von David Gibson
Im Februar war ich als Referent zur Tech-Security Conference von Data Connectors in Houston eingeladen. Dabei wurde ich mehrfach gefragt, wie viel Speicherplatz denn „all diese Audit-Protokolldaten“ beanspruchten und wie lange man diese aufbewahren könnte, um dazu noch Berichte erstellen zu können. Ein Zuhörer erklärte, er habe ein System zur Erfassung von Audit-Daten auf einem aktiven Dateiserver installiert. Innerhalb eines Monats sammle sich jedoch ein ganzes Terabyte an Daten an. Noch schlimmer sei jedoch, dass die Nutzung des Systems während der Erstellung von Berichten kaum möglich sei.
Wenn Sie schon einmal die native Auditing-Funktion (wie „Objektzugriffsversuche überwachen“ in Windows oder BSM in Solaris) aktiviert und sich die Protokolle angesehen haben, dann ist Ihnen vielleicht aufgefallen, dass dabei eine gigantische Anzahl von Ereignissen generiert wird. Ich habe eben die native Auditing-Funktion an meinem Computer aktiviert, um ein paar Zahlen zu bekommen. Ich öffnete eine (bestehende) Datei, änderte eine Zeile, speicherte und schloss die Datei wieder. Allein dadurch wurden 130 Ereignisse generiert (46 Ereignisse des Typs 4656, 46 4658- und 38 4663-Ereignisse). Es ist also kein Wunder, dass das Erfassen und Speichern der Rohdaten für Auditprotokolle so viel Platz beansprucht und deren Analyse sehr lange dauert.
In diesem Bereich ist die Metadaten-Framework-Technologie zum Schutz unstrukturierter Daten einfach unschlagbar. Ein Metadaten-Framework kann auf vielen Plattformen nicht nur die ineffizienten nativen Auditing-Funktionen des Betriebssystems ersetzen, sondern die Audit-Informationen auch normalisieren und in intelligenten Datenstrukturen speichern. Bei der Normalisierung werden redundante Informationen entfernt, und nachdem die rechenintensiven Teile des Audit-Trails (z. B. Pfad und SID) in Ganzzahlen umgewandelt wurden, lassen sich die Datenstrukturen deutlich einfacher verarbeiten.
Mithilfe von Normalisierung und intelligenten Datenstrukturen können Audit-Informationen nicht nur effizienter gespeichert, sondern auch schneller durchsucht und einfacher analysiert werden.
The post Ihr Dateisystem-Audit beansprucht zu viel Speicherplatz? Dann lesen Sie weiter… appeared first on Varonis Deutsch.