Effizientes Alert-Management für Big Data und IT-Infrastruktur

Berlin, 23.07.2020

Watches sind der wesentliche Bestandteil in Signals. Sie bestehen aus drei Bausteinen: Trigger, die festlegen, wann ein Watch durchgeführt wird. Checks, die die definierte Situation überwachen und analysieren. Aktionen, die ausgeführt werden, wenn alle vorangegangenen Bedingungen erfüllt sind.
Der Grafikmodus in Signals zeigt, wie sich Daten einer definierten Bedingung im Vergleich zum Schwellwert verhalten und wie sich diese im Zeitverlauf ändern. Die Definition des Schwellenwertes ist der Ausgangspunkt für die Alerting-Strategie.

Aktuelles Release von Search Guard mit neuer Standardfunktion "Signals"

Berlin, 23.07.2020. Ab dem aktuellen Release Version 7.x-42.0.0 enthält Search Guard die neue Standardfunktion "Signals". Mit dem Alerting und Monitoring Feature erkennen IT-Administratoren Abweichungen und auffällige Veränderungen von Daten, die in Elasticsearch-Clustern und in der IT-Infrastruktur gespeichert sind. Das können Kunden- oder Zahlungsdaten sein, Produktionswerte, Unternehmenskennzahlen und vieles mehr. Search Guard ist ein unabhängiges Open-Source-Plug-In für den Schutz von Elasticsearch-Clustern. Das Alerting Feature ist ab sofort bereits standardmäßig inkludiert. Es steht in der Community Edition kostenlos zur Verfügung.

Mehrfach fehlgeschlagene Online-Zahlungen, Betrugserkennung bei Finanztransaktionen oder einfach auffällig häufige falsche Passworteingaben: Angriffen und Datendiebstahl gehen oft unentdeckte Anomalien in einem Datencluster voraus. Je sensibler die im Cluster gespeicherten Daten, desto wichtiger ist die schnelle Erkennung von Abweichungen und deren richtige Priorisierung. Dafür braucht das IT-Management eine Alerting-Strategie. Benachrichtigungs-Management ist nicht nur im Betrugsfall sinnvoll, sondern auch in preissensitiven Branchen, die aufgrund von Währungsschwankungen einer hohen Dynamik unterliegen, wie im Handel mit Wertpapieren oder mit Flugtickets.

Jederzeit handlungsfähig bleiben

Mit dem neuen Feature Signals in Search Guard können IT-Administratoren eine Alerting-Strategie umsetzen, die Warnsignale auf Basis eines mehrstufigen Eskalationsmodells an verschiedene Benachrichtigungskanäle ausliefert. Auf diese Weise wird sichergestellt, dass IT-Abteilungen sowohl im operativen Geschäft als auch bei einem Angriff handlungsfähig bleiben. Signals steuert die Überwachung und das Benachrichtigungs-Management im Fall von Datenanomalien in Elasticsearch-Clustern. Das Feature kann mit allen gängigen IT-Systemen, die über eine REST- Schnittstelle verfügen, kombiniert werden. Damit wird Signals auch zum Monitoring der gesamten IT- Infrastruktur eingesetzt.

Kernstück von Signals aus Administratorensicht ist die grafische Benutzeroberfläche. Hierüber lassen sich alle Einstellungen intuitiv und nutzerfreundlich vornehmen, ohne dass zusätzlicher Programmieraufwand entsteht. Über das User-Interface werden unterschiedliche Schweregrade definiert, sowie die Benachrichtigungskanäle und Benachrichtigungsregeln pro Schweregrad.

"Um IT-Administratoren einen noch besseren Schutz ihres Clusters zu ermöglichen und hohen Mehrwert zu bieten, haben wir Search Guard um das Alerting Feature Signals erweitert“, sagt Jochen Kressin, Geschäftsführer der floragunn GmbH, Hersteller von Search Guard. „Signals schafft die Voraussetzung, dass die richtigen Personen zum richtigen Zeitpunkt wissen, was zu tun ist und Maßnahmen treffen können."

Signals im Überblick

Multiple Dateneingabequellen

Die wichtigste Datenquelle, auf die Signals zurückgreifen kann, ist Elasticsearch in der Version 7.4.0 und höher. Darüber hinaus können aber auch Daten von anderen Endpunkten verarbeitet werden, was den Anwendungsbereich für IT-Administratoren deutlich erweitert. Signals wird mit einem HTTP- Adapter ausgeliefert, so dass Daten von jedem HTTP REST-Endpunkt einbezogen werden können. Signals unterstützt auch Authentifizierung (HTTP Basic, JWT und Client-Zertifikate) und TLS.

Dynamische Konditionen und Schweregrade

Signals bietet Alerting sowohl klassisch basierend auf Schweregrad als auch mit vollständig dynamischen Bedingungen zum Auslösen von Benachrichtigungen. Dynamische Bedingungen liegen zum Beispiel vor, wenn Daten überwacht werden sollen, die sich aus unterschiedlichen Datenquellen speisen.

Vielseitige Ausgabekanäle für Benachrichtigungen

Ausgabekanäle für Alerting-Benachrichtigungen sind derzeit E-Mail, Slack, Webhooks, PagerDuty und JIRA. In Planung ist die Unterstützung von Microsoft Teams als Ausgabekanal. Je nach Schweregrad kann definiert werden, welcher Alert über welchen Kanal an welchen Empfänger gesendet wird. Die Anzahl der Benachrichtigungen kann gesteuert und zum Beispiel auf eine Benachrichtigung pro definiertem Intervall reduziert werden. Ebenso ist es möglich, die Warnmeldungen zu voreingestellten Zeiten, zum Beispiel alle 30min oder exponentiell nach zwei Minuten, vier Minuten und so weiter einzustellen.

Ausblick

Signals ist kostenlos in der Community Edition verfügbar und kann ohne Aufwand installiert und getestet werden. Download und Anleitung für Developer finden sich hier. Im Signals Community Forum werden alle Fragen und Requests rund um das Feature beantwortet.

Über floragunn GmbH

Exponentiell steigende Datenmengen (Big Data) benötigen zu jeder Zeit Schutz vor unbefugtem Zugriff oder Manipulation. Seit seiner Gründung im Jahr 2013 verfolgt floragunn die Vision, jedes Elasticsearch-Cluster zu schützen. Mit der Version Search Guard®2.3, veröffentlicht am 17. Juni 2016, ist Search Guard® das erste Sicherheits-Plug-In, das wesentliche Security-Funktionen kostenlos zur Verfügung stellt. Hohe Kundenorientierung, schnelle Prozesse und ein anwenderfreundliches Lizenzmodell zeichnen das Unternehmen aus. Search Guard® ist ein Open-Source basiertes Plug-In Made in Germany und verifiziert nach Veracode und CVE Numbering Authority. Die floragunn GmbH ist Mitglied in der Allianz für Cyber-Sicherheit vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie im TeleTrusT, dem Bundesverband für IT Sicherheit e.V.. Fortune 500 Unternehmen, Bildungsträger und Behörden weltweit setzen Search Guard® zum Schutz ihrer Cluster ein. Search Guard® ist erhältlich in der kostenlosen Community Edition sowie in den Lizenz-Versionen Enterprise und Compliance Edition. Das Plug-In kann 60 Tage kostenlos getestet werden. Weitere Informationen unter search-guard.com/alerting/.

Ansprechpartner für die Redaktion:
Eskimos mit Kühlschränken
Simone Brett-Murati
Tel: 0171/ 53 80 275
E-Mail: [email protected]

floragunn GmbH
Thomas Mahler
Tel: 01522/ 1950326
Email: [email protected]
ct icon
60-day PoC License
Want to see how your company can benefit from our Compliance edition? Sign up to our 60-day trial, completely free of charge.
arrow icon
follow us
twitter iconfacebook iconlinkedIn iconyoutube icon
stay updated
For the latest product developments, new versions and cybersecurity news, sign up to our newsletter.