‹ Zurück Basiswissen Cybersecurity

Was ist Continuous Monitoring?

Arfan Sharif - Mai 19, 2023

Moderne Trends in der Anwendungsentwicklung können den Wert Ihrer IT-Investitionen enorm steigern. Die Geschwindigkeit, Effizienz und Elastizität der Cloud-Infrastruktur, die verteilte Natur von Mikroservices und die sich ständig ändernden Möglichkeiten für schnelle Bereitstellungen sind nur einige der zahlreichen bahnbrechenden Innovationen. Jeder Entwicklungsschritt kann aber auch bedeuten, dass der IT-Aufwand steigt, komplexer wird und damit die laufende Verwaltung erschwert.

Angenommen, Sie führen eine Web- und Mobilanwendung mit mehreren Schichten und vielen standortvariablen Teilen aus. Dann wissen Sie wahrscheinlich schon, dass detaillierte Transparenz in Bezug auf die Integrität jeder Komponente und jeder Operation außerordentlich wichtig ist. Sie können Protokolle von jedem Element erfassen und ein zentralisiertes Protokollüberwachungssystem kann alle Informationen nutzen, um Sie über den Status Ihrer Services zu informieren. Allerdings ist längst nicht allen Verantwortlichen klar, welchen Beitrag eine kontinuierliche Überwachungslösung zum Gesamtbild leisten kann.

Kontinuierliche Überwachung ist ein Ansatz, bei dem ein Unternehmen seine IT-Systeme und Netzwerke ständig überwacht, um Sicherheitsbedrohungen, Leistungsprobleme oder Compliance-Probleme automatisiert zu erkennen. Ziel ist es, potenzielle Probleme und Bedrohungen in Echtzeit zu identifizieren und schnell zu behandeln.

Doch nicht alle Unternehmen implementieren eine kontinuierliche Überwachung oder wissen, wie man sie umsetzt. Die meisten treffen ihre Entscheidungen zwar datenbasiert, doch das ist noch keine kontinuierliche Überwachung.

In diesem Artikel behandeln wir die verschiedenen Arten der kontinuierlichen Überwachung, ihre Vorteile und einige Best Practices für ein erfolgreiches kontinuierliches Überwachungsregime.

Arten der kontinuierlichen Überwachung

Die kontinuierliche Überwachung erstreckt sich über drei Hauptbereiche.

  1. Die Anwendungsschicht der kontinuierlichen Überwachung misst die Anwendungsleistung. Diese Anwendungen können von Ihrem Unternehmen in Eigenregie erstellt werden oder Drittanbietersoftware sein. Zur Überwachung der Anwendungen können Sie Metriken wie Transaktionen und Fehler pro Sekunde, Systembetriebszeit und Verfügbarkeit verfolgen, um Softwarefehler, Leistungsengpässe und die allgemeine Benutzererfahrung schnell zu identifizieren.
  2. Die nächste Ebene ist die Infrastrukturüberwachung der Datenverarbeitungs-, Speicher-, Netzwerk- und anderen physischen Geräte, die in traditionellen Rechenzentren oder ihren virtuellen Äquivalenten auf Cloud-Plattformen zu finden sind. Durch die Überwachung dieses Bereichs können IT-Teams Leistungsprobleme beheben, die Nutzung optimieren, Kosten senken und den Kapazitätenbedarf prognostizieren.
  3. Die Netzwerküberwachung kann Ihnen helfen, den Status Ihrer Firewalls, Switches, Router und anderer Geräte zu verstehen, während sich das Netzwerk weiterentwickelt. Sie erfassen die Quell- und Ziel-IP-Adressen, Ports und Protokollmetadaten Ihres Netzwerkverkehrs und erkennen damit die Bandbreitennutzung, Paketverluste, Verzögerungen und potenzielle böswillige Eindringversuche.

Die kontinuierliche Überwachung kann Protokolle, Metriken, Traces und Ereignisse als Datenquellen für jeden dieser Bereiche nutzen. In diesem Artikel konzentrieren wir uns speziell auf die kontinuierliche Überwachung durch Protokolle.

Vorteile der kontinuierlichen Überwachung

Kontinuierliche Überwachung bedeutet mehr Transparenz für Ihre IT-Abläufe und folglich schnellere und zielgenauere Reaktionen auf Zwischenfälle. Je früher Sie Fehler erkennen, desto früher können Sie mit der Ursachenanalyse und der anschließenden Behebung beginnen. Mit anderen Worten: Sie senken die mittlere Zeit bis zur Lösung des Problems (MTTR).

Auf diese Weise können Sie auch automatisierte Benachrichtigungen an die entsprechenden IT-Teams senden, damit diese sofort alle dringenden Probleme behandeln. Darüber hinaus können Sie Automatisierungstools wie Runbooks mit diesen Warnungen integrieren, um Problembehebungen anzuwenden und das Problem ohne menschliches Eingreifen zu lösen. Für die Kunden des IT-Systems ist die Erfahrung eines solchen proaktiven Ansatzes komplett transparent.

Ein Tool zur kontinuierlichen Überwachung kann zum Beispiel eine Warnung generieren, wenn der freie Speicherplatz eines bestimmten Servers unter einen voreingestellten Schwellenwert sinkt. Basierend darauf könnte eine automatisierte SMS-Textnachricht an das Infrastrukturteam gesendet werden, in der es aufgefordert wird, die Kapazität des Servers zu erhöhen oder dem Datenträger-Volume zusätzlichen Speicherplatz zuzuweisen. Analog kann ein Ereignis wie „Mehrere fehlgeschlagene Anmeldeversuche“ eine Netzwerkkonfigurationsänderung auslösen, die die problematische IP-Adresse blockiert und das SecOps-Team alarmiert.

Die intelligente Nutzung von Protokollen für die kontinuierliche Überwachung kann das Risiko von Cyberangriffen erheblich reduzieren. Durch Mining historischer Systemprotokolle können Sie Benchmarks für die Leistung, die Sicherheit und das Benutzerverhalten erstellen. Sobald Sie genau wissen, wie Abläufe normalerweise aussehen, können Sie Anomalien in aktuellen Protokollereignissen viel besser erkennen.

Mithilfe von Protokollen können Sie auch Authentifizierungs- und Netzwerkereignisse korrelieren (und diese mit Benchmarks vergleichen) sowie verdächtige Aktivitäten wie Brute-Force-Angriffe, Password Spraying, SQL-Injektionen oder Datenexfiltrationen erkennen. Netzwerkprotokolle können zum Beispiel festhalten, wenn ungewöhnlich große Dateien aus Ihrem Netzwerk verschoben werden, während Authentifizierungsprotokolle diese Aktivität einem bestimmten Benutzer auf einem bestimmten Computer zuordnen.

Solche Informationen können auch zur Analyse des Benutzerverhaltens und Echtzeit-Überwachung der Benutzererfahrung genutzt werden. Beispielsweise können die Reaktionszeiten aus einem Webserver-Zugriffsprotokoll das normale Verhalten für eine bestimmte Landing Page zeigen. Wenn die Werte in dieser Benutzererfahrungsmetrik unvermittelt schlechter werden, kann dies auf starken saisonalen Datenverkehr – und damit die Notwendigkeit, Ressourcen zu skalieren – oder sogar auf einen möglichen DDoS-Angriff hinweisen.

Best Practices für die Implementierung kontinuierlicher Überwachung

Mithilfe bewährter Verfahren können Sie langfristige, nachhaltige Lösungen für die kontinuierliche Überwachung einrichten.

Zunächst sollte das Überwachungsprofil Ihre organisatorischen und technischen Einschränkungen berücksichtigen. Obwohl es verlockend ist, alle Systeme in das kontinuierliche Überwachungsregime einzubeziehen: Es kann sich als unnötig kostenintensiv und komplex herausstellen. Wenn Sie Ihre Ziele nicht sorgfältig formulieren, vergeuden Sie wertvolle Netzwerkbandbreite, Speicherkapazität und Verarbeitungsleistung.

Deshalb müssen Sie Ihre IT-Umgebung gut kennen und die praktischen Anforderungen und Kostengrenzen verstehen. Eine enge Abstimmung mit den Verantwortlichen aller relevanten Teams wird Ihnen helfen, deren Bedürfnisse und Erwartungen zu verstehen. Ziel ist es, jede Möglichkeit auszuschließen, dass ein kritisches nicht überwachtes System offline geht. Aber es sollte auch keine Überraschungen geben, wenn eine unerwartete Rechnung für technische Leistungen oder Komponenten das Buchhaltungsteam erreicht.

Sobald Sie die wichtigsten Systeme identifiziert haben, sollten Sie den Überwachungsumfang einschließlich der wichtigsten Metriken und Ereignisse festlegen. Beispielsweise können Sie Anwendungsfehler priorisieren oder leistungsbezogene Ereignisse und Metriken einbeziehen. Möglicherweise müssen Sie sich entscheiden, ob Sie Änderungen an der Firewall-Konfiguration oder Details zum blockierten Datenverkehr erfassen möchten. Eventuell müssen Sie aber auch herausfinden, welche kapazitätsbezogenen Probleme auf Ihren Servern am kritischsten sind.

Sobald Sie ein Profil der Elemente erstellt haben, die Sie überwachen möchten, müssen Sie entscheiden, wie Sie diese Elemente überwachen möchten. Bei der Auswahl einer Überwachungssoftware müssen Sie Ihre geschäftlichen und technologischen Anforderungen sowie Ihr vorhandenes Budget berücksichtigen. Um Ihre Investition optimal nutzen zu können, sollte das System zu Ihrer bestehenden und – zumindest zum größten Teil – zu Ihrer geplanten Umgebung passen. Das bedeutet:

  • Die Lösung für kontinuierliche Überwachung muss mit den Anwendungsstapeln arbeiten, die in der ersten Phase der Bestandsaufnahme identifiziert wurden. Diese Stapel umfassen alle Softwarekomponenten, die Infrastruktur und Netzwerkelemente.
  • Die Protokolle, Metriken, Ereignisse und Traces von jedem Integrationspunkt der Stapel sollten problemlos in die Lösung einbezogen werden können.
  • Die Lösung sollte in der Lage sein, die im Laufe der Zeit aufkommende Datenmenge zu erfassen, zu speichern und zu verarbeiten.
  • Die von den Zielsystemen erfassten Daten werden während der Übertragung und Speicherung verschlüsselt. Außerdem werden alle sensiblen Informationen bei Bedarf maskiert.
  • Die erfassten Daten müssen in bestimmten geografischen Regionen gehostet werden (sofern dies aufgrund von Branchenvorschriften vorgeschrieben wird).
  • Es muss die Möglichkeit bestehen, die überwachten Daten zu durchsuchen, zu analysieren und zu visualisieren.
  • Unterschiedliche Ereignisse und Metriken von denselben Berührungspunkten des Anwendungsstapels sollten korrelierbar sein.
  • Sie sollten in der Lage sein, Trends, Anomalien und Vergleiche anzuzeigen und Benachrichtigungen über verschiedene Kommunikationskanäle einzurichten.
  • Das Lizenzierungsmodell sollte flexibel sein, außerdem ist es wichtig, dass Sie bei Bedarf jede nötige Unterstützung erhalten.

Denken Sie schließlich daran, dass es bei der kontinuierlichen Überwachung nicht genügt, sie einmal einzurichten und sie dann nie wieder anzusehen. Erwarten und planen Sie einen fortlaufenden, iterativen Anpassungsprozess, der sich über den gesamten Produktlebenszyklus erstreckt. Dafür müssen Sie im Laufe der Zeit folgende Grundsätze befolgen:

  • Integrieren Sie neue Systeme in das kontinuierliche Überwachungsregime.
  • Arbeiten Sie mit allen relevanten Teams zusammen, um sicherzustellen, dass sie von der Überwachung profitieren.
  • Aktualisieren Sie Quellsysteme und passen Sie sie bei Bedarf an, um sie besser in die Lösung zu integrieren.

Vollständige Protokollierung und Einblicke – kostenlos

Falcon LogScale Community Edition (ehemals Humio) ist eine kostenlose moderne Log-Management-Plattform für die Cloud. Durch die Erfassung von Streaming-Daten erhalten Sie einen sofortigen Überblick über verteilte Systeme und können Zwischenfälle verhindern bzw. beheben.

Falcon LogScale Community Edition ist sofort kostenlos verfügbar und bietet folgende Vorteile:

  • Erfassung von bis zu 16 GB pro Tag
  • Speicherung bis zu 7 Tage
  • Keine Kreditkarte erforderlich
  • Unbegrenzter Zugriff ohne Testzeitraum
  • Indexlose Protokollierung, Echtzeit-Warnungen und Live-Dashboards
  • Zugriff auf unseren Marktplatz und zugehörige Pakete, einschließlich Leitfäden zur Entwicklung neuer Pakete
  • Lernen und Kooperation in einer aktiven Gemeinschaft

Kostenlos testen

INFORMATIONEN ZUM AUTOR

Arfan Sharif ist Product Marketing Lead für das Observability-Portfolio bei CrowdStrike. Er verfügt über mehr als 15 Jahre Erfahrung bei der Umsetzung von Lösungen für Log-Management, ITOps, Beobachtbarkeit, Sicherheit und Benutzerunterstützung für Unternehmen wie Splunk, Genesys und Quest Software. Arfan Sharif hat einen Abschluss in Informatik bei der Buckinghamshire New University und blickt auf eine Karriere in den Bereichen Produktmarketing und Sales Engineering zurück.

Featured Articles

Featured Image
SIEM und Log-Management im Vergleich
Featured Image
Was ist Log-Rotation?
Featured Image
Beobachtbarkeit und Überwachung im Vergleich