechend sind die lokalen Eventlogs, die den fraglichen Vorfall betreffen, zu diesem Zeitpunkt oftmals bereits nicht mehr verfügbar. In dieser Situation ist es sehr praktisch, wenn der IT-Forensiker im Stande ist, eine historische Analyse auf Basis eines Logmanagement-Systems durchzuführen.
Einführung einer Log Management-Lösung
Was braucht es also, um eine Log Managment-Lösung zu implementieren? Bei SECUINFRA denken wir gerne in dem in der IT-Security von Bruce Schneier popularisierten PPT Framework. PPT steht für People, Processes & Technology, regt also dazu an, nicht nur über die Technologie nachzudenken, sondern auch über die dazugehörigen Prozesse und die Kompetenz der Mitarbeiter, welche letztlich ja der entscheidende Faktor sind. Die beste Lösung nützt schließlich wenig, wenn die Verantwortlichen nicht mit ihr umgehen können.
Technologie
Technologisch betrachtet braucht man zur Einführung eines Log Managements primär drei Komponenten:
- Eine Infrastruktur zur Erfassung von Eventlogs
- Eine serverseitige Komponente, welche
- die Eventlogs langfristig speichern kann
- die gespeicherten Eventlogs effizient durchsuchen kann
- Eine benutzerfreundliche Oberfläche, welche die Auswertung und Visualisierung von Suchergebnissen erlaubt
Es gibt eine ganze Reihe von Log Management-Systemen. SECUINFRA empfiehlt seinen Kunden die Verwendung von Splunk oder Elastic. In den fortführenden Blogbeiträgen werden wir Elastic zur Veranschaulichung verwenden, weil Elastic als Open Source Produkt sehr transparent ist, was eine Erklärung deutlich vereinfacht.
Processes
Prozessual kann sehr viel geregelt werden, doch einige Dinge sollten unbedingt geregelt werden. An erster Stelle sollte die Kontaktaufnahme mit dem Betriebsrat und dem Datenschutzbeauftragten stehen. Die Speicherfrist von Eventlogs sollte Gegenstand einer Betriebsvereinbarung werden, was dem Unternehmen Rechtssicherheit gibt und Konflikte zwischen IT und Betriebsrat verhindert.
Es sollte unbedingt erfasst werden, welche Systeme bereits an die Log Management-Lösung angebunden sind und mit welcher Audit Log Policy diese betrieben werden. Die Audit Log Policy ist die Konfiguration, die festlegt, in welchem Umfang überhaupt Eventlogs generiert werden. Diese ist grade bei Betriebssystemen von großer Bedeutung, da die Logging-Mechanismen hier sehr dynamisch konfigurierbar sind.
People
Wer ein Log Management-System betreibt, sollte zuerst einmal natürlich verstehen, wie das System funktioniert. Die Lernkurve ist hier am Anfang steil, doch nach einer relativ kurzen Einarbeitungszeit findet sich ein technisch versierter Nutzer i.d.R. gut zurecht.
Die eigentliche Herausforderung besteht jedoch darin, die erhobenen Eventlogs zu verstehen, was i.d.R. ein Verständnis der Funktion der fraglichen Logquelle voraussetzt. Entsprechend sind die Kompetenzen hier nicht selten stark fragmentiert.
Dennoch rät SECUINFRA seinen Kunden generell, mit der Anbindung jedes neuen Logquellen-Typs einen dedizierten Aufwand zu betreiben, um die wichtigsten Events zu dokumentieren und für jeden Nutzer der Log Management-Lösung verständlich zu machen.
SECUINFRA berät Sie als Dienstleister bei der Planung, Einführung und Nutzung einer Log Management-Lösung umfänglich, übernimmt einen Teil der Aufgaben oder betreibt Ihre Log Management-Lösung als Service für Sie. Kontaktieren Sie uns gerne!
