Tripwire Log Center – High Performance Log und Event Management

Tripwire Log Center
Tripwire Log Center

Tripwire VIA

Unternehmen aller Größen müssen ihre IT-Infrastruktur und gespeicherte Daten schützen und darüber hinaus Compliance mit Regularien und Standards sicherstellen. Angesichts steigender Sicherheitsverletzungen wird dies immer wichtiger. Log- Erfassung, -Aufbewahrung und -Berichterstattung sind anerkannter Best-Practice-Standard für Security und die Einhaltung der meisten Sicherheitsrichtlinien. Viele Jahre lang verursachten Log Management-Lösungen jedoch eher „Störgeräusche“, als dass sie wirklich zur Erkennung von Bedrohungen beigetragen hätten. Um diese Störgeräusche zu verringern und Risiken fortan besser zu identifizieren, begannen viele Unternehmen damit, SIEM Lösungen einzusetzen. Diese Lösungen zeichneten sich durch einen zentralisierten Überblick über Bedrohungen aus, schlugen bei verdächtigen Aktivitäten Alarm und ermöglichten es, Berichte zur Sicherheitsforensik oder als Compliance-Nachweis zu erstellen. Unglücklicherweise erwarben Organisationen ihre SIEM-Lösungen ausgehend von dem Versprechen, dass diese ihnen helfen würden, potenzielle Sicherheitsverletzungen zu erkennen. Zu der Zeit waren aber nur wenige in der Lage, ihre SIEM Systeme so zu managen, dass sich die Sicherheit verbesserte. Die Lösungen waren schlichtweg zu komplex. So schafften die Unternehmen es zwar, ihre Compliance-Anforderungen zu erfüllen, taten aber gleichzeitig nur wenig, um die Sicherheit wirklich zu verbessern.
Heute wünschen sich die meisten Organisationen eine Lösung, die den Compliance-Anforderungen gerecht wird und mit der sich die Sicherheit unkompliziert und merklich verbessern lässt. Log- und Security Event-Daten können im Verbund eine erhebliche Optimierung der Sicherheit bedeuten. Geschäftskritische Bedrohungen werden erkannt, bevor ein Schaden entsteht – allerdings nur, wenn die Daten im Kontext eines Geschäftsrisikos analysiert werden. Tripwire Log Center stellt genau diese Funktionen in einer benutzerfreundlichen, flexiblen und erschwinglichen Log Management- und SIEM Lösung bereit. Die Lösung ist binnen Minuten installiert, damit Sie sofort beginnen können, Log-Daten zu erfassen und Ereignisse zu ermitteln, die ein Sicherheitsrisiko darstellen.

Worin unterscheidet sich Tripwire Log Center von anderen Siem Lösungen

Tripwire Log Center unterscheidet sich in vielerlei Hinsicht von anderen SIEMs. Besonders interessant ist dabei wohl dieser Aspekt: Als Tripwire VIA-Lösung hilft Log Center Ihnen, relevante Änderungen und Ereignisse zusammenzubringen, die Auswirkungen auf Ihre Sicherheit und die Einhaltung gesetzlicher Vorschriften haben. Des Weiteren verfügt Log Center aber auch über andere wichtige Funktionen, die die Lösung von anderen SIEMs abheben.

Tripwire Log Center
Tripwire Log Center

Zentralisierte, statusbasierte Störfallerkennung Als Tripwire VIA-Lösung ist Tripwire Log Center mit Tripwire Enterprise kombiniert und sorgt so für eine transparente Darstellung Ihrer Systemkonfigurationen, auch im Hinblick auf deren Sicherheit und Compliance-Status. Log- und Security Event Management von Tripwire Log Center wird mit File Integrity Monitoring und Compliance Policy Management von Tripwire Enterprise kombiniert. Auf diese Weise sehen Sie die Beziehungenzwischen den Log-Aktivitäten und Änderungen am System. Mit diesem verbesserten Sicherheitskontext im Hinblick auf relevante Ereignisse und Veränderungen können Sie Risiken besser erkennen und dementsprechend Ihre Sicherheitsmaßnahmen ausrichten.

Vereinfachte Sicherheitsintelligenz Mit Tripwire Log Center erhalten Sie unternehmenswichtige Security Intelligence. Mit der auf Standards basierenden Klassifizierung von Protokollaktivitäten werden einfache, plattform- und geräteübergreifende Suchläufe möglich, die umfassendere und präzisere Ergebnisse ermöglichen. Diese Ergebnisse können Sie als forensische Nachweise oder in Compliance-Berichten einsetzen. Die einfach handzuhabende und nichtsdestotrotz umfangreiche Ereigniskorrelation, Dashboards und die Trendanalyse bieten Ihnen einen schnellen, allgemeinen Überblick über den Zustand Ihrer Sicherheit. Überdies erhalten Sie ganz einfach Zugriff auf ältere forensische Daten, da „aktive Daten“ nicht mehr von „archivierten Daten“ getrennt sind. So wird das Management von Aktivitätsprotokollen einfacher und kostengünstiger, verglichen mit dem zweistufigen Datenschema, das in anderen Log Management-Lösungen zum Einsatz kommt.

All-In-One-Lösung Bei den meisten SIEM-Produkten sind Sie gezwungen, zwischen starkem Log Management und starkem Event Management zu wählen, da diese Funktionen in der Regel durch separate Produkte oder Geräte bereitgestellt werden. Tripwire Log Center wurde von Anfang an so konzipiert, dass Log- und Event Management in einer einzigen, integrierten Softwarelösung vereint sind, die einfach zu nutzen und einzusetzen ist.

Einfache Einbindung in bestehende Arbeitsabläufe Viele Unternehmen nutzen zusätzliche Systeme für Echtzeit-Alarme über verdächtige Ereignisse. So setzen sie möglicherweise eine SIEM-Lösung im Security Operations Center (SOC) ein oder verlassen sich auf ein gehostetes SIEM. Diese Systeme halten oft nur einen Teil der gesammelten Log- Daten nach, und das auch oft nur so lange, wie diese gebraucht werden. Aus diesem Grund müssen die für Compliance und Betrieb zuständigen Abteilungen häufig eine Log Management-Lösung einsetzen, die als zuverlässige Hauptsammelstelle für alle Logs dient. Tripwire Log Center kann unbearbeitete Log-Daten und Ereignisse zur weiterführenden Analyse und Ermittlung an andere Systeme weitergeben. Auf diese Weise können die für Compliance und Betrieb verantwortlichen Abteilungen unabhängig Log-Daten sammeln und analysieren und gleichzeitig Logs an das unternehmensweite SIEM- oder CRC-Tool senden.

Flexibilität für mehr Komfort und Einsparungen Tripwire Log Center bietet seine effizienten Log Management- Funktionalitäten in Form einer Software-basierten Lösung, die Sie Ihrer eigenen, kostengünstigen Hardware bereitstellen können, ganz im Einklang mit den in Ihrem Unternehmen geltenden Standards. Da Tripwire Log Center modular aufgebaut ist, können Sie genau die Funktionen einsetzen, die Sie brauchen. Mit diesem Ansatz wird sichergestellt, dass Sie nur für die benötigte Kapazität bezahlen statt Spezialanwendungen in verschiedenen Kapazitätsschritten zu kaufen, die Ihre Anforderungen übersteigen oder verfehlen.

Welche Einsatzmöglichkeiten bietet Tripwire Log Center

Unternehmen nutzen Tripwire Log Center auf ganz verschiedene Arten. Zu den gängigsten Nutzungsszenarios zählen die Erkennung von Vorfällen oder Bedrohungen, die Erzeugung von Nachweisen für Sicherheits- und Compliance-Zwecke oder die Ausweitung des Risikound Systemstatus-Kontexts durch Integration in Tripwire Enterprise.

TripwireLodCenterEreignisse

Erkennung von Störfällen und Bedrohungen
Als vollwertiges SIEM unterstützt Tripwire Log Center die Störfall- und Bedrohungserkennung in diversen Hauptbereichen. Die Lösung gestattet Ihnen eine einfache Einrichtung fortschrittlicher Korrelationsregeln per Drag-and-drop, mit denen sich verdächtige Aktivitäten in Echtzeit erkennen und melden lassen. Darüber hinaus werden Ihnen in flexiblen, benutzerdefinierbaren Dashboards die benötigten Sicherheitsinformationen in der erforderlichen Detailstufe dargestellt. Verwenden Sie diese Dashboards, um Vorfälle mit einer intelligenten Datenvisualisierung und Trendanalyse zu ermitteln. Des Weiteren können Sie ganz einfach plattform- und geräteübergreifend Suchläufe starten und so akkurate und umfassende Ergebnisse mit einer standardbasierten Klassifizierung von Protokollnachrichten erhalten.
Mit Tripwire Log Center erhalten Sie schneller und leichter einen Überblick über die Ereignisse, die die größte Bedrohung für Ihr Unternehmen darstellen.

Erstellen von Sicherheits- und Compliance-Nachweisen 
Tripwire Log Center bietet alle Funktionen, die zur Erfüllung der Anforderungen der meisten gesetzlichen Vorschriften und Branchenstandards an die Log Compliance erforderlich sind, darunter der Payment Card Industry Data Security Standard (PCI DSS). Die Lösung aggregiert und archiviert alle Log-Quellen – von Netzwerkgeräten über Servern hin zu Betriebssystemen, Anwendungen und mehr. Tripwire Log Center bietet außerdem einen effizienten Zugriff auf unbearbeitete Log-Daten für Ihre eigenen sicherheitsforensischen Ermittlungen. Diese Daten lassen sich zusätzlich mit anderen SIEMs und GRC-Tools teilen. So können auf der einen Seite Anforderungen an die Log Compliance besser erfüllt werden, und die Systeme erkennen Vorfälle gleichzeitig besser, indem „falsche Treffer“ beseitigt werden. Mit einer standardbasierten Ereignisklassifizierung können Sie einfacher komplexe und präzise Berichte erstellen, denen plattformund geräteübergreifende Abfragen zugrunde liegen. Die effiziente und manipulationssichere Datenspeicherung sichert zusätzlich die Integrität Ihrer Daten für forensische Ermittlungen ab.

Mehr Risikokontext für Ereignisse dank integration in Tripwire Enterprise
Tripwire Log Center hilft Ihnen, die „Störgeräusche“ zu reduzieren, die angesichts der gewaltigen Mengen tagtäglich in Unternehmen anfallender Protokollaktivitäten und -ereignisse auftreten. Als Tripwire VIA-Lösung ermöglicht Log Center, relevante Ereignisse mit von Tripwire Enterprise ermittelten verdächtigen Änderungen zu korrelieren – der goldene Standard für veränderte Daten. Tripwire Log Center leitet Log- und Ereignisdaten, die von zusätzlichen Security Controls zusammengetragen wurden, an weitere SIEMs oder CRC Lösungen weiter und verbessert damit weiter die Erkennung und Einstufung von Sicherheitsrisiken. So kann die Lösung beispielsweise Ereignisse aus Kontrollen wie Intrusion Detection-Systemen (IDS), File Integrity Monitoring-Lösungen (FIM) und Security Configuration Management-Lösungen (SCM) weitergeben.

Tripwire Log Center Dashboards und Trendanalysen
Tripwire Log Center Dashboards und Trendanalysen

Komponenten von Tripwire Log Center

Die Hauptfunktionen von Tripwire Log Center werden durch den Tripwire Log Center Manager bereitgestellt.
Diese Funktionalitäten beinhalten Log Management, Event Management und Log Concentration.

Log Management
Tripwire Log Center ist eine umfassende Log Compliance- Lösung, mit der Log-Daten aus zahllosen IT-Infrastrukturgeräten erfasst, aufbewahrt und in Berichten zusammengestellt werden. Bei der Erfassung von Log-Daten werden diese komprimiert und verschlüsselt. Außerdem wird eine Prüfsumme auf die Daten angewendet, um die Integrität der Daten sicherzustellen, bevor diese als Flat-Datei gespeichert werden. Mit seiner schnellen Indizierung und standardbasierter Ereignisklassifizierung bietet jeder Manager die Fähigkeit, komplexe Abfragen einfach und akkurat durchzuführen und umfassende, plattformübergreifende Berichte für Compliance-Reports und für forensische Analysen bereitzustellen. Jeder Manager verfügt darüber hinaus über konditionale Alarmfunktionen in Echtzeit, sodass Sie unverzüglich über verdächtige Aktivitäten informiert werden. Sie greifen auf alle Funktionen eines Tripwire Log Center Managers über die Log Center Console zu.

Event Management
Da es sich bei Tripwire Log Center um eine All-in-One-Lösung für Log Management und SIEM handelt, greifen Sie über die Log Center Console auf die Event Management- Funktionalitäten zu. Das bedeutet, dass Sicherheitsanalysten über ein einziges Management Interface ihre Suchläufe in archivierten Protokollen durchführen und auf einen Dashboard-Alarm reagieren können. Die Event Management-Funktionen von Tripwire Log Center umfassen eine Ereignisdatenbank, in der Alarmmeldungen, relevante Ereignisse und Schwachstellendaten gespeichert sind, und die die Korrelation dieser Quellen ermöglicht. Zusätzlich werden über das Sicherheits- Dashboard Ansichten aktueller Sicherheitsereignisse nahezu in Echtzeit angezeigt und detaillierte forensische Analysen dieser Informationen unterstützt. Der Tripwire Log Center Manager verfügt außerdem über ein Ticketing-System für Sicherheitsereignisse, mit dem Sie die Reaktion auf solche Ereignisse priorisieren können.

Sekundärer Log Center Manager
Gelegentlich möchten Sie vielleicht Log-Daten von entfernten Standorten sammeln, speichern und weiterleiten, oder die Verarbeitung auf mehrere Systeme verteilen, wenn Sie Standorte mit hohen Datenvolumina haben. In beiden Fällen können Sie sekundäre Manager als Log-Aggregatoren einsetzen. In dieser Rolle komprimieren und verschlüsseln die sekundären Manager die Log-Daten für eine hocheffiziente und sichere Übertragung. Sie können Daten sofort in den zentralen, primären Manager hochladen oder den Upload für Zeiten geringer Netzwerkauslastung planen. Bei der Verwendung von Log- Aggregatoren erhalten Sie dieselbe konditionale Echtzeit-Alarmfunktion, die ein zentralisierter Primärmanager bietet. Außerdem können Sie den Strom der Log-Daten nach relevanten Ereignissen filtern und diese Ereignisse sofort in die Ereignisdatenbank übertragen, auch wenn der mit der Protokollkonzentration beschäftigte Manager die komprimierten Log-Daten zur späteren Übertragung zurückhält.

TripwireLogAufbau