(openPR) München, 21. September 2011. BalaBit IT Security, ein führender Anbieter von Lösungen für die Überwachung von Zugriffen privilegierter IT-Nutzer, Logging-Lösungen und Gateways, hat die ersten Resultate der Zusammenarbeit mit dem Common Event Expression Board (CEE) bekannt gegeben. Das CEE™ Board ist ein Beratungsgremium, das zusammen mit Herstellern von Logging-Tools und Betriebssystemen sowie der amerikanischen Regierung CEE-Log-Standards erarbeitet. BalaBit unterstützt diese Aktivitäten mit seiner Pattern-Datenbank (patternDB) und der syslog-ng-Nutzergruppe, der weltweit 650.000 Unternehmen angehören.
Die Standardisierung im Bereich Logging unterstützt Systemadministratoren dabei, IT-Systeme zu verwalten und die Fortführung der Geschäftstätigkeit von Unternehmen sicherzustellen. Außerdem hilft die Log-Standardisierung, aussagekräftige Berichte für die Geschäftsführung und für Auditoren zu erstellen. Derzeit ist Version 0.6 der CEE-Log-Standardspezifikationen verfügbar (http://cee.mitre.org/repository/schemas.html#spec). Sie enthält ein aktuelles Verzeichnis (Dictionary) und ein Klassifikationsschema, zudem Empfehlungen für das Erstellen von Logs, eine Syntax und Informationen über Komponenten für die Übermittlung von Log-Informationen.
BalaBit spielte beim Erarbeiten der Common-Log-Transport-Spezifikation eine aktive Rolle, um den Austausch von Event-Log-Informationen zwischen unterschiedlichen Systemen mithilfe des syslog-Protokolls zu vereinfachen. Zudem beteiligt sich BalaBit aktiv an den Diskussionen über ein Dictionary und eine Taxonomie. Diese haben das Ziel, Standardfelder und Tags zu definieren, die in Event-Records Verwendung finden.
BalaBit IT Security hat auf Basis seiner zehnjährigen Erfahrung im Bereich Logging eine Engine für syslog-ng entwickelt, die bestimmte Muster in Logs erkennt. Die Engine nutzt eine Pattern-Datenbank (patternDB), die Log-Informationen in Events übersetzt und diesen Ereignissen standardisierte Felder und Tags zuordnet. BalaBit stellte die patternDB der Open-Source-Gemeinde zur Verfügung, weil weltweit mehr als 650.000 Unternehmen und Organisationen die Open-Source-Variante von syslog-ng einsetzen. patternDB und CEE verfolgen dieselben Ziele. Daher erhielt BalaBit im November 2010 eine Einladung, um als CEE- Board-Member zusammen mit anderen Herstellern die Arbeiten an Standards im Bereich Logging voranzutreiben.
Standardisierung von Logging
Das CEE-Board ist ein Beratungsgremium, das zusammen mit den Anbietern von Logging-Tools und Betriebssystemen sowie mithilfe der US-Regierung maßgeblich zur Weiterentwicklung des CEE-Log-Standards beiträgt. Das Board arbeitet eng mit dem CEE-Moderator (derzeit die Firma MITRE) und der CEE-Community zusammen. Eine der Aufgaben des Boards besteht darin, den Tätigkeitsbereich und die Strategie der Common-Event-Expression-Initiative festzulegen und die Akzeptanz von CEE zu fördern.
"Wir sind sehr stolz darauf, dass unser Unternehmen eingeladen wurde, als Mitglied des CEE-Boards tätig zu werden. Denn die Mitglieder dieses Gremiums werden auf Basis ihrer technischen Expertise und ihrer Rolle als Förderer von Entwicklungen wie der Standardisierung auf dem Gebiet Logging ausgewählt", betont Balász Scheidler, Chief Executive Officer von BalaBit IT Security. "Dank der patternDB und der syslog-ng-User-Group ist BalaBit in der Lage, eine aktive Rolle bei der Schaffung von Standards zu spielen. CEE ist eine Initiative, die Anbieter und Nutzer von Logging-Lösungen, etwa Firmen aus dem Finanz- und Telekommunikationssektor, dabei hilft, Logging-Prozesse zu optimieren."
Scheidler geht davon aus, dass der Bedarf an Logging-Lösungen in Unternehmen stark zunehmen wird, nicht nur, um die IT-Sicherheit zu verbessern, sondern auch, um die Fortführung der Geschäftstätigkeit sicherzustellen, Stichwort Business Continuity. "Logging ist eine der Säulen von Compliance", so Scheidler weiter. "Zudem ist es die Grundlage von Standards wie ISO 27001, PCI-DSS, SOX, HIPAA und COBIT sowie vieler weiterer Vorgaben, auch wenn das auf den ersten Blick nicht zu erkennen ist."
CEE™ und BalaBits syslog-ng-Lösung
CEE ist eine herstellerneutrale Initiative, die es sich zum Ziel gesetzt hat, Normen für Log-Events zu erarbeiten. BalaBit, als Mitglied des CEE-Boards, bringt seine Erfahrungen mit dem syslog-Protokoll und patternDB ein, um die CEE-Standards zu erweitern.
BalaBits syslog-ng-Logging-Lösung gleicht Log-Lines mit einer Datenbank von entsprechenden Meldungsmustern ab. Dadurch ist syslog-ng in der Lage, zusätzliche Informationen aus Log-Messages zu extrahieren und diese um Meta-Daten zu ergänzen. Die Ergebnisse lassen sich in einer Datei oder Datenbank ablegen und für das Erstellen von Berichten und Analysen heranziehen.
syslog-ng dient gewissermaßen als Übersetzer, der Log-Zeilen in Ereignisse überführt. Indem syslog-ng Informationen aus den Log-Dateien extrahiert, lassen sich CEE-Tags und -Felder erstellen. Die Grundlage dafür ist die patternDB-Engine. Sie ermittelt beispielsweise nach einem fehlgeschlagenen Log-in-Versuch die dazu gehörige IP-Adresse, den Namen des Users, die Bezeichnung der Anwendung sowie Datum und Zeit. Diesen Informationen ordnet syslog-ng anschließend die Tags wie "login" und "failure" zu.
