Header ProLog Logmanagement
Sie befinden sich hier: Start > ProLog Logmanagement

ProLog Logmanagement

Wie wir Ihnen bei den gesetzlichen Anforderungen zeigen, schreibt die Regulatorik Ihnen vor, ein Logmanagement im Rahmen Ihrer IT-Sicherheit einzuführen. Die gute Nachricht daran ist, dass es nicht nur Ihnen so geht. Überlegungen, wie die Implementierung eines Logmanagements oder einer SIEM-Lösung im Betrieb auszusehen hat, haben schon Hunderte von Unternehmen vor Ihnen angestellt.

Genau aus diesem Grund können wir Ihnen heute schon ein fertiges Gesamtkonzept anbieten, dass Sie zeitnah und schnell einführen können, um Daten-, IT- und Auditsicherheit in Ihrem Unternehmen gewährleisten zu können. Unsere Gesamtlösung ProLog lässt sich standardisiert und automatisiert einsetzen. Durch die Bereitstellung eines vollständigen Protokollierungskonzepts erhalten Sie hier nicht nur eine Software, die erst eingerichtet werden muss. Sie bekommen stattdessen eine Lösung, die Ihnen vom ersten Tag alle notwendigen Logs und Events vollumfänglich erfasst, ohne Datenschutzvorschriften außer acht zu lassen.

Unternehmen, die mit einem reinen Logmanagement-Werkzeug nach Mannmonaten die ersten Berichte und Alarme generieren, leben immer noch in der Unsicherheit, ob das alles ausreichend für den nächsten Audit ist. Der Wert der gesamtheitlichen Lösung der NETZWERK wird spätestens deutlich mit der ersten Veränderung in der IT-Infrastruktur. Ein Beispiel: Nach dem Update von MS-Server 2003 auf die neuen Versionen 2008/12/… müssen alle Filter, Berichte und Alarme neu erstellt werden, da Microsoft das Format und die Inhalte der Events verändert hat.

Das ProLog-Gesamtkonzept gliedert sich in vier Bereiche, auf die wir in Folge näher eingehen werden.

Grafik ProLog Logmanagement Softwarepaket

Dokumentation

Die Dokumentation stellt die theoretische Grundlage für den Einsatz von ProLog als Logmanagement oder SIEM-Lösung dar. Dieses Protokollierungskonzept hat Rechtsanwälte, Verbandsprüfer, die Innen- oder Außenrevision und die Landesdatenschutzbehörde als Zielgruppe und kommuniziert unter anderem klar und verständlich, aus welchen Datenquellen Events und Logs abgerufen werden, welche Arten von (personenbezogenen) Daten erhoben, warum es zur Protokollierung dieser Daten kommt und wie der Zugang zu diesen Daten gestaltet ist.

Durch die Ausarbeitung dieser Dokumentation beantworten wir für Sie direkt auch die Anforderungen des §28 der Datenschutzgrundverordnung, der von Ihnen den Beweis abverlangt, dass Sie sich Gedanken zum Schutz der personenbezogenen Daten in Ihrem Unternehmen gemacht haben.

Die Dokumentation von ProLog gliedert sich in zwei Dokumente:

Applikationen und IT-Infrastruktur

Anhand eines Excel-Sheets halten wir fest, wie die IT-Infrastruktur in Ihrem Betrieb mit ihren dazugehörigen Applikationen aufgebaut ist. Beginnend in der Regel mit dem AD-Server (Active Directory), notieren wir tabellarisch Informationen zum Bezug zu personenbezogenen Daten, der Art der Protokollierung in der jeweiligen Applikation und der Art des Monitorings. Außerdem benoten wir mit Ihnen die Kritikalität der Anwendungen in Bezug auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.

Grafik ProLog Logmanagement Dokumentation Infrastruktur
Beispiel zur Übersicht der IT-Infrastruktur und der dazugehörigen Applikationen

Protokollierungskonzept

Das Protokollierungskonzept ist ein Worddokument mit einem Umfang bis zu 50 Seiten und beinhaltet Informationen zu folgenden Themengebieten, Anforderungen und Fragestellungen:

  • Beschreibung aller Anforderungen aus der Regulatorik / der Gesetzgebung und den unternehmensinternen Compliance-Richtlinien
  • Beschreibung der zu berücksichtigenden Risiken
  • Auflistung aller technischen und organisatorischen Maßnahmen
  • Darstellung, welche Datenquellen von der ProLog-Software angezapft werden
  • Beschreibung der Art der Pseudonymisierung von (personenbezogenen) Daten
  • Erklärung der Dauer der Datenaufbewahrung
Auszüge aus einem beispielhaften Protokollierungskonzept der Dokumentation
Auszüge aus einem beispielhaften Protokollierungskonzept der Dokumentation

ProLog-Software

Die ProLog-Software ist das Werkzeug, mit dem das Protokollierungskonzept der Dokumentation in die Realität umgesetzt wird. ProLog-Agenten sammeln Events und Logdaten auf den ihnen zugewiesenen Applikationen und lassen sich zentral von der Software aus beobachten und administrieren. Durch eine Caching-Methode (siehe unten) vermeiden wir Eventverlust oder Duplikate. Zugriffe auf die zentral gehaltenen Logdaten werden durch Pseudonymisierung, das n-Augen-Freigabeprinzip und Zweckbindung gesichert. Mit ProLog lassen sich außerdem granulare Rollenkonzepte erstellen, damit jeder User die Software für seine spezielle Tätigkeit verwenden kann, ohne in die Gefahr zu laufen, das System zu missbrauchen. Das System wird mit Standardpaketen für Berichte und Alarmierungen ausgeliefert, diese können aber natürlich den Wünschen und Anforderungen gemäß des Kunden angepasst werden. ProLog hat eine hohe Integrationsfähigkeit in andere IT-Sicherheitslösungen.

Über die Auswahl der ProLog-Funktionsbereiche erhalten sie detaillierte Informationen zu den Funktionen der Software.

Dashboard
Ereignisse
Alarmierung
Berichte
Filter
Depseudonymisierung
n-Augen-Anfragen
Agenten
Administration
Informationen
Dashboard

Das Dashboard ist eine Übersichtsseite des ProLog-Webinterfaces. Die bereits installierten Widgets können von Ihnen beliebig im Dashboard verteilt werden und liefern Ihnen eine Übersicht über Ihre angebundenen Agenten, Systeminformationen oder alle momentan angemeldeten Benutzer.

 

Das Dashboard gibt Ihnen den Systemstatus mit allen aktivieren ProLog-Agenten wider. Ein Agent bezeichnet hier eine Datenquelle (z.B. der Domaincontroller). Über das Dashboard lässt sich schnell einsehen, welche Agenten mit welchen Versionen und auf welchem Betriebssystem aktiv sind. Auch Agenten, die aktuell offline sind, werden angezeigt. Bei den online aktiven Agenten lässt sich nachvollziehen, was diese bisher getan haben, auf was für Systemen sie arbeiten und ob sie ausstehende Ereignisse haben, die noch im Cache liegen und nicht an den ProLog-Server übertragen wurden. Im Dashboard würde auch mitgeteilt werden, wenn Agenten zwar aktiv, aber durch ihre Version inkompatibel mit dem System wären.

 

Weiterhin gibt das Dashboard einen Überblick über alle aktiven ProLog-Benutzer im System.

 

Ereignisse

Im Ereignisse-Tab haben Sie die Möglichkeit, die Ereignisnachrichten in der Datenbank zu durchsuchen. Hierzu stehen Ihnen diverse Filter- und Darstellungsoptionen zur Verfügung. Sie erhalten einen Überblick über alle von den Agenten gesammelten Events und Logdaten. Durch die Auswahl eines bestimmten Events erhalten Sie detaillierte Informationen über den Sachverhalt, beispielsweise das Löschen oder Umbenennen einer Datei auf einem Server. Meldet sich beispielsweise ein Mitarbeiter, dass er eine Datei nicht mehr auffinden könne, ließe sich über eine gefilterte Suche in ProLog direkt nachvollziehen, was mit dieser Datei geschehen ist. Personenbezogene Informationen bleiben hierbei pseudonymisiert, solange keine zweckgebundene oder freigegebene Depseudonymisierung stattgefunden hat.

 

Alarmierung

Basierend auf den konfigurierten Alarmen, unter Administration - Alarmierung, werden hier potentielle Angriffe, sicherheitsrelevante Vorfälle oder kritische Systemzustände aufgelistet. Das hier dargestellte Alarmereignis finden Sie auch als Ereignis in der Ereignisansicht.

 

Über Alarmierungen erhalten Benutzer Benachrichtigungen, sobald vordefinierte Ereignisse in ProLog erfasst werden. Ein Beispiel für einen Alarm wäre die Feststellung einer unerlaubten Änderung in einem vorgegebenen Dateiordner (z.B. c:\\Wichtiger_Ordner\\Gruppe User\\). Sobald der ProLog-Agent dort eine Löschoperation feststellt (Event-ID 5), soll das System eine Alarmierung auslösen. Hintergrund könnte hier sein, dass Administratoren zwar die technischen Möglichkeiten haben müssen, Dateien zu lesen und zu verändern, es organisatorisch aber nicht gewünscht ist, dass sie diese technischen Rechte auch nutzen.

 

Berichte

Im Berichte-Tab wird die Zeitplanung (das sog. Scheduling) der Berichte konfiguriert. Der Tab ist zweigeteilt. Im oberen Teil sehen Sie alle im System geplanten Aufgaben. Wenn Sie eine der Aufgaben auswählen, sehen Sie im unteren Teil, im Menü Historie, eine Liste der letzten Ausführungen.

In diesem Bereich finden sich alle regelmäßig und einmalig eingerichteten Berichte wieder. Zum Standardberichtspaket von ProLog gehören beispielsweise Berichtspakete von Microsoft, Linux, Cisco oder VM Ware. Als Kunde und Nutzer müssen Sie sich also keine Gedanken mehr darüber machen, was Sie beispielsweise im Bereich "Microsoft" überhaupt für Daten einsammeln müssen. Da wir sicherstellen, dass Sie am Ende einen auditsicheren Bericht haben, werden auch verschiedene Versionsquellen in den Berichtspaketen berücksichtigt. Für das Beispiel "Microsoft" bedeutet das, dass wir Ereignisse von allen Windows Server-Versionen (2003, 2008, etc.) einsammeln können, und entsprechend der installierten Applikation handeln.

 

Filter

Viele Funktionen in ProLog basieren auf Filtern. Diese dienen unter anderem zum Abfragen von Ereignissen, zum Erstellen von Views, als Hauptfilter für die Depseudonymisierung, für geplante Ad-hoc-Berichte, als Grundlage für Alarme und vieles mehr.

 

Hier können Sie beispielsweise File Audits für bestimmte Dateitypen als Vorlage festhalten. Filter helfen Ihnen langfristig dabei, bestimmte Prüfungen schnell und effizient zu wiederholen, ohne dabei die Suchkriterien neu setzen zu müssen. Einfache Suchanfragen über Filter führen immer zu pseudonymisierten Ergebnissen. Filer bilden aber auch gleichzeitig die Grundlage für n-Augen-Anfragen zu depseudonymisierten Resultaten.

 

Depseudonymisierung

Mit der Depseudonymisierung können Sie die von ProLog pseudonymisierten personenbezogenen Ereignisse für einen bestimmten Zeitraum in Klartext darstellen. Dieser Vorgang basiert auf Filtern und benötigt ggf. eine n-Augen-Freigabe.

 

In der Depseudonymisierung können bereits angelegte Filter für einen Freigabeprozess zur Depseudonymisierung des/der betroffenen Events vorgenommen werden. Der User gibt hierbei den Filter, die gewünschte Freigabedauer und den gewünschten Freigabezeitraum an. Freigaben in ProLog sind vom Design her immer zeitlich begrenzt und können nicht über einen unendlichen Zeitraum gehortet werden, um die Anforderung an Zweckgebundenheit einzuhalten. Zur Freigabeanfrage muss der User außerdem immer einen Grund für die gewünschte Depseudonymisierung angeben, um einen Bezug zur Freigabe herzustellen. Durch das Abschicken der Anfrage wird im System eine n-Augen-Anfrage ausgelöst.

 

n-Augen-Anfragen

Um das Risiko von Fehleingaben zu reduzieren und um sicherzustellen, dass alle Änderungen in ProLog einen Revisionsprozess durchlaufen, sind Kontrollprozesse hinterlegt. Diese heißen n-Augen-Anfragen. Wie der Name n-Augen-Anfrage bereits andeutet, ist dieser Prozess nicht auf ein Vier-Augen-Prinzip begrenzt. Die Anzahl der erforderlichen "Augen" lässt sich frei definieren. Dabei kann der Prozess zwischen 0 Augen (deaktivierte Funktion) und n-Augen (beliebig viele Kontrollinstanzen) festgelegt werden.

 

In diesem Bereich finden Sie alle n-Augen-Anfragen, die im System gestellt wurden. Hierbei kann es sich um Anfragen zur Depseudonymisierung, zur Installation von Updates, zur Aktivierung von Berichten, zu Einstellungsänderungen usw. handeln. Die Übersicht spiegelt die Details zu den Anfragen wider: Wann wurde die Anfrage durch welchen Benutzer gestellt und was ist der Grund für die Anfrage. Anfragen können auch eine beschränkte Gültigkeit haben und nach einem bestimmten Zeitpunkt verfallen.

 

Die Auswahl einer Anfrage zeigt weitere Details zum Freigabeprozess. Der User sieht, welche Art von Autorisierung benötigt wird, wer diese Autorisierung geben darf und welcher Teil der Freigabe schon erledigt wurde. Anfragen lassen sich im Nachgang außerdem noch in Bezug zur Freigabedauer und dem Freigabezeitraum bearbeiten. Alle ProLog-User, die am Freigabeprozess teilnehmen können bzw. müssen, werden vom System darüber benachrichtigt. Diese können die Freigabe nun in der eigenen Websession bearbeiten. Die Erfahrung hat gezeigt, dass Freigabeanfragen aber auch oftmals zustande kommen, während die Kollegen beieinander sitzen. Deshalb ist es für ProLog-User auch möglich, auf Freigabeanfragen in der Sitzung anderer User zu bearbeiten – beispielsweise direkt am Rechner des Antragstellers.

 

Sobald eine offene Anfrage freigegeben wird, bekommt der Anfragesteller eine Benachrichtigung und die Aktion hinter der Anfrage durchführen. Der Countdown der Freigabedauer wird übrigens erst dann aktiviert, sobald der Antragsteller die freigegebene Aktion startet.

 

Freigaben funktionieren bei ProLog immer nach dem Veto-Prinzip. Sobald ein User die Freigabe ablehnt, wird die Anfrage unabhängig von anderen Stimmen vollständig abgelehnt und muss bei Bedarf neu gestellt werden.

 

Agenten

Der Reiter für Agenten gibt ihnen eine Übersicht zu allen ProLog-Agenten, die im System vorhanden sind. Im Gegensatz zum Dashboard sehen Sie hier auch alle inaktiven Agenten. Welche Informationen die Agenten auf den ihnen zugewiesenen Systemen einsammeln, hängt von den zugeteilten Templates ab, in welchen näher definiert ist, welche Ereignisse erfasst werden sollen.

 

Durch die Auswahl eines Agenten können Sie diesen für alle gängigen Betriebssysteme herunterladen, um ihn dann auf der entsprechenden Applikation zu installieren.

 

Administration

Im Administrations-Tab können Sie die Einstellungen Ihrer ProLog-Appliance anpassen. Um Zugriff auf den Administrations-Tab zu erhalten, müssen Sie das entsprechende Recht besitzen. Im Administrationsbereich setzen Sie alle Einstellungen zu Benutzern, Benutzergruppen, Agenten, Pseudonymisierungsverfahren, Freigabeverfahren, Updates und vieles mehr.

 

Allgemeine Einstellungen
Alarmierung
Benutzerverwaltung
n-Augen-Anfragen
Pseudonymisierung
Agentenkonfiguration
Updates
Lizenzen
Allgemeine Einstellungen

Alarmierung

Benutzerverwaltung

n-Augen-Anfragen

Pseudonymisierung

Agentenkonfiguration

Updates

Lizenzen

Informationen

Dieser Bereich gibt Ihnen Auskunft über alle im System erfassten Lizenzierungen und den Kontakt zur Netzwerk Software GmbH als Hersteller.

 

Übertragung von Logs über ProLog-Agenten

Der Agent liest auf dem Client die Logfiles aus, für die er beauftragt wurde. Jedes Log wird in einem Cache auf dem Client zwischengespeichert. Dann verbindet sich der Agent mit dem ProLog-Server. Bevor es zu einer Übertragung der Logs kommt, prüfen Server und Agent, ob der aktuell ausgeführte Auftrag noch aktuell ist. Der Server prüft die Identität des Agenten, welche Aufgaben er verfolgt und ob es für diesen Agenten Änderungen in der Konfiguration gegeben hat. Schließlich überträgt der Agent den Cacheload an den Server.

Der ProLog-Server speichert die empfangenen Daten nun ebenfalls in einem Cache. Solange der Cacheload noch nicht vollständig übertragen wurde, wartet der Server mit dem finalen Sichern der Daten. Die Daten im Cache des Servers werden mit den Daten im Cache des Clients verglichen. Hat der ProLog-Server bestätigt, dass alle empfangenen Daten dem Cacheload des Clients entsprechen, löscht der Client seinen Cache und der Server speichert die Daten in seiner Datenbank. Durch dieses Verfahren verhindert ProLog, dass es zu Eventverlust oder Duplikaten kommt. Potenzielle Verbindungsabbrüche zwischen Server und Client stellen damit auch keine Gefahr für den Verlust von Logs dar.

ProLog Software Schaubild - Wie ProLog Agenten Logs einsammeln

Mitarbeiterdatenschutz

Beim Einsatz eines Logmanagement-Werkzeugs werden Millionen von Events am Tag eingesammelt, die zu einem großen Teil einen klaren Personenbezug im Sinne der DSGVO und des Mitarbeiterdatenschutzes haben. Daraus resultieren zwingend technische und organisatorische Funktionen zum Schutze Ihrer Arbeitnehmer innerhalb der ProLog-Software:

  • Pseudonymisierung der Events:
    Sobald das Event in der Datenbank vom ProLog-Server gesichert ist, wird der Personenbezug vom Event getrennt und anderweitig abgespeichert.
  • N-Augen-Prinzip für die Depseudonymisierung:
    Im Bedarfsfall können das Event und der Personenbezug wiederhergestellt werden. Dafür bedarf es mindestens der Zustimmung von 2-n Personen. Die Berechtigungen hierzu werden im Protokollierungskonzept beschrieben und innerhalb der ProLog-Applikation systemtechnisch umgesetzt.
  • Rollenkonzepte: für einzelne User, Usergruppen und Funktionen können granulare Rollenkonzepte umgesetzt werden.
  • Selbstprotokollierung: jede Aktion und Veränderung in ProLog werden selbstverständlich protokolliert.
  • Zweckbindung: ist die Grundlage für die Erlaubnis jeglicher Depseudonymisierung und in der kompletten DNA von ProLog fest implementiert.
  • Das Datum der aktiven Löschung des Personenbezugs kann frei hinterlegt werden. Spätestens nach 180 Tagen wird der Personenbezug allerdings automatisch entfernt. Für statistische Auswertungen können die dann anonymisierten Events weiter aufgehoben werden.

ProLog stellt durch diese Funktionen sicher, dass kein Mitarbeiter unserer Kunden bewusst oder unbewusst gegen die DSGVO oder den Mitarbeiterdatenschutz verstoßen kann.

Berichts- & Alarmierungspakete

Als deutscher Hersteller haben wir uns das Ziel gesetzt, Ihnen eine Lösung anzubieten, bei der Sie von den Resultaten profitieren, ohne selbst viele Mühen in das Werkzeug stecken zu müssen. Bei diesen Resultaten handelt es sich am Ende um die Berichtspakete und Alarmierungem, die für Ihren Betrieb wichtig sind, um sowohl externe Vorschriften als auch die interne Unternehmenscompliance zu gewährleisten.

Berichtspakete

ProLog wird im Standard mit zahlreichen Berichtspaketen zu Applikationen wie beispielsweise Microsoft Windows Server ausgeliefert.

Windows Server Standardberichtspaket
Auszug aus den Ereigniscodes eines Standardberichtspakets für Microsoft Windows Server

Durch unsere Kunden aus der Banken- und Finanzdienstleistungsbranche wurden wir inspiriert, auch branchenspezifische Verbesserungen oder Erweiterungen an den Standardberichtspaketen für alle Kunden der Branche vorzunehmen. Wie es dazu kam? Banken können landesweiten Verbandsprüfungen unterzogen werden, bei denen auch die Kontrolle der IT-Sicherheit eine große Rolle spielt. Nun kann es sein, dass der Verbandsprüfer in Rheinland-Pfalz höhere Maßstäbe im Audit ansetzt als der Verbandsprüfer in Bayern. Im Schulterschluss mit unseren Kunden und den Auditoren passen wir die Berichtspakete entsprechend an und integrieren die verschärften Anforderungen. Da auch unsere anderen (Bank)Kunden von diesem „strengeren“ Berichtspaket profitieren, integrieren wir dieses unter der Softwarepflege für alle Kunden, die es betrifft. Im letzteren Fall kann das natürlich auch für Kunden zutreffen, die in einer fremden Branche tätig sind, aber trotzdem von einem stärkeren Berichtspaket ihren Nutzen ziehen würden, um auch in der fernen Zukunft auditsicher zu bleiben.

Alarmierungspakete

Auch für die Definitionen von Alarmierungen liefern wir unseren Kunden einen Standardpaket aus. Sie müssen sich dementsprechend nicht von Grund auf mit der Frage beschäftigen, bei welchen Events und welcher Häufigkeit des Auftretens dieser Events eine Alarmierung stattfinden soll. Analog zu unserem Umgang mit den Berichtspaketen liefern wir Ihnen auch hier einen standfesten Standard aus, der von uns dauerhaft auf Grundlage der Erfahrungen mit unseren Kunden erweitert und verbessert wird.

Wartung

Alle ProLog-Kunden, die Wartung beziehen, erhalten von uns dauerhaften Support und Updates für die ProLog-Software. Ferner halten wir sowohl Ihre Dokumentation als auch Ihre Berichts- und Alarmierungspakete auf aktuellem Stand. Änderungen in externen Vorschriften oder der internen Compliance werden im Schulterschluss mit Ihnen und ggf. unseren Vertriebspartnern implementiert, damit Ihre Protokollierung auch für die Zukunft auditsicher bleibt.