Im zweiten Artikel der Reihe zum Log Management mit dem Elastic Stack geht es um das Anschließen weiterer Datenquellen. Bisher haben wir mithilfe des Winlogbeat ein Windows-System überwacht und an ein zentrales Log Management angeschlossen. Nun sollen weitere Systeme folgen.
Dieser Artikel ist der erste in einer Reihe zum Thema Log-Management mit dem Elastic Stack. Der Elastic Stack ist eine Reihe von Open Source-Software-Produkten rund um die zentralisierte Speicherung, Auswertung und Visualisierung von Logs. Diese helfen dabei, den Status der eigenen Infrastruktur im Blick zu behalten, wie zum Beispiel das Active Directory oder die DHCP Logs und bieten eine zentrale Anlaufstelle zur Fehlersuche und machen auf Auffälligkeiten aufmerksam. Die Software steht in ihrer (sehr umfassenden) Grundversion kostenfrei zur Verfügung.
Continue reading „Der Elastic Stack in der Praxis, Teil 1: Windows-Logs zentralisieren“
Nach einem arbeitsreichen Jahr 2017 freuen wir uns vermelden zu können, dass wir eine weitere Bachelorarbeit an der Hochschule Bonn Rhein-Sieg erfolgreich begleiten konnten. Till Schlüter, der bei der Dahamoo GmbH bereits im Frühjahr 2017 sein Pflichtpraktikum absolvierte, hatte sich dabei ein Thema aus dem Bereich Log Management, und wie man es zum Nachweis von Sicherheitsprozessen einsetzen kann, gewählt.
Herr Schlüter: „Der Ausgangspunkt meiner Arbeit ist die Fragestellung, wie sich die meist recht abstrakten Metriken des COBIT-Frameworks in den technischen und systemnahen Daten, die in Form von Log-Dateien anfallen, widerspiegeln und ob auf dieser Basis eine automatisierte Bewertung der Prozess-Performance möglich ist.“
Für die technische Evaluierung der Ergebnisse aus Kundensicht stand freundlicherweise das Klinikum Leverkusen zur Verfügung. Dieses verfügt über eine moderne Log-Management Infrastruktur basierend auf dem sogenannten ELK-Stack und sein Leiter der IT, Herr Jens Schulze, war sehr an den Ergebnissen interessiert. Herr Schulze: „Seit wir wissen, dass wir als Klinikum unter das IT-Sicherheitsgesetz fallen, hat sich die Bedeutung der IT-Sicherheit nochmals erhöht. Insbesondere zur Erkennung von Anomalien und der Erfüllung der gesetzlichen Nachweispflichten ist ein modernes Log-Management erforderlich.“ Continue reading „Erfolgreiche Bachelorarbeit zu den Themen Log Management, ELK, COBIT 5 und Metriken im Krankenhaus“
In der heutigen Zeit sind Informationen mit das Wichtigste. Jeder holt sich neue Informationen aus dem Web oder aus Zeitschriften. Wir werden förmlich mit Informationen überflutet. Dabei ist es wichtig die wichtigen Elemente herauszufiltern um nicht darin unterzugehen. Am besten sind Plattformen, welche alle Informationen zentralisieren und damit den User erlauben die für ihn wichtigen Informationen zu filtern. Warum nicht auch im eigenen Unternehmen? Continue reading „Der Schatz im eigenen Unternehmen“
Wer scho
n etwas länger dabei ist, mag sich an die 90er erinnern. Wenn man seinerzeit das Logging einschaltete, waren die Platten in Kürze gefüllt, mit der Folge, dass man es umgehend wieder ausschaltete 😉
Zehn Jahre später, in 00ern, war der Speicherplatz vorhanden, doch brauchbare Tools zur Auswertung fehlten gänzlich. Wer wollte schon Millionen von Events „zu Fuß“ auswerten?
Nochmal zehn Jahre später sind die Auswertetools wie ElasticSearch oder Splunk endgültig in der Breite verfügbar, Big Data sei Dank!
Folglich können die lange gehegten Wünsche eines Leiters IT-Sicherheit heute in Erfüllung gehen, als da sind:
Was in der Medizin unvorstellbar erscheint – eine Behandlung ohne Untersuchung – ist in der Krankenhaus-IT scheinbar gelebte Praxis. Denn viel zu häufig werden Logdateien zwar erfasst, aber nicht systematisch zur „Untersuchung“ ausgewertet. Im Ergebnis steht ein ziemlicher Blindflug – Sicherheitsverletzungen, Datendiebstähle, Einbrüche und andere Vorälle bleiben unentdeckt; deren „Behandlung“ eher dem Zufall überlassen.
Dies ist umso dramatischer, da restriktive IT-Sicherheits-Maßnahmen in der Regel nur sehr begrenzt möglich. Denn wer möchte schon die Gesundheit eines Patienten durch zu eingeschränkt konfigurierte IT-Systeme aufs Spiel setzen. Continue reading „Big Data macht‘s möglich: Klinikweite Logfile-Auswertungen mit „ELK““
Warum ist die Protokollierung bei der Klink-IT so entscheidend?
Da es im Umfeld einer Klinik immer wieder zu Notfall-Situationen kommt, und die Behandlung des Patienten absoluten Vorrang genießt, sind restriktive IT-Sicherheits-Maßnahmen nur sehr begrenzt möglich. Denn wer möchte schon die Gesundheit eines Patienten durch zu eingeschränkt konfigurierte IT-Systeme aufs Spiel setzen.
Umso wichtiger ist folglich die Protokollierung von Vorgängen (Events), da sie zumindest nachträglich Missbrauch aufdecken decken können.
Leider ist es in den vergangen Jahren aber so gewesen, dass Logfiles mit dem Hinweis auf begrenzten Speicherplatz oft gar nicht erzeugt wurden bzw. wegen des schieren Umfangs niemals analysiert wurden. Im besten Fall wurden die Logs an zentraler Stelle erfasst und archiviert, allerdings nicht analysiert, schon gar nicht in Echtzeit visualisiert.
Folglich bedarf es neuer Lösungen, die klinikweit Protokolldaten erfassen, Datenschutz konform aufbereiten, zusammenführen, analysieren, korrelieren und die Ergebnisse in Echtzeit visualisieren können. Selbstverständlich sollen die Kosten für eine solche Lösung überschaubar bleiben.
Vor diesem Hintergrund wurde die Bachelorarbeit von Herrn Leek mit dem Thema „Implementierung eines Open Source Analyse- und Visualisierungssystems für domänenspezifische Protokolldateien“ erstellt. Continue reading „Bachelorarbeit implementiert Open Source Protokollierung für Klinik“
Jeder der sich schon mal mit Logfiles auseinander setzen musste, weiß wie unübersichtlich ein nicht optimiertes Logfile ist. Anfangs versuchen motivierte Menschen noch ab und zu hinzuschauen um „ihr Gewissen zu erleichtern“, doch bei mehreren Hunderttausend oder gar Millionen Zeilen pro Tag vergeht einem schnell die Lust. Danach wird nur noch nach den Logfiles geschaut sobald der Speicher droht voll zu werden. Continue reading „Logging – Aus den Augen aus dem Sinn“
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) vermeldete am 21.1.2014: „Bei der Analyse von Botnetzen wurden 16 Millionen gestohlene digitale Identitäten entdeckt“. Obwohl in erster Linie unvorsichtige Verbraucher betroffen gewesen sein dürften, zeigt der Fall eine gefährliche Schutzlücke auf, die in der Praxis häufig übersehen wird, die wir hier näher erläutern möchten. Continue reading „Angriffe von Außen UND Innen erkennen“
