Obwohl es sich um einen physischen Server handeln könnte, wird die Bezeichnung Syslog-Server häufig für eine Software verwendet, die Syslog-Meldungen empfängt. Die Möglichkeit, Protokolle von Netzwerkgeräten zu erfassen, ist besonders wichtig in Netzwerken mit mehreren Routern, Switches oder Servern, da diese Geräte stündlich Millionen von Meldungen produzieren können. Es wäre fast unmöglich, alle diese Meldungen zu verstehen, wenn sie nicht an einem zentralen Ort – einem Syslog-Server – gespeichert und organisiert werden. Neben Syslog-Meldungen überwacht ein guter Syslog-Server in der Regel auch SNMP-Traps. Auf diese Weise können alle wichtigen Ereignisse über die grafische Benutzeroberfläche eines Syslog-Servers nicht nur angezeigt, sondern auch für weitere Aktionen genutzt werden. Obwohl Syslog-Meldungen manchmal ignoriert werden, sind Syslog-Server äußerst hilfreich beim Ermitteln der Ursache von Netzwerkproblemen und beim Nachweisen der Compliance bezüglich verschiedener Rahmenbedingungen zur Protokollaufbewahrung. Es gibt viele Anbieter von Syslog-Servern, von einfachen Open-Source-Lösungen für Linux bis hin zu cloudbasierten Services.

SIEM steht für „Security Information and Event Management“ (Verwaltung von Sicherheitsinformationen und Ereignissen) und umfasst zwei Praktiken:

Security Information Management (SIM) umfasst das Erfassen, Korrelieren und Analysieren von Protokolldaten verschiedener Quellen (Netzwerkgeräte, Firewalls, Server, Virenschutzsoftware und andere Anwendungen oder Datenbanken) im Netzwerk.

Beim Security Event Management (SEM) werden erfasste Ereignisdaten zur Erkennung von Bedrohungen analysiert, um die Sicherheit der IT-Umgebung zu verbessern.

Softwarelösungen, die sowohl SIM als auch SEM kombinieren, werden als SIEM-Tools bezeichnet. Die Hauptaufgabe dieser Tools besteht darin, die Sicherheit eines Unternehmens zu verbessern und gleichzeitig die Einhaltung gesetzlicher Bestimmungen nachzuweisen, da bei Nichteinhaltung dieser Anforderungen negative Auswirkungen auf das Gesamtgeschäft eines Unternehmens entstehen können.

Obwohl es einige Gemeinsamkeiten zwischen Syslog und SIEM gibt, wie z. B. die Erfassung von Protokollen von Netzwerkgeräten oder die Einhaltung von Bestimmungen, gibt es auch einige wichtige Unterschiede, die auf den unterschiedlichen Zweck dieser Lösungen zurückzuführen sind. Syslog-Server dient der Zentralisierung aller Syslog-Meldungen von Netzwerkgeräten, während eine SIEM-Lösung in erster Linie für die Erhöhung der Sicherheit Ihrer IT-Umgebung da ist, indem sie nicht nur Vorfälle und Ereignisse verfolgt, sondern auch auf sie reagiert. Zu diesem Zweck werden nach Bedarf Aktionen blockiert oder erlaubt sowie Fehlerbehebungs- und Optimierungsmaßnahmen durchgeführt.

Protokollverwaltung – Der Syslog-Server erfasst und zentralisiert typischerweise Syslog-Meldungen und SNMP-Traps von Netzwerkgeräten wie Routern, Switches, Firewalls und Servern. Eine SIEM-Lösung erfasst Daten von Netzwerkgeräten, aber auch von verschiedenen anderen Ressourcen wie Anwendungen, Virenschutzprogrammen, Angriffserkennungssystemen oder Datenbanken. Es verknüpft Daten von allen diesen Quellen miteinander und erkennt verdächtige Aktivitäten, die eine mögliche Bedrohung für die Sicherheit der Umgebung darstellen.

Bedrohungserkennung – Syslog-Server fungieren als zentraler Ort für alle Syslog-Meldungen Ihrer Netzwerkgeräte. Sie verbessern die Sicherheit und benachrichtigen normalerweise via E-Mail über mehrere fehlgeschlagene Anmeldeversuche auf Ihrem Server. SIEM-Lösungen sind hauptsächlich auf die Verbesserung der Netzwerksicherheit ausgerichtet und umfassen Funktionen zur Bedrohungserkennung, wie z. B.:

• Ereigniskorrelation – SIEM-Software erfasst und normalisiert Daten von verschiedenen Quellen und identifiziert mithilfe statistischer Analysen Muster bösartiger Aktivitäten, die bei separater Betrachtung der Protokolle von diesen Quellen nicht erkennbar wären. Sie nutzt auch Verlaufsdaten, um verdächtige Aktivitäten zu identifizieren und mögliche Bedrohungen in Echtzeit zu erkennen.
• Bedrohungsdatenbank – SIEM-Lösungen kategorisieren gesammelte Protokolle und vergleichen die Daten mit Datenbanken bekannter Bedrohungen, um Cyberangriffe schnell zu erkennen.

Warnungen und automatische Reaktionen – Ein guter Syslog-Server ermöglicht Benutzern, Regeln zu erstellen und Warnungen per E-Mail auf Grundlage eingehender Protokolle einzurichten, um Administratoren über wichtige Ereignisse im Netzwerk zu informieren. Manche Syslog-Server, wie z. B. Kiwi Syslog^® Server, bieten sogar erweiterte Funktionen, um automatisch auf Protokollmeldungen zu reagieren, indem sie ein bestimmtes Skript ausführen. Bei SIEM-Lösungen sind Warnungen und automatische Reaktionen auf bestimmte Ereignisse aber Kernfunktionen. SIEM-Lösungen bieten in der Regel umfangreiche Benachrichtigungsoptionen und reagieren automatisch – sie stoppen einen Prozess, trennen ein USB-Gerät von einer Workstation oder sperren den Benutzerzugang, um erkannte Bedrohungen zu stoppen.

Berichterstattungsfunktionen – Protokollerfassung und ‑aufbewahrung sind ein wichtiger Bestandteil vieler Compliance-Frameworks. Syslog-Server können für die Berichterstellung für regulatorische Zwecke und Audits nützlich sein, indem sie einfache Berichte über Syslog-Statistiken über bestimmte Zeiträume erstellen. Wenn Sie allerdings, wie in anderen Bereichen auch, eine erweiterte Berichterstellung benötigen, z. B. vorgefertigte Vorlagen zur Berichterstellung nach Branchenstandards, um die Einhaltung von Bestimmungen wie HIPAA, PCI DSS, SOX, FISMA, NERC CIP, FERPA, GLBA, GPG13, DISA STIG und anderen benötigen, ist hierfür eine SIEM-Lösung besser geeignet.

Bei der Entscheidung für einen Syslog-Server oder eine SIEM-Lösung kommt es ganz darauf an, was Sie benötigen. Wenn Sie nach einer Lösung suchen, die Ihnen bei der zentralen Verwaltung Ihrer Syslog- und SNMP-Traps über Ihre Netzwerkgeräte oder bei der schnelleren Behebung von Netzwerkproblemen hilft, ist ein guter Syslog-Server für Sie die richtige Wahl. Wenn Sie auf der Suche nach einem Sicherheitsprodukt sind, das Ihnen bei der Erhöhung der Sicherheit Ihrer IT-Umgebung, der schnellen Erkennung externer und interner Bedrohungen und bei der Einhaltung des Nachweises verschiedener branchenüblicher Bestimmungen hilft, sollten Sie sich für eine SIEM-Lösung entscheiden.

Ob Sie nun einen Syslog-Server oder eine SIEM-Lösung benötigen, das Portfolio von SolarWinds^® bietet beides:

Die kostengünstige, eigenständige Kiwi Syslog^® Server-Lösung zentralisiert und vereinfacht die Verwaltung von Protokollmeldungen (einschließlich Syslog-Meldungen, SNMP-Traps und Windows-Ereignisprotokollen) über alle Netzwerkgeräte und Server mithilfe einer leistungsstarken Regel-Engine, die mit verschiedenen Aktionen Echtzeitwarnungen und ‑reaktionen auf bestimmte Meldungen ermöglicht.

SolarWinds Security Event Manager (SEM) ist eine intuitive, sofort einsatzbereite und kostengünstige Security Information and Event Management-Lösung, die ohne Komplexität auskommt und dazu dient, Ihr Sicherheitsniveau zu verbessern und die Einhaltung von Bestimmungen schnell nachzuweisen.