NetIQ spürt Manipulationen im System auf

Eine Stufe weiter als bisher üblich trägt der neue Security Manager 6.0 von NetIQ die Überwachung von Netzwerken. Er verbindet die reine Ereignisanalyse (Event Monitoring & Analysis) einerseits mit der Auswertung von Logfiles, andererseits mit dem Aufspüren von unerlaubten Veränderungen an Systemkomponenten und Anwendungen in Echtzeit.

“Damit ist die gesamte Bandbreite des ‘Security Information and Event Management’ abgedeckt”, erklärte im Gespräch mit silicon.de Jörn Dierks, Lead Security Architect bei NetIQ in Europa. Die bisher üblichen Ansätze ermöglichten nur eine eingeschränkte Sichtbarkeit auf die Benutzeraktivitäten und Änderungen auf Servern. Diese würde noch weiter eingeschränkt, wenn Administratoren die ressourcenintensive Protokollierung auf Objektebene in Windows deaktivieren. “Damit sind sie aber genau dort blind, wo sie am dringendsten benötigt werden – auf den Servern.”

Eine wesentliche Komponente in der neuen Suite ist der ‘Change Manager for Windows’, der auf das Aufspüren von Systemänderungen und die Erkennung von Bedrohungen für Windows-Plattformen optimiert wurde. Durch den Einsatz der Microsoft-Technologie ‘File System Filter Driver’ für das Server-Monitoring sei ein einfach lesbarer Audit-Trail und die Echtzeit-Alarmierung bei gefährlichen Aktivitäten möglich. Laut Dierks ist diese Art von Monitoring deutlich leistungsfähiger im Vergleich zum nativen Windows Auditing.

Der Change Manager wurde durch die eigene ‘TRACE’-Technologie (Trend Reporting, Analytics and Centralized Examination) auf Effizienz getrimmt. So werden beispielsweise die Logdaten nicht mehr in einer relationalen Datenbank abgespeichert sondern in ein indiziertes, dateibasiertes Archiv, was die Suche schneller und die Speicherung ökonomischer gestaltet.

Der neue Security Manager ist ab Juli verfügbar. Der Preis liegt bei 800 US-Dollar pro verwalteten Server.