28.04.2016 Raz-Lee Security unterstützt auch Qradar und Arcsight

SIEM-Support erweitert

Von: Berthold Wesseler

Raz-Lee Security, weltweit aktiver Anbieter von Sicherheits-, Auditierungs- und Compliance-Software für IBM i, erweitert die Syslog-Funktionalität für das „Security Information and Event Management“. Unterstützt werden jetzt die SIEM-Produkte Qradar und HP Arcsight. Außerdem werden ab sofort bis zu drei SIEM-Produkte/Kanäle gleichzeitig unterstützt, weil immer mehr Unternehmen – je nach Problemstellung – mit verschiedenen SIEM-Tools arbeiten.

„Der erweiterte Syslog-Support geht direkt auf den wachsenden Bedarf unserer Kunden zurück, die sicherheitsbezogene Alarm-Meldungen aus der AS/400-Umgebung in multiple SIEM-Lösungen integrieren müssen“, sagt Robert Engel, Geschäftsführer der Raz-Lee-Niederlassung in Rödental. So könne iSecurity jetzt zum Beispiel Netzwerk- und System-bezogene Warnmeldungen an ein erstes SIEM-Tool und anwendungsbezogene Warnmeldungen an ein zweites SIEM-Tool senden.

Unterstützt werden zusätzlich zu den oben genannten Produkten bereits länger der Securesphere „Database Activity Monitor“ (DAM) von Imperva sowie die Tools DAM und Enterprise Security Manager (ESM) von McAfee. Jedes der unterstützten SIEM-Produkte verfügt über eigene Merkmale wie Ziel-IP, Port, CCSID, Filter für Meldungen etc.

Schutz vor Netz-/SIEM-Server-Ausfällen

Bei der Übertragung an solche SIEM-Produkte wird jedes Ereignis auf der Plattform IBM i (zusammen mit den beschreibenden Namen) in einem separaten Feld gespeichert. Bei der Übertragung im „Log Event Extended Format“ (LEEF) an Qradar bzw. im „Common Event Format“ (CEF) an HP Arcsight werden nur sinnvolle Felder gesendet; beispielsweise haben Move- und Rename-Objekte den gleichen Audit-Typ, aber unterschiedliche Subtypen, so dass iSecurity nur die Felder sendet, die bei einer Aktivität mit dem Objekt relevant sind. Der bisher bewährte Support andere Standards bleibt erhalten – und damit auch die Meldungen, die Feldwerte in eine Klarschriftnachricht integrieren.

Für die Übertragung kommen die Protokolle UDP, TCP und TLS (verschlüsselt) in Betracht. Auch eine erweiterte Kommunikations-Recovery-Funktion wurde implementiert, um Syslog-Nachrichten nach Netz-/SIEM-Server-Ausfällen zu übertragen. Die Suite iSecurity lässt sich darüber hinaus auch in weitere Lösungen von IBM, HP, Splunk, Juniper, RSA, GFI, NTT, CA und anderen integrieren und verbessert so die Sicherheit von IBM i in heterogenen Umgebungen.

Bildquelle: Thinkstock/ iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH