Analyse und Optimierung des security Logfilemonitoring zur Effizienzsteigerung des Security Incident Prozesses
Das Ziel der Masterarbeit ist es, die Performance des Security Monitoring Prozesses zu erfassen und zu optimieren, um die Hardwareanforderungen für Datenbank und Monitoring-Tool zu senken. Als erstes wird die Datenqualität der hinter dem Monitoring Tool Splunk stehenden Hadoop Datenbank stochastisch erfasst und Vorgehensweisen zu ihrer Optimierung evaluiert. Dabei wird die Abhängigkeit der Suchzeit vom Volumen der Daten, wie schon von Charlotte Crain, Mike Frost, und Scott Gidley aufgeführt, nachgewiesen.
Weiterhin wird die Standardisierung, von Logfiles, Feldbezeichnungen und Tags nach den Richtlinien des CIM (Common Information Model) umgesetzt. Es wird durch Messungen der Performance nachgewiesen, dass die Verwendung und Einhaltung eines Standard-Datenmodells direkten Einfluss auf die Performance des Security Monitoringprozesses hat.
Als zweiten Schritt werden die von Splunk eingesetzten Extraktionsbefehle, die Suchbefehle und der Klassifikator untersucht und optimiert. Dabei werden die größtenteils durch einen Assistenten erstellten Extraktionsbefehle durch manuell erstellte ersetzt, was zu einer fehlerfreien Extraktion von Informationen aus den Rohdaten führt. Durch diese fehlerfreie Extraktion wird die Datenqualität gesteigert. Dies wird durch Messungen der Datenqualität nachgewiesen. Ergänzend wird ein einheitliches Format der Logfiles pro Index der Datenbank vorgestellt, durch das die Feldinformationen leichter extrahiert werden können. Der Zusammenhang von Extraktions befehlen, Suchbefehlen und der Klassifikation der Ergebnisse wird durch Messungen nachgewiesen.