Security Event Manager (SEM), das SolarWinds SIEM, ist ab sofort im Kundenportal und auf solarwinds.com in Version 2019.4 verfügbar. Die Release Notes finden sich hier und die Schritte zum Upgrade einer bestehenden SEM-Appliance hier. Die SEM-Online-Demo wurde ebenfalls aktualisiert und kann von hier aus aufgerufen werden, und das Dashboard kann man in Aktion in diesem Video sehen.
Zuerst fällt wahrscheinlich unser neues Versionsformat ins Auge. Neue Releases für SEM werden nun im Quartal des Jahres verwendet, wobei ein ähnlicher Ansatz wie bei den Produktmodulen der Orion-Plattform verfolgt wird. SEM-Versionen werden das vierstellige Jahr sein, in dem sie veröffentlicht wurden, gefolgt vom Quartal der Veröffentlichung. Wenn zwischen den Hauptreleases eine Servicefreigabe vorliegt, erscheint diese an dritter Stelle nach dem Quartal, z.B. 2019.4.1.
Also, was ist in dieser SEM-Version enthalten? Diese Version konzentriert sich hauptsächlich auf unsere Migration von Flash, wobei unserer HTML5-Oberfläche neue Funktionen hinzugefügt wurden, darunter Dashboards, benutzerdefinierte Gruppen und E-Mail-Vorlagen.
DASHBOARD
Das Sprichwort sagt, ein Bild sagt mehr als tausend Worte - was besonders bei den Protokolldaten gilt. Die Ereignisseite in SEM ermöglicht es, mit Protokollen über Filter und Schlüsselwortsuche zu interagieren, aber es kann schwierig sein, ungewöhnliche Aktivitäten oder verdächtige Trends zu erkennen. An dieser Stelle kommt das Dashboard ins Spiel - die Möglichkeit, Tausende von Protokollen zu visualisieren und sich ein Bild davon zu machen, was im Netzwerk passiert, kann bei der Erkennung von Bedrohungen sehr hilfreich sein. Wir haben mehrere Out-of-the-Box-Diagramme hinzugefügt, die auf einigen der häufigsten Anwendungsfälle basieren, die wir von unseren Kunden erhalten, darunter Change Management, Authentifizierung und Netzwerkverkehrs-Widgets.
Benutzerdefinierte Widgets können auf jedem Event-Filter basieren, und die Diagrammoptionen umfassen Balken, Kuchen und Donut sowie Liniendiagramme für Zeitreihendaten. Das Einlesen der Protokolldaten hinter jedem Diagramm ist bei der Analyse potenzieller Bedrohungen von entscheidender Bedeutung.
Ein Klick auf das Segment eines Diagramms wird die darunterliegenden Protokolldaten anzeigen. Hier ist ein Einblick, wie unser neues Dashboard aussieht:
BENUTZERDEFINIERTE GRUPPEN
Es ist nun möglich, diese Gruppen über die HTML5-Schnittstelle erstellen und verwalten. Benutzerdefinierte Gruppen enthalten Daten, die spezifisch für Ihre Umgebung sind, wie Benutzer- und Computernamen, sensible Dateien, zugelassene USB-Geräte usw. Diese Gruppen können auch als Whitelists und Blacklists für die Verwendung in Korrelationsregeln und Filtern fungieren, z.B. um über den versuchten Zugriff auf eine URL zu informieren, die auf einer Blacklist sitzen. Die Gruppen können manuell erstellt oder über eine CSV-Datei importiert werden, ebenso wird der Export von Gruppenelemente zu CSV unterstützt.
Um sicherzustellen, dass unsere Out-of-the-Box-Inhalte für eine sich ständig verändernde Bedrohungslandschaft relevant bleiben, haben wir mehrere unserer vordefinierten Gruppen aktualisiert, darunter SQL Injection/XSS-Vektoren, Anonymisierungs-Websites und Remote-Desktop-Websites.
E-MAIL-VORLAGEN
Als Teil des Releases SEM 6.7 haben wir die Möglichkeit eingeführt, Korrelationsregeln über die neue Oberfläche zu verwalten, einschließlich der Möglichkeit, eine E-Mail-Vorlage für die Benachrichtigung auszuwählen. Die Erstellung und Anpassung dieser E-Mail-Vorlagen befand sich jedoch weiterhin in der Flash-Konsole. SEM 2019.4 bietet die Möglichkeit, diese E-Mail-Vorlagen innerhalb der neuen Oberfläche zu erstellen und anzupassen. Diese E-Mails sind wertvoll, wenn es darum geht, Kontext zu E-Mail-Warnungen hinzuzufügen und Informationen aus Protokolldaten in diese Warnungen aufzunehmen.
FILTER -> REGELN
Ein Netzwerk erzeugt Hunderte, wenn nicht sogar Tausende von Ereignissen pro Sekunde, und es ist eine Herausforderung, relevante Protokolle aus dieser Flut von Protokolldaten zu identifizieren. Hier kommen Filter ins Spiel. Es sind bereits viele sinnvolle, vordefinierte Filter vorhanden, die jederzeit um benutzerdefinierte Filter erweitert werden können, um bestimmte Protokolle zu optimieren. Aber was ist, wenn eine Korrelationsregel benötigt wird, die auch Reaktionen zu Ereignissen einleitet? Bisher mussten sowohl Filter als auch eine entsprechende Korrelationsregel manuell angelegt werden. Wir haben diesen Prozess vereinfacht und ermöglichen nun SEM-Filter zur Regelerstellung senden, um schnell neue Korrelationsregeln basierend auf einem Filter zu erstellen.
Weitere Informationen zu SEM gibt es im Produktforum, wo auch Feedback, gerade zur neuen Benutzeroberfläche, gerne gesehen wird.
Viel Spass mit der neuen Version!