Der Datalake dient als zentrale und flexible Datenquelle und ist somit die Basis des gesamten SIEMs. Als zentrales Repository bringt es alle, durch Agents und Collector Relais, erfassten Rohdaten zusammen und indexiert sowie gruppiert diese und stellt sie anschließend normalisiert dar. Damit schafft der Datalake die Grundlage zur Erkennung von Mustern, Anomalien und Bedrohungen. Durch intelligente Weiterverwendung der Daten können effektiv Sicherheitsvorfälle erkannt, Untersuchungen durchgeführt und Trends analysiert werden.

Mit der Option, Start- und Endzeitpunkte festzulegen, können Sie die zeitliche Erfassung Ihrer Ansicht individuell anpassen. Der darunter liegende Graph bietet Ihnen einen Überblick über die Häufigkeit der erfassten Einträge im definierten Zeitraum.

Das Layout der Logansicht lässt sich mit dem linken Symbol auf der rechten Seite anpassen. Hier können Sie festlegen, wie umfassend die Vorschau der Logs sein soll und ob Feldnamen abgekürzt werden sollen. Durch einen Klick auf das Symbol auf der rechten Seite können Sie problemlos in den Vollbildmodus wechseln, um diesen zu verlassen, genügt ein Druck auf die Escape-Taste.

Filter

Für die sinnvolle Weiterverarbeitung der zahlreichen Daten ist es entscheidend die für einen relevanten Ergebnisse herauszufinden. Für diesen Zweck finden Sie auf der linken Seite ein Dropdown Menü. Die Punkte Generisch, Enginsight, Standard und Event Relais werden standardmäßig in der Plattform angegeben. Alle weiteren Felder sind abhängig von Ihren integrierten Systemen mit Informationen befüllt und werden produktgruppiert aufgelistet. Ganz unten in der Liste lassen sich noch die Filter der eingerichteten Kollektoren finden.

Generische

• Beinhaltet grundlegende Informationen über alle Arten von Logs hinweg. Der Unterschied zu spezifischeren Log-Quellen besteht darin, dass generische Logs weniger kontextspezifisch sind und somit eine breite Palette von Ereignissen abdecken können. Gen-Felder sind einheitliche Schablone, die sich über alle bestehenden Logs legen lassen, gleiche Informationen erkennen (Username, geoip.city, geoip. continent, ...) und standardisieren.

Enginsight

• Beinhaltet alle, durch die Enginsight Komponenten (Defence FIM, IDS und Shield) erfassten Event Logs.

Standard

• Beinhaltet alle, zuvor durch Extraktoren individuell typisierten und zugeordneten Informationen von Logs.

Event Relais

• Der Inhalt steht in Abhängigkeit zur vorherigen Konfiguration der Event Relais und beinhaltet einheitliche RFC-Felder.

Unterhalb der produktspezifischen Reiter lassen sich zusätzlich die Filter der eingerichteten Kollektoren finden.

Weiterhin können Sie durch Klick eines Feldes im Datalake weitere Filter hinzufügen. Wählen Sie unter Operatoren, ob für das ausgewählte Feld in Ihrem Filter: Gleich, Ungleich, existiert oder existiert nicht, zutrifft. Aktivieren Sie bei Bedarf die Volltextsuche oder passen Sie den Wert Ihres Feldes manuell an.

Event Streams

Event Streams sind das Herzstück sowohl des Data Lakes als auch des gesamten SIEMs. Sie dienen als leistungsstarke Datenkanäle, die eine kontinuierliche Sammlung, Aggregation und Analyse von Ereignisdaten aus vielfältigen Quellen ermöglichen.

Event Streams bilden die Grundlage für sämtliche nachfolgende Datenverarbeitungsschritte im SIEM. Mit Event Streams können Sie individuelle Ansichten in Cockpits erstellen und mithilfe von Workflows Ihre Systeme gezielt absichern. Die kontinuierliche Echtzeitüberwachung erlaubt es dem SIEM schnell und zuverlässig Muster zu identifizieren sowie Anomalien aufzudecken und potenzielle Sicherheitsrisiken oder ungewöhnliches Verhalten zu erkennen. Nutzen Sie Event Streams, um effektiv Ereignisdaten aus verschiedenen Quellen zu sammeln, zu korrelieren und zu analysieren und somit Ihre IT zu schützen sowie proaktiv auf Sicherheitsbedrohungen zu reagieren. Egal ob bei Compliance und Reporting Themen, der Echtzeitüberwachung von Benutzeraktivitäten oder bei Incident Response und Forensik. Event Streams unterstützen Sie bei all diesen Punkten und verhelfen Ihnen langfristig zu einer Stärkung Ihrer gesamten IT-Sicherheitsstruktur.

Streams erstellen

Verwenden Sie das Dropdown-Menü für Filter auf der linken Seite, um gesuchte Logeinträge effizient zu filtern und zuverlässig Event-Streams zu erstellen. Bei Klick auf einen Filter, öffnet sich eine detaillierte Ansicht der verfügbaren Variationen. Direkt neben jeder Variablen befindet sich ein Plus-Symbol, das anzeigt, dass die Variable in den Ergebnissen berücksichtigt werden soll, sowie ein Minus-Symbol, welches bedeutet, dass Ergebnisse mit dieser spezifischen Variation ausgeschlossen werden sollen. Fügen Sie Filter hinzu um sich Logs mit bestimmten Informationen ausgeben zu lassen. Kreieren Sie sich bspw. Ansichten zu erfolgreichen SSH-Logins und erstellen Sie anschließend neue Streams. Die Auflistung aller aktuell angewendeten Filter finden Sie oberhalb der Grafik. Setzen Sie alle Filter durch Klick auf "neuen Stream erstellen" zurück, um neue Ansichten zu erstellen. Bereits erstellte oder vordefinierte Streams lassen sich über Stream öffnen erreichen. Aktualisieren Sie Ihren Stream über die zugehörige Schaltfläche oder halten Sie Ihre gesetzten Filter mittels "Stream speichern" fest. Vergeben Sie in diesem Fall einen eindeutigen Namen, um den Stream bei Bedarf später schnell wieder finden zu können.