zurück zur Übersicht

Tipp: Windows Security Events im Eiltempo

windows-691181Ob man nun Microsoft mag oder nicht, man kommt nur sehr selten in der Welt der IT-Sicherheit an dem Hersteller vorbei. Egal ob Desktop, Laptop oder Server, auf den meisten Computern läuft Windows und wartet darauf, seine Logs an ein SIEM abzugeben.

Parsing von lokalisierten Logs ist aufwendig

Beim Aufbau eines SIEMs kommt man zweifelsohne immer an einem Punkt, an dem man die Windows Logs (Domain Controller oder Server) einsammeln muss. Die sicherheitsrelevanten Ereignisse werden dann im SIEM konzentriert. Aus diesem Grund ist es nicht erstaunlich, dass diese 50 bis 90 Prozent der im SIEM vorhandenen Logs ausmachen (je nach Umgebung). Darüber hinaus werden die Logs in der Sprache generiert, mit der der Domain Controller arbeitet. Das macht ein Parsing sehr komplex und muss entsprechend der Sprache immer wieder aufs Neue angepasst werden. Diese Logs müssen eingesammelt, normalisiert und gespeichert werden.

Es stellt sich die Frage: Wie kann man die Windows Logs schneller abholen und wie umgeht man die Sprachbarriere? Die Lösung lautet XML.

XML als schnelle Alternative

RPC vs. XML
RPC vs. XML

Zum Hintergrund: Normalerweise werden Windows Logs über den Windows Event Channel (per RPC) zur Verfügung gestellt und vom SIEM dort abgeholt. Der Nachteil dieses Standardverfahrens ist, dass für das Einsammeln der Logs jedes Mal eine neue Verbindung zum Windows Host aufgebaut werden muss. Dann wird ein Parsing entsprechend der Sprache durchgeführt. Dieser Vorgang benötigt Zeit und ist recht aufwendig.

Doch es gibt eine Alternative: Der direkte Weg, die Logs abzuholen, ist XML. Hier werden die Logs im ursprünglichen Format (Englisch) eingelesen und vom SIEM geparst.

Diese Lösung ist in der Praxis bis zu 30 Prozent schneller und deutlich effektiver als die bisherige Möglichkeit, Windows Logs abzuholen.

Wenn Sie wissen wollen, wie sie noch schneller und sprachunabhängig ihre Windows Logs einsammeln können, kontaktieren Sie uns! Unsere SIEM-Spezialisten beraten Sie gerne.

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer