Planungshandbuch für die Sicherheitsüberwachung und Angriffserkennung

Einführung

Veröffentlicht: 14. Februar 2006

Die ausführliche Medienberichterstattung über die Ausbreitung von bösartiger Software über das Internet hat den externen Bedrohungen auf die Netzwerkressourcen von Unternehmen große Aufmerksamkeit beschert. Einige der größten Bedrohungen für die Infrastruktur einer Organisation gehen jedoch von Angriffen aus, die aus dem internen Netzwerk heraus ausgeführt werden. Die internen Angriffe, die das höchste Schadenspotential aufweisen, sind die Aktivitäten der Personen in den höchsten Vertrauenspositionen, z. B. von Netzwerkadministratoren. Die Analyse von internen und externen Bedrohungen hat dazu geführt, dass viele Organisationen sich nach Systemen umsehen, die Netzwerke überwachen und Angriffe erkennen können.

Für Organisationen, deren Geschäftstätigkeit Auflagen unterliegt, ist eine Sicherheitsüberwachung eine feste betriebliche Anforderung. Die immer zahlreicheren Vorgaben durch die unterschiedlichsten Institutionen weltweit erhöhen den Druck auf Organisationen, ihre Netzwerke zu überwachen, den Zugriff auf Ressourcen zu überprüfen und die Benutzer zu identifizieren, die sich beim Netzwerk an- und abmelden. Ebenso kann es ggf. gesetzlich vorgeschrieben werden, dass Unternehmen die Daten der Sicherheitsüberwachung über einen bestimmten Zeitraum hinweg archivieren müssen.

Die Sicherheitsprotokollfunktionen von Microsoft® Windows® bilden die Grundlage für ein Paket, das in der Lage ist, die Sicherheit zu überwachen. Sicherheitsprotokolle allein bieten jedoch nicht genügend Informationen, um eine Reaktion auf einen Vorfall planen zu können. Sicherheitsprotokolle in Verbindung mit anderen Technologien, die Sicherheitsprotokolle erfassen und auswerten, können jedoch den Kern eines Systems zur Sicherheitsüberwachung und Angriffserkennung bilden.

In diesem Handbuch wird beschrieben, wie Sie ein Sicherheitsüberwachungssystem für Windows-Netzwerke planen. Dieses System kann Angriffe erkennen, die von internen und von externen Quellen ausgehen. Das Hauptziel eines Sicherheitsüberwachungssystems besteht in der Identifizierung von ungewöhnlichen Ereignissen im Netzwerk, die auf bösartige Aktivitäten oder Prozedurfehler hinweisen.

Auf dieser Seite

	Die geschäftliche Herausforderung
	Die geschäftlichen Vorteile
	Zielgruppe
	Anforderungen an den Leser

Die geschäftliche Herausforderung

Unternehmen stehen bei der Implementierung von effektiven Sicherheitsüberwachungssystemen für große Netzwerke vor einer Vielzahl von Herausforderungen. Unternehmen müssen dabei Folgendes berücksichtigen:

•	Identifizieren der Notwendigkeit des Datenschutzes
•	Definieren von Autorisierungsebenen für Administratoren und Benutzer
•	Implementieren einer umfassenden Überwachungsrichtlinie
•	Abstimmen dieser Richtlinie auf erkannte Sicherheitsereignisse

Diese Herausforderungen gelten auch für Organisationen, deren Netzwerkanforderungen weniger komplex sind.

Zum Seitenbeginn

Die geschäftlichen Vorteile

Die Sicherheitsüberwachung verschafft Organisationen jeder Größe zwei Hauptvorteile: die Fähigkeit, Angriffe bei ihrem Auftreten zu erkennen, und die Fähigkeit, für die Ereignisse, die vor, während und nach einem Angriff eingetreten sind, eine forensische Analyse durchzuführen.

Wenn Angriffe sofort bei ihrem Auftreten erkannt werden, können Sicherheitsabteilungen schnell reagieren, um größere Schäden der Netzwerkinfrastruktur zu vermeiden. Mithilfe von forensischen Daten kann das zuständige Personal außerdem das Ausmaß eines Angriffs erkennen. Weitere Vorteile einer Sicherheitsüberwachung sind z. B.:

•	Verringerte Wirksamkeit von Angriffen
•	Schnelle Identifizierung von ungewöhnlichen Mustern durch Sicherheitspersonal
•	Erfassung von Überwachungsdaten zur Erfüllung von Auflagen

Weitere Informationen zu diesen Vorteilen finden Sie im 2. Kapitel, „Lösungsansätze für eine Sicherheitsüberwachung“.

Zum Seitenbeginn

Zielgruppe

Dieses Handbuch enthält nützliche Informationen für Organisationen, deren Daten eine hohe Vertraulichkeit erfordern, und besonders auch für Organisationen, die im Rahmen ihrer Geschäftstätigkeit Auflagen zu erfüllen haben. Dieses Handbuch wendet sich an alle Organisationen verschiedener Größenordnung, die einen Identitätsschutz und die Überwachung des Datenzugriffs erfordern.

Die vorrangige Zielgruppe des Handbuchs umfasst IT-Manager und IT-Experten, z. B. IT-Architekten und Sicherheitsadministratoren in Unternehmen. Außerdem können die Informationen für Berater und technische Entscheider nützlich sein, die Windows-Netzwerke planen, einsetzen oder betreiben.

Zum Seitenbeginn

Anforderungen an den Leser

Um die in diesem Handbuch vorgestellten Lösungen verstehen zu können, sollte der Leser mit den Sicherheitsaspekten und dem Risikoprofil des eigenen Netzwerks vertraut sein. Ebenso sollten sich Leser mit dem Ereignisprotokolldienst von Windows auskennen.

In diesem Handbuch werden die Betriebs- und Supportquadranten des MOF-Prozessmodells (Microsoft Operations Framework) verwendet. Außerdem werden die Dienstverwaltungsfunktionen zur Sicherheitsverwaltung und Vorfallverwaltung des MOF verwendet. Weitere Informationen zum MOF finden Sie auf der Website Microsoft Operations Framework unter www.microsoft.com/mof (in englischer Sprache).

Zum Seitenbeginn

1 von 8

In diesem Artikel

•	Einführung
•	1. Kapitel – Überblick
•	2. Kapitel – Lösungsansätze für eine Sicherheitsüberwachung
•	3. Kapitel – Probleme und Anforderungen
•	4. Kapitel – Entwerfen der Lösung
•	Anhang A – Ausschließen von unnötigen Ereignissen
•	Anhang B – Implementieren der Gruppenricht- linieneinstellungen
•	Danksagungen

Download

Planungshandbuch für die Sicherheits- überwachung und Angriffserkennung (engl.)