intelligentes IT-Monitoring durch KI-Ereignisverarbeitung (iMonitor)

Ausgangssituation

Dieses Vorhaben zielt auf den in Deutschland unterrepräsentierten Anwendungsbereich Security Information and Event Management (SIEM) ab. Bei SIEM-Systemen handelt es sich um Monitoring-Systeme für verschiedenartige IT-Lösungen, wobei Ereignismeldungen (Alarme) aus verschiedenen Datenquellen (Firewall-Logs, Datenbank-Logs, Intrusion-Detection-Systemen) gesammelt und zusammengeführt werden. Die Menge dieser Datenquellen wird auch als Sensorik bezeichnet. Auf diese Weise können sicherheitsrelevante Informationen zentralisiert den Verantwortlichen aus den Bereichen IT, Informationssicherheit und Management zur Verfügung gestellt werden. Die SIEM-Anwender sollen einen für sie relevanten globalen Überblick über den Sicherheitszustand des Unternehmensnetzes erhalten. Eine wesentliche Aufgabe eines SIEM-Systems besteht in der Korrelation der verschiedenen Ereignisse (aus der Sensorik), um dadurch dem Anwender nur die für ihn relevanten Meldungen präsentieren zu können.

Um sicherheitsrelevante Ereignisse (Events) unterschiedlicher Güte in einem SIEM zusammenzuführen, erbringen sogenannte Kollektoren folgende Leistungen:

  1. Extraktion: Events sind in Rohform meist Einträge in Log-Dateien oder über das Netz versendete Systemmeldungen. Diese Informationen müssen aus den jeweiligen verwendeten Systemen oder Transportprotokollen extrahiert werden, um sie einem SIEM-System zugänglich zu machen.
  2. Homogenisierung/Mapping: Events werden von unterschiedlichen Diensten erzeugt und aus unterschiedlichen Systemen extrahiert. Um eine Weiterverarbeitung in einem SIEM-System zu gewährleisten, müssen die relevanten Inhalte der einzelnen Events miteinander in Bezug gebracht werden können. Dafür sorgt ein entsprechendes "Umsortieren" individueller Datenfelder in speziellen Eventformaten in ein standardisiertes, dem SIEM-System verständliches, Eventformat (z.B. IDMEF nach RFC-4765). 
  3. Aggregation: Große Mengen gleichartiger Events über einen kurzen Zeitraum würden ein zentrales SIEM-System belasten ohne einen signifikanten Mehrwert zu erzeugen. Kollektoren aggregieren daher große Mengen gleichartiger Events über einen kurzen Zeitraum (sog. Bursts) zu einem einzigen Event mit höherer Aussagekraft (z.B. Event-Typ, Inhalt und Menge der ursprünglichen Meldungen).

Die mit der Verbreitung und der Pflege von Kollektoren verbundenen Kosten sind ein weiterer wesentlicher Grund, dass SIEM-Systeme in KMU nicht zum Einsatz kommen. SIEM-Systeme sind bereits heute sehr leistungsfähig, skalierbar auf große Eventströme und verwenden teilweise Verfahren der künstlichen Intelligenz (KI). Diese Entwicklung führt jedoch nicht automatisch dazu, dass SIEM-Systeme für KMU an Attraktivität gewinnen. Um den Einführungs- und Betriebsaufwand für ein KMU auf eine annehmbare Schwelle zu senken, müssen daher einfachere Verfahren kombiniert werden, die entweder bereits von existierenden IT-Systemen, Betriebssystemen, Anwendungen und Netzen bereitgestellt werden oder mit minimalem Aufwand zusätzlich installiert können. Dies möchte iMonitor u.a. leisten.

Die Auswertung von Events wird anhand von Regelsätzen durchgeführt. Die Relevanz der Ergebnisse der Regelauswertung  ist aber abhängig von den Eigenschaften bzw. dem Aufbau des jeweiligen  Unternehmens. Beispiele hierfür sind primäre und sekundäre Geschäftsprozesse, organisatorische Prozesse, die Bedrohungslage oder eingesetzte IT-Assets. Die Operationalisierung übergreifender Strategien aber auch bereits das Ableiten von Regelsätzen aus konkreten Sicherheitsrichtlinien stellt für KMU eine große Herausforderung dar. Maschinenlesbare Sicherheitsrichtlinien sind komplex und deren manuelle Erstellung erfordert spezifisches Expertenwissen, das nur in begrenztem Maße zur Verfügung steht. Ohne ein wirksames Set an Regelsätzen ist ein SIEM-System in seiner Wirkung stark eingeschränkt und erbringt so nicht die den Anschaffungs- und Betriebskosten entsprechende Leistung. Um die Wirksamkeit von Regelsätzen auf die Unternehmensziele hin auszurichten, müssen Verfahren zur Verfügung gestellt werden, die es einem KMU ermöglichen, Regelsätze basierend auf dem Zustand der aktuellen IT-Infrastruktur herzuleiten. Gerade die verständliche Darstellung von formalisierten SOLL-Zuständen ist eine notwendige Grundlage für das Produzieren von Regeln, die Abweichungen im IST-Zustand mit Hilfe eines SIEM-Systems erkennen sollen.