URL: http://www.funkschau.de/datacenter/produkte/article/92322/0/Gefaehrlichen_Ereignissen_auf_der_Spur/
Einzeltest: GFI EventsManager 2012
Gefährlichen Ereignissen auf der Spur
GFI EventsManager 2012 - Ein fähiges Produkt, das so ziemlich alle Anforderungen erfüllt, die Sicherheitsprofis an ein Security-Information-and-Event-Management-Produkt stellen.
Anzeige
Tagtäglich fallen in einem Netzwerk viele Systemmeldungen an. Einen großen Teil davon kann man getrost ignorieren, aber viele dieser Meldungen sollten eine sofortige Reaktion auslösen und einige müssen auf Grund von Compliance-Vorgaben protokolliert und vorgehalten werden. Erforderlich ist also ein Produkt, das einerseits Echtzeit-Überwachung leistet und andererseits ein starkes Reporting bietet, dabei aber die Spreu vom Weizen trennt. Produkte, die so etwas leisten, firmieren unter dem außerhalb der Sicherheitsbranche weniger bekannten Kürzel SIEM. SIEM steht für „Security Information and Event Management“ und beschreibt damit ziemlich gut, um was es bei SIEM-Produkten geht: Die Überwachung, Auswertung und Archivierung von verdächtigen Ereignissen im Netzwerk. Auch GFI Software ist außerhalb der Sicherheitsbranche nicht wirklich gut bekannt, zumindest nicht als Hersteller eines hochkarätigen SIEM-Produkts. Und doch liefert GFI mit ihrem GFI-Eventsmanager 2012 genau so ein Produkt.
Obwohl der Name eher an Großereignisse wie „Rock am Ring“ denken lässt, kümmert sich GFI-Eventsmanager um Ereignisse, die nahezu jedes beliebige Gerät in einem typischen Unternehmensnetzwerk auslösen kann. Diese Geräte sind beispielsweise Server, Appliances, Desktops, Firewalls, Router und Telefonsysteme, oder einfach jedes Gerät, das in der Lage ist, Syslog-, W3C- und Windows-Ereignisse, SQL-Server- und Oracle-Audits oder SNMP-Traps zu generieren. Hervorzuheben ist, dass GFI-Eventsmanager zur Sammlung der Daten auf Windows-Systemen keine zusätzliche Software, also Agenten benötigt. Bei vergleichbaren Produkten erschwert zusätzlich zu verteilende Software oft die Bereitstellung und Pflege. GFI nutzt einfach native Windows-Ereignisse. Nicht zuletzt deshalb ist das Setup von GFI-Eventsmanager einfach. Wie üblich führt ein Assistent durch die Installation. Nur wenige Eingaben sind erforderlich, dann startet das Programm erstmals und präsentiert zunächst ein Fester, in dem der Benutzer den lokalen Computer untersuchen lassen oder eine automatische Entdeckung der Geräte im Netzwerk durchführen kann.
Im Zusammenhang mit dem Zugriff auf native Windows-Ereignisse ist erwähnenswert, das GFI-Eventsmanager diese Ereignisse nicht nur einfach übernimmt, protokolliert, auswertet und anzeigt. Vielmehr übersetzt das Produkt die oftmals unverständlichen und schwer zu analysierenden Einträge in eine verständliche, präzise Form und liefert Empfehlungen zum weiteren Vorgehen. Mit einem Klick lassen sich außerdem zusätzliche Informationen aus der Event-ID-Datenbank (www.event-id.net) abrufen. Für darin noch nicht verzeichnete Ereignisse bietet der Service eine Analyse durch Consultants an. Dafür sind allerdings einige zusätzliche Informationen über das jeweilige Ereignis zu übermitteln.
Natürlich empfiehlt es sich, GFI-Eventsmanager auf einem Windows-Server (2003 oder 2008) zu installieren, aber das Produkt begnügt sich bereits mit Windows-XP, Vista oder Windows-7. Das System benötigt .Net-Framework 2.0, Microsoft-Data-Access-Components (MDAC) ab 2.8 sowie Zugriff auf SQL-Server 2005 (jede Edition) oder neuere Versionen.Wir führten GFI-Eventsmanager problemlose unter anderem auf einer Windows-7-Maschine aus. Einsetzen lässt sich das Produkt auch in virtuellen Umgebungen, es unterstützt Vmware und Microsoft-Virtual-Server sowie Hyper-V. Die von GFI-Eventsmanager zusammengetragenen Daten sind solide und die Log- und Managementfähigkeiten des Produkts lassen kaum zu wünschen übrig. Durchaus beeindruckend ist die Menge der verfügbaren Filter, Klassifikationen und Trigger. Ein souveräner Umgang damit erfordert natürlich eine gewisse Einarbeitung, die aber keinesfalls intensiver sein muss, als bei vergleichbaren Produkten. „Out of the box“ liefert das Programm zwar schon viele brauchbare Informationen, aber das ist natürlich nur als Ausgangspunkt zu betrachten.
Den Einstieg in GFI-Eventsmanager wiederum erleichtert die grafische Benutzerschnittstelle des Systems. Sie ist sowohl einfach und beinah intuitiv zu bedienen also auch mit Features und Informationen geladen. Besonders hervorzuheben sind die vielen grafischen Darstellungen von Zuständen und Ereignissen, die sich nicht - wie so oft - auf einfache Balken- und Koordinatendiagramme beschränken. Sie sind hoch anpassbar und umfassen neben den erwähnten Darstellungen als Linien und Balken viele weitere 2D- und 3D-Typen. Der Benutzer wählt einfach den Typ, der ihm am übersichtlichsten erscheint. In der GUI laufen alle Informationen zusammen und werden hier korreliert beziehungsweise so dargestellt, dass Verknüpfungen, beispielsweise zwischen Ereignis und Gerät, gut erkennbar sind.
Selbstverständlich macht GFI-Eventsmanager den Benutzer durch unterschiedliche Farben auf die Wichtigkeit von Ereignissen und Alerts unmissverständlich aufmerksam. Und natürlich - und das dürfte eines der wichtigsten Features sein - können Administratoren selbst kritische Ereignisse definieren und sich automatisch beim Eintreten dieser Ereignisse benachrichtigen lassen, beispielsweise per E-Mail, SMS oder SNMP. Möglich ist auch die automatische Ausführung einer Datei beziehungsweise eines Scripts, das möglicherweise in der Lage ist, das zugrunde liegende Problem zu beheben.
Administratoren, denen regelmäßige Berichte ebenso wichtig sind, wie Echtzeitinformationen, werden GFI-Eventsmanager ebenfalls schätzen. Das Produkt kommt mit einer exzellenten Berichts-Engine und einer Tonne vorgefertigter Reports, darunter eine Menge Compliance-Berichte, beispielsweise zu SOX und PCI-DSS. Selbstverständlich können Nutzer die Reports an eigene Bedürfnisse anpassen und neue Reports erzeugen. Ja nach Art und Umfang des gewünschten Reports kann die Generierung schon mal eine Weile dauern, aber dafür entschädigen die Resultate im HTML- und/oder PDF-Format. Zur Einhaltung von Datenschutzvorschriften anonymisiert GFI-Eventsmanager auf Wunsch personenbezogene Daten in Protokollen und berichten. Dies betrifft Benutzernamen und Computerinformationen, anhand derer sich Anwender identifizieren ließen. Diese Anonymisierung umfasst alle Windows-Sicherheitsereignisse sowie Oracle- und SQL-Server-Audit-Ereignisse. Dies ist vielleicht nur ein kleines und für viele Organisationen unwichtiges Detail, das aber gut demonstriert, mit wie viel Feingefühl GFI dieses Produkt entwickelt hat.
GFI-Eventsmanager arbeitet perfekt mit einer Reihe zusätzlicher Produkte zusammen und lässt sich funktionell durch Dritt-anbieter-Produkte erweitern. Zum Beispiel lassen sich einfach Meldungen aus GFI-Languard und GFI-Endpoint-Security integrieren, um einen Überblick über den Sicherheitsstatus des Netzwerks zu erhalten und Compliance-Berichte zu generieren. Oracle-Server (Oracle 9i, 10g und 11g) und Microsoft-SQL-Server (2000, 2005, 2008, MSDE und Express) unterstützt GFI-Eventsmanager unmittelbar, nicht jedoch Microsoft-Sharepoint. Sharepoint-Ereignisse protokolliert das Produkt aber über einen Umweg mit Hilfe des Drittanbieter-Tools Logbinder-SP. Logbinder-SP wird auf dem Sharepoint-Server installiert und konvertiert native Sharepoint-Meldungen in Windows-Ereignisse. Und diese Windows-Ereingnisse nutzt wiederum GFI-Eventsmanager. Mit einem Dritthersteller-Tool ist GFI-Eventsmanager auch in der Lage, Protokolle der „IBM-iSeries“ (AS/400) zu verarbeiten.
Die Lizenzierung von GFI-Eventsmanager erfolgt pro Knoten, wobei als Knoten jedes Gerät zählt, das ein Protokoll führt. Der günstigste Preis pro Knoten beträgt 108 Euro, er gilt bei Abnahme von 250 bis 499 Lizenzen. Jeder zusätzliche Knoten kostet in diesem Fall 100 Euro. Bei 1 bis 9 Knoten sind 279 Euro pro Knoten sowie 256 Euro für jeden zusätzlichen Knoten fällig.
GFI-Eventsmanager ist ein sehr fähiges Produkt für so ziemlich jede SIEM-Anforderung. Es verlangt nicht mehr als die übliche Einarbeitung, ist einfach einzurichten und zu benutzen und kommt mit einer guten grafischen Benutzerschnittstelle und umfangreichem Reporting. Es bietet keine explizite Thread-Correlation und ist vielleicht ein wenig zu Windows-lastig, aber viel mehr gibt es nicht, was gegen dieses Produkt sprechen könnte.
Steckbrief:
GFI EventsManager 2012
Hersteller: GFI Software
Charakteristik: SIEM-Software
Preis: ab 108 Euro pro Knoten (bei 250 bis 499 Knoten)
Web: www.gfisoftware.de
Plusminus:
+ Einfache Einrichtung und Nutzung
+ Keine Windows-Agenten
+ Gutes Reporting
Wertung: 5 von 5