Überwachung, Auswertung und Archivierung von Systemmeldungen einfach gemacht
Systemereignisse im Netzwerk fallen täglich in sehr großer Zahl an – und werden immer wichtige r für Organisationen, die Daten zwecks Sicherheitsanalysen und aufgrund von zunehmenden Compliance-Vorgaben vorhalten müssen. Wachsende Gefahren für die betriebliche Kontinuität machen unter anderem die Echtzeit-Überwachung von IT-Umgebungen erforderlicher denn je. Auch die Fähigkeit, anfallende Daten zu analysieren und zu bewerten, um rechtzeitig auf Vorfälle oder Sicherheitsbedenken eingehen zu können, ist von großer Bedeutung.
All diese Anforderungen stellen Unternehmen vor übergroße Aufgaben. GFI EventsManager bietet Entlastung und leistet wertvolle Hilfe bei der Einhaltung gesetzlicher und branchenspezifischer Compliance-Vorgaben wie Sarbanes Oxley Act (SOX), Payment Card Industry Data Security Standard (PCI DSS), Code of Connection (CoC) und Health Insurance Portability and Accountability Act (HIPAA). Die mehrfach ausgezeichnete Lösung sorgt für die automatische Auswertung und langfristige Sicherung von Systemmeldungen. So erhalten Sie alle relevanten Informationen zu den wichtigsten Ereignissen in Ihrem Netzwerk. GFI EventsManager verarbeitet Events unterschiedlichster Art, ob W3C- und Windows-Ereignisse, Daten aus SQL-Server-Überwachungsprotokollen, Syslog-Meldungen oder SNMP-Traps von Hardware-Firewalls, Routern, Sensoren und anderen, unternehmensspezifischen Geräten.
Durch Unterstützung von Hardware der weltweit größten Hersteller und von Individuallösungen lässt sich eine breite Anzahl an Produkten kontrollieren. Kritische Ereignisse hinsichtlich des Systemzustands und Betriebsstatus jedes einzelnen Geräts werden umgehend gemeldet.
Einsatzbereiche von GFI EventsManager - Informationssystem- und Netzwerksicherheit: Aufspüren von Eindringlingen und Sicherheitsverletzungen
- Gesetzliche und institutionelle Compliance-Anforderungen: Hilfe bei der Einhaltung von Compliance-Vorgaben
- Überwachung des Systemzustands: proaktives System-Monitoring
- Forensische Sicherheitsanalysen: schnelle, zentrale Ursachenforschung bei Problemen
Vielfach sind Unternehmen sich nicht schlüssig, wie Ereignisberichte ausgestaltet sein müssen, um verschiedene Compliance-Anforderungen erfüllen zu können. GFI EventsManager stellt auf wichtige gesetzliche Vorgaben abgestimmte Berichte und weitere Standard-Reports zur Verfügung, unter anderem zu den Bereichen: - PCI DSS (Payment Card Industry Data Security Standard)
- CoCo (Code Of Connection)
- HIPAA (Health Insurance Portability and Accountability Act)
- SOX (Sarbanes-Oxley Act)
- Kontoverwendung inklusive Bericht zu Dateilöschungen samt Benutzerangabe
- Kontoverwaltung
- Richtlinienänderungen
- Objektzugriffe
- Anwendungs-Management
- Drucker-Server
- Windows-Ereignisprotokoll
- Überwachter HTTP-Datenverkehr
- Ereignistrends und Status von Diensten
- Gelöschte Dateien
- Status von Diensten
Eigens für GFI EndPointSecurity vorkonfigurierte Verarbeitungsregeln helfen bei der automatischen Klassifizierung, Protokollierung und Meldung von Ereignissen, die von GFIs Endpunkt-Sicherheitslösung im Netzwerk generiert werden. Die Events sind zudem in verschiedenen Berichten aufgeführt, die der Netzwerküberwachung und Einhaltung gesetzlicher Compliance-Vorgaben dienen. Unternehmen mit GFI LANguard können zudem die Ergebnisse des Netzwerksicherheits-Scanners von GFI EventsManager verarbeiten lassen – alle erforderlichen Compliance-Daten stehen somit an einem Ort zum Abruf bereit.
Ereignisse werden automatisch und fortlaufend generiert, ob von Hintergrundprozessen oder durch Anwenderaktionen. Die Speicherung der Daten erfolgt jedoch oft an verschiedenen Orten. GFI EventsManager sichert alle erfassten Ereignisse in einer SQL-Datenbank, ob lokal oder sogar entfernt. Backups nach einem festgelegten Zeitplan sind ebenfalls möglich.
Eine der vielen Herausforderungen von Netzwerkadministratoren ist es, mit zahlreichen kryptischen Einträgen überfüllte Ereignisprotokolle zu analysieren. GFI EventsManager hilft ihnen beim netzwerkweiten Kontrollieren und Verwalten von Event-Logs, um relevante Ereignisse aus dem Windows-Ereignisprotokoll sowie aus W3C-Protokollen, SQL-Server-Überwachungsprotokollen oder Syslog-Meldungen unterschiedlichster Netzwerkquellen herauszufiltern. Die Unterstützung des Simple Network Management Protocol (SNMP) ermöglicht die Überwachung und Meldung von Zustand und Betriebsstatus unterschiedlichster Netzwerkelemente wie Router, Sensoren und Firewalls.
Systemmeldungen müssen für eventuelle Sicherheitsuntersuchungen und aus Compliance-Gründen in großem Umfang vorgehalten werden. Die Kapazitätsgrenze von Ereignis-Datenbanken ist somit in kürzester Zeit erreicht. GFI EventsManager erlaubt Administratoren daher eine parallel zur Verarbeitung laufende, automatische und dateibasierte Archivierung aller Ereignisse. Lediglich wichtige Events werden in der Datenbank gespeichert. Durch einen automatischen Datenbank-Wechsel wird der Datenbestand zudem verlässlich verwaltet und gesichert.
Per Verwaltungskonsole lassen sich täglich benötigte Informationen gezielt herausfiltern und anhand einer Auswahl an tabellarisch und grafisch aufbereiteten Ereignisübersichten schnell und einfach anzeigen. Angezeigt werden in einem bestimmten Zeitraum ausgelöste kritische und wichtige Regeln sowie die Top 10 der Anwender mit fehlgeschlagenen oder während bzw. außerhalb der regulären Geschäftszeiten erfolgten Anmeldeversuchen. Erhalten Sie zusätzlich Informationen zum Status von Diensten im gesamten Netzwerk und zur Anzahl der in der Datenbank gespeicherten Ereignisse je Protokolltyp. Außerdem gibt eine umfassende Grafik Aufschluss über anwendungs- und benutzerspezifische Netzwerkverbindungen (nur für Microsoft Windows Vista und höher). Die einzeln anpassbaren, vergrößerbaren Fenster des flexiblen Dashboards lassen sich automatisch auf dem Desktop anordnen und zeigen Daten zu den wichtigsten Ereignissen in Echtzeit an.
Verarbeitungsregeln und -filter für Windows-Ereignisse lassen sich mit nur einem Mausklick auf eine Ereignisangabe im Events Browser erstellen. Regeln werden automatisch im neuen Regelsatz "User Rules" gespeichert und erhalten standardmäßig die niedrigste Priorität.
Bei kritischen Ereignissen im Netzwerk werden Gegenmaßnahmen eingeleitet, wie das Starten von Skripten zur Behebung oder die Alarmierung von Mitarbeitern per E-Mail, Netzwerknachricht oder SMS (per E-Mail-zu-SMS-Gateway/Dienst). Erweiterte Warnmöglichkeiten bestehen durch die Unterstützung von SNMPv2-Traps. SNMP-Meldungen erlauben außerdem die Integration der GFI-Lösung mit bereits vorhandenen oder allgemeineren Überwachungssystemen.
Sollte das für die Verwaltungskonsole benötigte Kennwort nicht mehr bekannt sein, kann eine Erinnerungs-Mail an Administratoren verschickt werden.
GFI EventsManager überprüft anhand von Benutzernamen oder Sicherheitskennungen, ob ein Windows-Ereignis in Zusammenhang mit einem Administrator steht. Auch die Änderung von Benutzerrechten lässt sich über Windows-Events nachverfolgen. Der aktualisierte Status eines Benutzers als neuer oder ehemaliger Administrator wird protokolliert und gemeldet. Bei Einsatz dieser Funktion in Domänen muss vor allen anderen Kontrollen zuerst der Domänen-Controller überprüft werden.
GFI EventsManager ist offiziell für Microsoft Windows Server 2008 und Windows Server 2008 R2 zertifiziert und auch für Microsoft Windows 7 und Vista einsetzbar. Das neue Protokollformat der aktuellen Plattformen wird erfasst und gemeinsam mit anderen Formaten einheitlich dargestellt, um Systemverantwortlichen einen einfacheren Gesamtüberblick über alle Systeme hinweg zu bieten. Ebenfalls unterstützt werden Microsoft Windows 2000, XP und Windows Server 2003.
Für Microsoft-Windows-Maschinen steht ein eigenes Audit-Verfahren zur Verfügung, das ausgewählte, vorkonfigurierte Checks zu Beginn von regulären Ereignis-Überprüfungen durchführen kann. Ergebnisse werden als Ereignis in das Windows-Anwendungsprotokoll der (lokalen) Maschine geschrieben. Im Anschluss daran erfolgt die normale Ereigniskontrolle. Alle Events können anschließend gemeinsam ausgewertet werden. Zudem lassen sich mit Hilfe von Regeln zur Ereignisverarbeitung Warnungen bei fehlgeschlagenen Checks versenden. Ergebnisse dieser Art können auch über das Dashboard als kritisches Ereignis angezeigt werden. Das GFI EventsManager Audit bietet Erkenntnisse zu: - Inaktiven Benutzern (keine Anmeldung während der letzten 30 Tage erfolgt)
- Inaktiven Maschinen einer Domäne (keine Verwendung während der letzten 30 Tage)
- Inaktiven IPSec-Richtlinien
- Installierten, jedoch inaktiven Firewall-Lösungen von Microsoft
- Verzögerungen bei Ping-Antworten
- Festplattenlaufwerken mit Kapazitätsproblemen
GFI EventsManager unterstützt Sie bei der Überwachung einer großen Auswahl an Plattformen und Hardware, indem Windows-Ereignisse, Syslog-Meldungen, W3C-Events und SNMP-Traps von Netzwerkelementen zentral gesichert und analysiert werden. Administratoren ist es möglich, relevante Daten von Windows-Computern und Drittgeräten mit einer hohen Granularität zu erfassen und Informationen auch auf Ebene erweiterter Tags zu verarbeiten. Über die weitergehende Bearbeitung kann dann umgehend auf Grundlage der vorliegenden Ergebnisse entschieden werden – ohne zusätzliche Datenverwaltung.
Im Netzwerk befindliche Computer lassen sich automatisch erkennen, um sie anschließend als neue Ereignisquellen festzulegen. Alternativ können Computer-Gruppen als Ereignisquellen in GFI EventsManager selbsttätig mit Rechnern einer Domäne synchronisiert werden.
Viele Hersteller stellen für ihre Hardware MIB-Dateien (Management Information Base) bereit, die spezielle Geräteeigenschaften definieren sowie eine Erkennung und Verwaltung der SNMP-Traps zahlreicher Produkte erlauben. GFI EventsManager wird mit MIB-Definitionen folgender Hersteller ausgeliefert: Cisco, 3Com, IBM, HP, Check Point, Alcatel, Dell, Netgear, SonicWall, Juniper Networks, Arbor Networks, Oracle, Symantec, Allied Telesis u. a. MIBs weiterer Geräte lassen sich importieren.
Die SQL-Server-Überwachung wird für alle kostenpflichtigen und kostenfreien Versionen von Microsoft SQL Server unterstützt, darunter die Versionen 2000, 2005 und 2008 sowie MSDE und Microsoft SQL Server Express. Mit dem Auditing wird die Authentizität der SQL-Server-Daten sichergestellt. Administratoren können SQL-Aktivitäten verfolgen und protokollieren, unter anderem das Ausführen von SQL-Anweisungen, Änderungen an Datenbanktabellen und unbefugte Zugriffsversuche.
Ereignisprotokolle sind aufgrund ihrer teilweise kryptischen Einträge nur schwer zu analysieren. GFI EventsManager überträgt die Ereignisangaben in eine verständliche, präzise Form und bietet klare Vorschläge zum weiteren Vorgehen.
Die leistungsstarke Scan-Engine von GFI EventsManager kann eine große Anzahl von Ereignissen – bis zu sechs Millionen pro Stunde – in kürzester Zeit erfassen, verarbeiten und bewerten. Das modulare Konzept erlaubt es, zusätzliche Funktionen und Plug-ins hinzuzufügen, ohne direkte Änderungen an der Engine vorzunehmen.
Ereignisinformationen, die von mehreren, im gesamten Netzwerk verteilten GFI EventsManager-Instanzen erfasst und verarbeitet wurden, lassen sich in einer Datenbank vereinen. Selbst tausende über mehrere Standorte verteilte Workstations und Server können ohne Beeinträchtigung von Bandbreite oder Speicherkapazität somit mühelos überwacht werden. Zusätzlich ist es möglich, Ereignisse bei Bedarf schnell per Backup zu sichern oder wiederherzustellen. Darüber hinaus ist im Rahmen der automatischen Wartung die Größe der Datenbank durch den Export von Ereignissen regulierbar.
Nutzen Sie vorkonfigurierte Verarbeitungsregeln, mit denen Ereignisse unter Berücksichtigung festgelegter Bedingungen herausgefiltert und klassifiziert werden. Standardregeln lassen sich ohne weitere Konfigurierung einsetzen und darüber hinaus individuell verändern. Zudem können Sie neue, auf Ihre Netzwerkinfrastruktur zugeschnittene Vorgaben erstellen.
Leistungsfähige Filter erlauben ein schnelles Durchsuchen und übersichtliches Anzeigen erfasster und gesicherter Ereignisse, ohne die Originaleinträge des Datenbank-Backends zu löschen. Farbliche Hervorhebungen und die integrierte Ereignissuche helfen beim gezielten Auffinden von Ereignissen.
Erstellen Sie anhand von Scan-Profilen mehrere Regeln zur Ereignisprotokoll-Überwachung, die auf einen oder mehrere Computer anzuwenden sind. Über Scan-Profile können Vorgaben zur Ereignisverarbeitung zudem zentral angepasst werden. Sie haben auch die Möglichkeit, Regelgruppen beispielsweise allein für die Arbeitsplatzrechner einer einzelnen Abteilung zu erstellen. Richten Sie darüber hinaus ergänzende Profile ein, deren spezielle Regeln jeweils nur für Einzel-Computer gelten sollen.
Die Protokollierung von Daten trägt wesentlich dazu bei, unterschiedliche in- und ausländische Compliance-Anforderungen erfüllen zu können, ob im Rahmen des Payment Card Industry Data Security Standard (PCI DSS) von Kreditkartenunternehmen, des HIPAA (Health Insurance Portability and Accountability Act) zum Schutz von Gesundheitsdaten, des Federal Information Security Management Act (FISMA ) für IT-Sicherheitsvorschriften oder des Gramm-Leach-Bliley Act (GLBA) im Finanzsektor. Die strengen Sicherheitsvorgaben des PCI DSS sind beispielsweise für alle Unternehmen – ungeachtet ihrer Größe – verbindlich, die im Zahlungsverkehr mit Kreditkartendaten arbeiten. Ereignisprotokolle erlauben eine detaillierte Nachverfolgung aller Bearbeitungsvorgänge zu Kreditkartendaten. Um die Einhaltung der PCI-DSS-Vorgaben sicherzustellen, müssen die Protokolle mit einem leistungsfähigen Management-System wie GFI EventsManager umfassend verwaltet werden. Auf den PCI-Sicherheitsstandard speziell zugeschnittene Berichte bietet das GFI EventsManager ReportPack.
Produkte von GFI lassen sich auch in Unternehmen, die Virtualisierungslösungen einsetzen oder einführen möchten, problemlos installieren und verwenden. GFI EventsManager unterstützt die gängigsten Virtualisierungstechnologien: VMware, Microsoft Virtual Server und Microsoft Hyper-V.
- Entfernung irrelevanter Ereigniseinträge, die den Großteil der protokollierten Daten ausmachen
- Echtzeit-Überwachung und Versand von Warnungen rund um die Uhr
- Berichterstellung nach Zeitplan und automatische Berichtverteilung per E-Mail
- Automatische Aktualisierung der in Ereignis-Browsern angezeigten Daten
Wichtige Neuerungen des aktuellen GFI EventsManager 2011 SR2:
Veröffentlichung: 21. Juni 2011
GFI EventsManager verarbeitet nun auch Protokolle, die von Systemen der iSeries von IBM ausgegeben werden. Die Protokolle werden mit Hilfe von Drittanwender-Tools abgerufen und im Syslog-Format an GFI EventsManager übermittelt. Hier erhalten Sie weitere Informationen.
Unternehmen können personenbezogene Daten in Protokollen (wie Benutzernamen und Computerinformationen, anhand derer sich bestimmte Anwender identifizieren lassen) anonymisieren, um gesetzliche Datenschutzvorgaben einzuhalten. Die Angaben werden bei der Erfassung von Ereignissen mit Hilfe eines von einer oder mehreren autorisierten Personen festgelegten Sicherheitsschlüssels unkenntlich gemacht und können von ihnen jederzeit entschlüsselt werden. Die Anonymisierung umfasst alle Windows-Sicherheits-, SQL- und Oracle-Auditing-Ereignisse.
Zur Anzeige von Statusinformationen zu Scans und Konfigurationseinstellungen stehen neue Berichte zur Verfügung.
Neue Funktionen von GFI EventsManager 2011 SR1:
Veröffentlichung: 14. April 2011
Dank der automatischen Aktualisierungsfunktion werden die neuesten Produkt-Patches und weitere Aktualisierungen jetzt selbsttätig von der GFI-Website abgerufen und installiert.
Auch Benutzeraktivitäten unter SharePoint lassen sich nun nachverfolgen. Hierfür wird das vom anerkannten Sicherheitsexperten Randy Franklin Smith entwickelte Tool "LOGbinder SP" unterstützt, das auf dem SharePoint-Server zu installieren ist. Per LOGbinder erfasste Informationen werden als Windows-Ereignisse dargestellt, die GFI EventsManager mit Hilfe von Berichten, Ansichten und Warnungen leicht verarbeiten und ausgeben kann. Hier erhalten Sie weitere Informationen
Neue Funktionen in Version 2011:
Veröffentlichung: 22. Februar 2011
Die Aktivität von in zahlreichen Unternehmen eingesetzten Oracle-Datenbank-Servern muss aus Sicherheitsgründen oder zur Einhaltung gesetzlicher Compliance-Vorgaben überwacht werden. Mit GFI EventsManager 2011 lassen sich daher nun auch Audit-Daten von Oracle9i, 10g und 11g verarbeiten.
Ereignisse lassen sich aus dem Events Browser ins HTML-Format exportieren und anhand von benutzerdefinierbaren Vorlagen darstellen. So ist es möglich, gezielt festzulegen, welche Arten von Daten tabellarisch darzustellen sind. Zudem lässt sich das Layout der HTML-Vorlage durch die Bearbeitung der zugehörigen CSS-Datei verändern.
Vorteile von GFI EventsManager- Zentrale Erfassung von Windows-, W3C- und Syslog-Ereignissen sowie von SQL-Server-Überwachungsprotokollen und SNMP-Traps von Firewalls, Servern, Routern, SQL-Servern, Switches, Telefonanlagen, PCs u. v. m.
- Steigerung der Netzwerk-Uptime und rasche Problemerkennung per Echtzeit-Warnungen und Dashboard
- Effiziente, kostensparende Überwachung und Verwaltung des gesamten Netzwerks
- Einzigartige Skalierbarkeit zum Scannen von bis zu sechs Millionen Ereignissen pro Stunde
- Erfassung und Analyse der Ereignisdaten von GFI LANguard und GFI EndPointSecurity
- "Certified for Windows Server® 2008" und Unterstützung von Microsoft Windows Vista und Windows 7
 |
GFI EventsManager 3x3-Video – So erstellen Sie eigene Verarbeitungsregeln Duration: 3:21
Mit diesem Video erhalten Sie in nur drei Minuten drei Tipps, wie Sie den Ereignis-Browser zum Erkennen von Feldern einsetzen, eigene Regeln erstellen und die Priorität von Verarbeitungsregeln ändern.
|
GFI EventsManager – SystemanforderungenSystemanforderungen: Hardware- Prozessor: CPU mit mindestens 2,5 GHz
- RAM: 1024 MB
- Festplattenspeicher: 10 GB freier Speicherplatz
Hinweis: Der angegebene Umfang des verfügbaren Festplattenspeichers ist die Mindestanforderung zur Installation und zum Archivieren von Ereignissen. Je nach Beschaffenheit der Unternehmensumgebung ist zusätzlicher Speicherplatz erforderlich. Systemanforderungen: SoftwareUnterstützte Betriebssysteme- Microsoft Windows Server 2008 Standard/Enterprise (x86 oder x64)
- Microsoft Windows Server 2008 R2 Enterprise
- Microsoft Windows Server 2003 Standard/Enterprise mit SP2 (x86 oder x64)
- Microsoft Windows 2000 Server/Advanced Server mit SP4
- Microsoft Windows 7 Enterprise/Professional/Ultimate (x86 oder x64)
- Microsoft Windows Vista Enterprise/Business/Ultimate (x86 oder x64)
- Microsoft Windows XP Professional (x86 oder x64)
- Microsoft Windows Small Business Server (SBS) 2008
- Microsoft Windows Small Business Server (SBS) 2003
Weitere Komponenten- .NET Framework 2.0 mit SP2 oder höher
- Microsoft Data Access Components (MDAC) 2.8 oder höher
- Optional: Mailserver für E-Mail-Warnungen
- Microsoft SQL Server oder Microsoft SQL Express zur Ereignisarchivierung
Software-Anforderungen für zu scannende Computer- Zur Kontrolle des Microsoft Windows-Ereignisprotokolls: Aktivierter Remoteregistrierungsdienst
- Zur Kontrolle von W3C-Protokollen: Über Windows-Freigaben zugängliche Quellverzeichnisse
- Syslog und SNMP-Traps: Quellen/Absender für den Versand von Meldungen an den Computer/die IP-Adresse mit GFI EventsManager konfiguriert
ProduktinformationenGFI EventsManager TM wird mit der Basiseinheit "Knoten" lizenziert. Als Knoten gelten sämtliche Geräte, die ein Protokoll führen. Workstation-Knoten sind kostengünstiger als Server-/Netzwerkknoten und werden separat berechnet. GFI EventsManager – Preise für Server und NetzwerkgeräteAlle angezeigten Preise sind ohne gesetzliche MwSt. ausgewiesen und gelten pro Knoten.
| Vollversion
(inkl.1 J. SMA) | Zusätzliche Knoten | Versions-Upgrade
(inkl. 1 J. SMA) | Einjährige
SMA-Verlängerung | | 1–9 Knoten | € 220,00 | € 202,00
| € 110,00
| € 44,00
| | 10–24 Knoten | € 160,00 | € 147,00
| € 80,00
| € 32,00
| | 25–49 Knoten | € 130,00 | € 120,00
| € 65,00
| € 26,00
| | 50–99 Knoten | € 115,00 | € 106,00
| € 57,50
| € 23,00
| | 100–249 Knoten | € 110,00 | € 101,00 | € 55,00
| € 22,00
| | 250–499 Knoten | € 85,00 | € 78,00 | € 42,50
| € 17,00
| | 500–999 Knoten | € 62,00 | € 57,00 | € 31,00
| € 12,40
| | 1000–2999 Knoten | € 45,00 | € 42,00 | € 22,50
| € 9,00
|
GFI EventsManager – Preise für Microsoft-Windows-WorkstationsAlle angezeigten Preise sind ohne gesetzliche MwSt. ausgewiesen und gelten pro Knoten.
| Vollversion
(inkl.1 J. SMA) | Zusätzliche Knoten | Versions-Upgrade
(inkl. 1 J. SMA) | Einjährige
SMA-Verlängerung | | 10–24 Knoten | € 22,00
| € 21,00* | € 11,00
| € 4,40
| | 25–49 Knoten | € 16,00
| € 15,00
| € 8,00
| € 3,20
| | 50–99 Knoten | € 13,00
| € 12,00
| € 6,50
| € 2,60
| | 100–249 Knoten | € 11,50
| € 11,00
| € 5,75
| € 2,30
| | 250–499 Knoten | € 11,00
| € 10,00
| € 5,50
| € 2,20
| | 500–999 Knoten | € 8,50
| € 8,00
| € 4,25
| € 1,70
| | 1000–2999 Knoten | € 4,50
| € 4,00
| € 2,25
| € 0,90
|
*Preis gilt auch für 5 bis 9 zusätzliche Workstations
|
