Beispiele › Beispiele › Agenten-Management

Agenten-Management

Connector-Konfiguration auf einem Agenten

Der Connector ist ein Erfassungsprozess, der durch einen Agenten gesteuert wird und Ereignisse aus nur einer Protokollquelle sammelt und verarbeitet. Ein Connector, der sich mit einem bestimmten Gerät verbindet, verwendet dazu eine Integration, die die Regeln für Verbindungen mit diesem speziellen Gerätetyp enthält.

Problem:

Sie müssen wissen, wer in der letzten Woche auf die SQL Server 2005- und Oracle 11g-Datenbanken zugegriffen hat.

Lösung:

Installieren Sie einen Agenten. Erstellen Sie für diesen Agenten einen SQL Server-Connector und einen Oracle-Connector. Verwenden Sie dazu die vordefinierten Integrationen für SQL Server 2005 und Oracle 11g. Sobald Sie Ereignisse empfangen, führen Sie einen Bericht aus, um herauszufinden, wer in der vergangenen Woche auf diese Datenbanken zugegriffen hat.

Ereignisfilterung mit Unterdrückungsregeln

Unterdrückungsregeln sind konfigurierbare Regeln, mit denen Sie verhindern können, dass bestimmte unverarbeitete Ereignisse in Ihren Berichten angezeigt werden. Sie können permanente Unterdrückungsregeln erstellen, um nicht sicherheitsrelevante Routineereignisse zu unterdrücken. Sie können aber auch temporäre Regeln erstellen, um die Protokollierung geplanter Ereignisse, wie die Erstellung vieler neuer Benutzer, zu unterdrücken.

Problem:

Systeme generieren massenweise Protokolle, die weder für die Berichterstellung noch für Alarmbenachrichtigungen benötigt werden. Es ist schwierig und zeitaufwändig, die wichtigen von den unwichtigen Ereignissen zu unterscheiden, weil Ereignisprotokollquellen große Mengen an nicht sicherheitsrelevanten Daten generieren. Diese Protokolle belegen zudem unnötigerweise kritischen Online- und Archivspeicherplatz.

Der Sicherheitsanalyst ist auf die Prüfung von Windows Server 2003 spezialisiert und weiß, dass Windows bei der Überprüfung des Objektzugriffs Ereignisse doppelt protokolliert: Ereignis-ID 560 und 562.

Lösung:

Da für den Bericht über den Ressourcenzugriff nur die Ereignis-ID 562 benötigt wird, können Sie die Ereignis-ID 560 unterdrücken. Ein Administrator konfiguriert eine Unterdrückungsregel für CA Enterprise Log Manager, um dieses Ereignis herauszufiltern.

Ereigniszusammenfassung mit Zusammenfassungsregeln

Zusammenfassungsregeln fassen bestimmte gängige, systemeigene Ereignistypen zu einem verfeinerten Ereignis zusammen. Eine Zusammenfassungsregel kann beispielsweise so konfiguriert werden, dass sie bis zu 1000 doppelte Ereignisse, die dieselben Quell- und Ziel-IP-Adressen und Ports haben, durch ein Zusammenfassungsereignis ersetzt. Diese Regeln vereinfachen die Ereignisanalyse und verringen das Protokollaufkommen.

Problem:

Einige Protokollereignisse werden hundert- oder gar tausendfach wiederholt und belegen unnötig viel Speicherplatz, was es schwierig macht, die wichtigen Ereignisse von den unwichtigen (sog. Hinterrundrauschen) zu unterschieden. Diese Protokolle belegen zudem unnötigerweise kritischen Online- und Archivspeicherplatz.

Im Unternehmen des Systemadministrators stehen einige Cisco ASA-Firewalls, die hunderte von Ereignissen pro Sekunde generieren. Es werden aber nicht alle Ereignisse benötigt.

Lösung:

Ein Administrator konfiguriert CA Enterprise Log Manager so, dass Firewall-Protokolle, die folgende Felder enthalten, zusammengefasst und gezählt werden: source_address, dest_address, dest_port, event_action, event_result.

Gruppenbasierte Knotenorganisation

Mit Hilfe von Agentengruppen können Agenten aus verwaltungstechnischen Gründen zusammengefasst werden. Agenten können nur einer Gruppe angehören. Agenten, die keiner Gruppe zugewiesen sind, gehören der Standardgruppe an.

Problem:

Das Data-Center in New York verfügt über zwei Agenten, das in Chicago über drei Agenten. Als Verwaltungsgründen müssen diese Agenten nach Data-Center gruppiert werden.

Lösung:

Ein Administrator erstellt eine Agentengruppe für New York und eine für Chicago und weist die Agenten den entsprechenden Gruppen zu.