Security Monitoring
Ziel und Zweck
Grundsätzlich ist Security Monitoring (SIEM) der Vergleich des „Soll“ und des „Ist“ -Zustands. Dabei sollen Abweichungen bzw. Änderungen kurzfristig erkannt, potentielle Angriffe auf das System und kritische Systemzustände entdeckt sowie geeignet verfolgt werden, damit Gegenmaßnahmen getroffen werden können. Monitoring kann damit eine wirksame Methode sein, die Risiken durch privilegierte Zugriffe, Outsourcing von Betriebsleistungen und der Exponiertheit von Systemen zu managen.
Kontrolle hilft, Schäden zu verhindern oder zu begrenzen. Wir schützen Ihre Informationsressourcen durch das Implementieren von Monitoring Tools, und bieten Ihnen darüber hinaus den Service aus einer Hand als unabhängiger Dienstleister.
Die Daten werden dabei einem potentiell manipulativen Zugriff auf dem überwachten System entzogen. Dabei können wir nicht nur Betriebssysteme, Datenbanken, Webserver und Applikationen überwachen – alles, was Protokolldateien schreibt, kann integriert werden!
Das Team von p3 Consulting hat im Rahmen des Projektes SecMon eine Realisierungskonzept für den Aufbau und die Inbetriebnahme eines SOC (Security Operations Center) zum Monitoring von Security Events erstellt. Es wurde 45 Einzelprozessen identifiziert in einer Prozesslandkarte zusammengeführt. Mit der Beschreibung der Prozesse wurden folgende Punkte abgedeckt:
- Definition aller Prozesse im und um das SOC;
- Definition von Eskalationswegen;
- Definition von Rollen und Verantwortlichkeiten;
- Definition eines Schulungskonzeptes;
- Definition der SOC Reports;
- Definition der nötigen Schritte zur Betriebsvorbereitung usw.
Die Einzelprozesse wurden mit den Prozessverantwortlichen abgestimmt und anschließend abgenommen. Mit der QS Prüfung des Realisierungskonzept durch einen unabhängigen Experten wurde bestätigt, dass der Umfang und die Komplexität der Prozesse und Aufgaben-Beschreibungen Security Monitoring/ SOC Konzepten von Unternehmen mit vergleichbaren Größenordnung wie der Commerzbank entsprechen.
Durch die hervorragende Unterstützung des p3 Team war es möglich in nur 3 Monaten das SOC Realisierungskonzept zu erstellen. Für die geleistete Arbeit möchte ich mich bedanken.
Detlef Körner
Projektleiter SecMon
Realisierungskonzept
Mit p³FAF (Fire and Forget) hat p3 eine Software zum Security Monitoring entwickelt, welche plattformübergreifend zur Überwachung von heterogenen Systemlandschaften eingesetzt wird.
Durch den Einsatz von p³FAF können Informationsressourcen sowie Systeme, Anwendungen und Datenbanken gleichermaßen zuverlässig gemonitort werden. Eine einfache Integration von Überwachungsobjekten wie Betriebssystemen über Middleware wie Datenbanken und Webservern bis hin zu Standard- und Spezialsoftware ist durch den modularen Aufbau möglich. p³ bietet die Sicherheitsüberwachung mit p³FAF auch im Komplettpaket als Managed Security Service an.
Wir erkennen potentielle und tatsächliche Verstöße gegen Ihre Sicherheitsrichtlinien und informieren qualifiziert und angemessen. So wird der Überblick über die Risikosituation im Betrieb gewahrt, da kritische Ereignisse zeitnah gemeldet und sicherheitsrelevante Beobachtungen regelmäßig berichtet werden. So sind Sie gegenüber externen und internen Prüfern jederzeit auskunftsfähig.
Die sicherheitstechnische Überwachung von IT-Systemen kann auf zwei verschiedene Arten erfolgen, die sich gegenseitig ergänzen sollten:
- Eine Überwachung des Systemzustandes, also ein Status-Monitoring
- Eine Überwachung der Aktivitäten, d.h. ein Event-Monitoring
Je nach Art und Kritikalität des überwachten Systems sind verschiedene Kombinationen sinnvoll, in denen ein beobachteter Event die Kontrolle des daraus folgenden Systemstatus erforderlich macht oder aber eine Veränderung am Status des Systems ein Betrachten der vorangegangenen Events erfordert. p³FAF bietet die entsprechende Kombination von Status- und Event-Überwachung.