Erfolgreicher Abschluss des iMonitor-Projekts

Abschlusstreffen des Forschungsprojekts iMonitor fand bei der DECOIT GmbH statt.

Am 06. Juli fand bei der DECOIT GmbH das Abschlusstreffen des Forschungsprojekts iMonitor (www.imonitor-project.de) statt. Sämtliche bis dahin noch offene Arbeiten wurden besprochen und ein Resümee von allen Partnern gezogen. Während alle Arbeiten so gut wie abgeschlossen werden konnten, wurde die Verwertungsstrategie noch länger diskutiert. Diese muss nach Projektende noch feiner zwischen der neusta GmbH und der DECOIT GmbH abgestimmt werden. Auf dem Abschlusstreffen präsentierten noch einmal alle Partner ihre jeweiligen Ergebnisse.

Die DECOIT GmbH zog dabei insbesondere bei der Umsetzung der SIEM-GUI und der SIEM-Sensoren eine positive Bilanz. Während die SIEM-GUI die Vorfälle übersichtlich darstellt und Tickets für bestimmte Handlungsempfehlungen generiert, wurden diverse Sensoren (u.a. Snort, Nmap, OpenVAS) zur Datensammlung entwickelt und mittels NSCA für den Einsatz angepasst. Zusätzlich ist die Android-App, die bereits im ESUKOM-Projekt (www.esukom.de) von der DECOIT GmbH umgesetzt wurde, weiter entwickelt worden. Zur Überwachung von Dateisystemen wurde der Sensor File Integrity Monitor (FIM) implementiert. Dieser vergleicht anhand von Hash-Werten, ob Dateien verändert wurden. Abschließend wurden Monitoring-Tests in der eigenen Firmenumgebung vorgenommen, um Anzahl der Vorfälle und Performance in echter Umgebung abschätzen zu können. Dabei wurden innerhalb von vier Tagen 12 GB Daten gesammelt. Daran ist zu erkennen, wie es um die Skalierbarkeit in größeren Umgebungen bestellt ist.

iMonitor-Abschlusstreffen bei der DECOIT GmbH

Die neusta GmbH war für die Einbettung der Ontologie zuständig, umgesetzt über Web Protegé. Eine SOAP-Schnittstelle für Regel-Updates wurde ebenfalls implementiert sowie eine Möglichkeit der Regelüberprüfung. Innerhalb des Projektes wurde ein Korrelationsmodul entwickelt, das Handlungsempfehlung generiert. Während des Abschlusstreffens präsentierte neusta die Arbeitsweise der Korrelation sowie weitere Möglichkeiten der zeitlichen Korrelation über Makros und dynamisches Einfügen von Wissen in die Ontologie.

Die Universität Bremen (TZI) war für tolerante Mustererkennung und das Hintergrundwissen zuständig. Dazu wurden Langzeitdaten von Icinga (Nagios) verarbeitet und ausgewertet. Mittels einer Zeitreihenanalyse wurde ein Java-Programm zur Anomalie-Erkennung geschrieben und ein String-Matching-Algorithmus zur Verfügung gestellt. Zusätzlich entstanden einige Abschlussarbeiten an der Universität Bremen, die sich auf das Projekt stützten. Ein Ergebnis war, dass eine Big-Data-Analyse für zukünftige Forschungsprojekte notwendig wäre.

Am Ende des Projektes wurde noch ein Demonstrator-Video erstellt, das die Anwendung der entwickelten Tools verdeutlichen soll. Zusätzlich wurde die Verwertung diskutiert. Während die neusta GmbH die selbst entwickelte Korrelation auf jeden Fall für ihr eigenes Monitoring nutzen möchte, um den Kunden einen Mehrwert bieten zu können, wird die DECOIT GmbH die gemachten SIEM-Erfahrungen in ihre Monitoring-Projekte einfließen lassen. Dabei können Teile der Entwicklung mit verwendet werden, zumal alle Software-Pakete auf Open-Source-Lizenzen basieren. Inwieweit sich ein gemeinsames Produkt definieren lässt, muss noch weiter diskutiert werden.

Das iMonitor-Projekt wurde erfolgreich beendet. Auf die Ergebnisse kann gut aufgebaut werden, daher zogen alle Partner ein durchweg positives Resümee.

iMonitor Demonstrator Video