Was ist IT-Ereigniskorrelation?

Für die IT-Ereigniskorrelation sind Automatisierungs- und Softwaretools, sogenannte Ereigniskorrelatoren, erforderlich, die einen Strom von Monitoring- und Event Management-Daten empfangen, die automatisch innerhalb der gesamten verwalteten Umgebung generiert werden. Mithilfe von KI-Algorithmen analysiert der Korrelator diese Monitoring-Benachrichtigungen, um Ereignisse zu korrelieren, indem er sie in Gruppen zusammenfasst. Diese Gruppen werden dann mit Daten über Systemänderungen und die Netzwerktopologie verglichen, um die Ursache und Lösung für die Probleme zu ermitteln. Es ist daher unbedingt notwendig, eine hohe Datenqualität sicherzustellen und klare Korrelationsregeln festzulegen. Dies gilt ganz besonders bei der Unterstützung verwandter Aufgaben wie der Zuordnung von Abhängigkeiten, der Erstellung von Service-Maps und der Event-Unterdrückung.

Der gesamte Ereigniskorrelationsprozess besteht im Allgemeinen aus folgenden Schritten:

• Aggregieren: Daten aus dem Infrastruktur-Monitoring werden von verschiedenen Geräten, Anwendungen, Monitoring-Tools und Service-Ticket-Systemen erfasst und in den Korrelator eingespeist.
• Filtern: Events werden nach benutzerdefinierten Kriterien wie Quelle, Zeitraum oder Event-Level gefiltert. Dieser Schritt kann alternativ auch vor dem Aggregieren durchgeführt werden.
• Deduplizieren: Das Tool identifiziert doppelte Events, die vom gleichen Problem ausgelöst wurden. Es gibt viele Gründe für eine Duplizierung von Ereignissen (Beispiel: 100 Personen erhalten dieselbe Fehlermeldung, was zu 100 separaten Benachrichtigungen führt). Oftmals muss trotz einer Vielzahl von Benachrichtigungen nur ein einziges Problem behoben werden.
• Normalisieren: Beim Normalisieren werden die Daten in ein einheitliches Format umgewandelt, damit der KI-Algorithmus des Ereigniskorrelations-Tools sie unabhängig von der Quelle alle gleich interpretiert.
• Kernursachenanalyse: Dies ist der komplexeste Schritt des Prozesses. Hier werden Ereignisabhängigkeiten analysiert, um die Kernursache des Events festzustellen. (Es werden beispielsweise Events auf einem Gerät untersucht, um die Auswirkungen dieses Geräts auf alle anderen Geräte im Netzwerk festzustellen.)

Nach Abschluss des Korrelationsprozesses ist die ursprüngliche Zahl an Events auf einige wenige geschrumpft, die Maßnahmen erfordern. In einigen Ereigniskorrelations-Tools löst dies eine Reaktion aus, wie etwa eine Empfehlung für weitere Untersuchungen, eine Eskalation oder automatisierte Behebungsmaßnahme, sodass sich IT-Administratoren besser auf Troubleshooting-Aufgaben konzentrieren können.

Abhängig von ihrer IT-Umgebung und ihren Geschäftsanforderungen korrelieren viele Unternehmen unterschiedliche Ereignistypen. Es gibt jedoch einige gängige Arten von Ereigniskorrelationen:

• Systemereignisse: Diese Ereignisse beschreiben anomale Änderungen bei Systemressourcen oder Systemzustand. Eine volle Festplatte oder eine hohe CPU-Auslastung sind Beispiele für Systemereignisse.
• Netzwerkereignisse: Netzwerkereignisse beschreiben den Zustand und die Performance von Switches, Routern, Ports und anderen Komponenten des Netzwerks sowie den Netzwerk-Traffic, falls dieser außerhalb definierter Schwellenwerte liegt.
• Betriebssystemereignisse: Diese Ereignisse werden von Betriebssystemen wie Windows, Linux, Android und iOS generiert und beschreiben Änderungen in der Schnittstelle zwischen Hard- und Software.
• Datenbankereignisse: Diese Ereignisse helfen Analysten und Administratoren zu verstehen, wie Datenbankdaten gelesen, gespeichert und aktualisiert werden.
• Anwendungsereignisse: Diese von Softwareanwendungen generierten Ereignisse können Einblick in die Anwendungsleistung geben.
• Webserver-Ereignisse: Diese Ereignisse beschreiben Aktivitäten in der Hard- und Software, die Webseiteninhalt bereitstellen.
• Benutzerereignisse: Diese Ereignisse beschreiben die Infrastrukturleistung aus der Sicht der Benutzer und werden von Synthetic Monitoring- oder Real User Monitoring-Systemen generiert.

Bei der Ereigniskorrelation wird eine Vielzahl von Techniken eingesetzt, um Zusammenhänge zwischen Ereignisdaten zu erkennen und die Ursache eines Problems zu ermitteln. Der Prozess basiert auf Machine Learning-Algorithmen, die sich hervorragend dazu eignen, Muster und Problemursachen in riesigen Datenmengen zu erkennen.

Dies sind einige der gängigen Techniken zur Ereigniskorrelation:

• Zeitbasiert: Bei dieser Technik wird untersucht, was unmittelbar vor oder während eines Ereignisses passierte, um Beziehungen hinsichtlich des Zeitpunkts und der Abfolge von Ereignissen zu erkennen. Der Benutzer definiert einen Zeitraum oder eine Latenzbedingung für die Korrelation.
• Regelbasiert: Bei der regelbasierten Korrelation werden Events mit bestimmten Variablen wie Zeitstempel, Transaktionstyp oder Kundenstandort verglichen. Für jede Variable müssen neue Regeln geschrieben werden, was diesen Ansatz für viele Unternehmen unpraktisch macht.
• Musterbasiert: Bei diesem Ansatz werden zeit- und regelbasierte Techniken kombiniert, um Beziehungen zwischen Ereignissen zu finden, die einem definierten Muster entsprechen. Die musterbasierte Korrelation ist effizienter als der regelbasierte Ansatz, erfordert allerdings ein Ereigniskorrelations-Tool mit integriertem Machine Learning.
• Topologiebasiert: Bei dieser Technik werden Events der Topologie betroffener Geräte oder Anwendungen zugeordnet, sodass Benutzer Incidents leichter im Kontext ihrer IT-Umgebung visualisieren können.
• Domänenbasiert: Bei einem domänenbasierten Ansatz werden Monitoring-Daten aus einzelnen IT Operations-Bereichen, wie etwa Netzwerkleistung oder Webanwendungen, erfasst und die Events korreliert. Ein Ereigniskorrelations-Tool kann auch Daten aus allen Domänen erfassen und dann domänenübergreifend korrelieren.
• Historisch basiert: Mit dieser Technik können Sie aus historischen Events lernen, indem Sie neue Events mit früheren auf Übereinstimmungen vergleichen. Der historisch basierte Ansatz ähnelt der musterbasierten Korrelation, kann jedoch nur identische Ereignisse vergleichen, während die musterbasierte Korrelation keiner solchen Einschränkung unterliegt.

Mit einem Ereigniskorrelations-Tool können Sie ganz leicht Muster und Anomalien in IT-Ereignissen erkennen. Nachdem Sie eine erste Suche in Ihren Event-Daten durchgeführt haben, kann ein Analyst die Ergebnisse mit dem Tool nach Ereignismuster gruppieren. Die Ereignismusteranalyse ist besonders nützlich, wenn eine Suche ein breites Spektrum an Events ergibt, da sie die häufigsten Ereignistypen ermittelt.

In der Benutzeroberfläche von Ereigniskorrelations-Tools gibt es meist Funktionen zur Erkennung von Anomalien und anderen Mustern. Wenn Sie eine Musterfunktion zur Anomalieerkennung starten, würde dies beispielsweise eine sekundäre Suche in einer Teilmenge der aktuellen Suchergebnisse auslösen, um sie auf gemeinsame Muster zu analysieren. Die Muster basieren auf großen Ereignisgruppen, um die Genauigkeit sicherzustellen, und werden in der Reihenfolge vom häufigsten zum seltensten Event aufgeführt. Mit einem Ereigniskorrelations-Tool können Sie eine Mustersuche als Ereignistyp speichern und eine Benachrichtigung erstellen, die ausgelöst wird, wenn eine Anomalie oder Abweichung im Muster erkannt wird.

Die IT-Ereigniskorrelation hat viele Use Cases und Vorteile, wie etwa:

• Cybersicherheit sowie Malware-Sichtbarkeit und -Erkennung in Echtzeit: IT-Teams können Monitoring-Logs von Antivirus-Software, Firewalls und anderen Sicherheitsmanagement-Tools korrelieren, um zuverlässige Bedrohungsinformationen zu erhalten, die dazu beitragen, Sicherheitsverletzungen zu identifizieren und Bedrohungen in Echtzeit zu entdecken.
• Geringere IT-Betriebskosten: Die Ereigniskorrelation automatisiert notwendige, aber zeitaufwändige Netzwerkverwaltungsprozesse. Dadurch wenden Teams weniger Zeit dafür auf, wiederkehrende Benachrichtigungen zu verstehen, und haben mehr Zeit für die Abwehr von Bedrohungen und die Behebung von Problemen.
• Höhere Effizienz: Die manuelle Ereigniskorrelation ist arbeitsintensiv und zeitaufwändig und erfordert Fachwissen – Faktoren, die die Durchführung immer schwieriger machen, wenn die Infrastruktur wächst. Im Gegensatz dazu steigern automatisierte Tools die Effizienz und lassen sich zur Anpassung an Ihre SLAs und Infrastruktur leicht skalieren.
• Einfachere Compliance: Die Ereigniskorrelation erleichtert das kontinuierliche Monitoring sämtlicher IT-Infrastrukturen und ermöglicht Ihnen, Berichte zur Abwehr von Sicherheitsbedrohungen und Maßnahmen für die Einhaltung gesetzlicher Vorschriften zu erstellen.
• Weniger Rauschen: Von den Tausenden von Netzwerkereignissen, die tagtäglich auftreten, sind einige schwerwiegender als andere. Ereigniskorrelations-Software kann die Unmengen an Incidents und Events schnell durchsuchen, um die kritischsten Vorfälle bzw. Ereignisse zu ermitteln und ihnen oberste Priorität zuzuordnen.

Im Wesentlichen hilft die IT-Ereigniskorrelation Unternehmen, die Zuverlässigkeit ihrer IT-Infrastruktur sicherzustellen. Jedes IT-Problem kann die Fähigkeit eines Unternehmens gefährden, die Wünsche und Anforderung seiner Kunden zu erfüllen und Einnahmen zu erzielen. Bei einer Umfrage aus dem Jahr 2020 gaben 25 % der Befragten weltweit an, dass die Durchschnittskosten bei einem Ausfall ihrer Server pro Stunde bis zu 400.000 US-Dollar betragen. Die Ereigniskorrelation trägt dazu bei, Downtime-Kosten einzudämmen, indem sie die Zuverlässigkeit der Infrastruktur erhöht.

Die Ereigniskorrelation kann die Netzwerksicherheit unterstützen, da dabei große Mengen an Event-Daten analysiert und Beziehungen oder Muster identifiziert werden können, die unter Umständen auf Sicherheitsbedrohungen hindeuten.

Stellen Sie sich zum Beispiel vor, Sie bemerken mehrere Anmeldeversuche in kurzer Zeit bei einem Account, das jahrelang inaktiv war. Nach der erfolgreichen Anmeldung beginnt das Account, verdächtige Befehle auszuführen. Mithilfe der Ereigniskorrelation könnte ein Angriffserkennungssystem (Intrusion Detection System) diese zusammenhängenden Events als potenziellen Cyberangriff erkennen und das zuständige Team benachrichtigen.

Ein Ereigniskorrelations-Tool kann die Daten, die es aus Infrastrukturquellen erfasst, zuordnen und kontextualisieren, um verdächtige Muster in Echtzeit zu erkennen. Einige Ereigniskorrelations-Tools erstellen auch Korrelationsberichte zu gängigen Angriffsarten, wie etwa Bedrohungen für Benutzeraccounts und Datenbanken, Windows- und Linux-Bedrohungen sowie Ransomware.

Die Ereigniskorrelation versetzt IT-Teams in die Lage, besser auf Sicherheitsbedrohungen zu reagieren und wirkungsvollere Präventionsrichtlinien zu entwickeln.

Seit den Anfängen von Enterprise Computing ist die Ereigniskorrelation eine wesentliche Methode zur Erkennung und Lösung von IT-Problemen, die sich negativ auf das Geschäft auswirken können.

In der Vergangenheit war die Ereigniskorrelation ein überschaubarer manueller Prozess für IT-Teams zu Zeiten als Netzwerke noch weniger komplex waren und hauptsächlich aus lokalen Systemen bestanden. Die dynamischen Netzwerkumgebungen von heute können jedoch an einem einzigen Tag Tausende oder gar Millionen von Ereignissen generieren. Es übersteigt die menschlichen Fähigkeiten, die Flut an Ereignissen, die moderne Infrastrukturen erzeugen, zu bewältigen, geschweige denn, sie in verwertbare Informationen umzuwandeln. Die Ereigniskorrelations-Technologie erledigt diese Aufgabe schneller und kosteneffizienter, sodass sich IT-Teams mehr auf die Behebung von Problemen als auf ihre Erkennung konzentrieren können.

Die IT-Ereigniskorrelation wird in das Security Information and Event Management (SIEM) integriert, indem die eingehenden Logs eingelesen, korreliert und normalisiert werden, um die Erkennung von Sicherheitsproblemen in Ihrer Umgebung zu erleichtern. Für diesen Prozess ist sowohl die SIEM-Software als auch eine separate Ereigniskorrelations-Engine erforderlich. Daher ist es wichtig zu wissen, wie die beiden funktionieren, um die Vorteile ihrer gemeinsamen Nutzung zu verstehen.

Erfahren Sie mehr über Splunk SIEM für Enterprise Security.

In seiner Grundform sammelt und aggregiert SIEM die Logdaten, die in der gesamten IT-Infrastruktur eines Unternehmens generiert werden. Diese Daten stammen von Netzwerkgeräten, Servern, Anwendungen, Domain Controllern und anderen separaten Quellen und liegen in einer Vielzahl von Formaten vor. Aufgrund ihres unterschiedlichen Ursprungs gibt es nur wenige Möglichkeiten, die Daten zu korrelieren, um Trends oder Muster zu erkennen. Das macht es schwierig festzustellen, ob ein ungewöhnliches Event auf eine Sicherheitsbedrohung oder nur eine Abweichung hindeutet.

Bei der Ereigniskorrelation werden alle in Ihr System eingehenden Logs erfasst und in ein einheitliches, lesbares Format konvertiert. Nach der Normalisierung der Logs können Analysten die auf mehrere Log-Typen verteilten Hinweise zusammensetzen und dadurch in Echtzeit Incidents und Sicherheits-Events erkennen. Die Ereigniskorrelation führt zudem zu mehr Klarheit in Bezug auf die Log-Quellen, so dass Sie Trends bei eingehenden Events erkennen können.

Für den Einstieg in die Ereigniskorrelation benötigen Sie zunächst eine Ereigniskorrelationslösung, die die spezifischen Anforderungen Ihres Unternehmens erfüllt. Berücksichtigen Sie bei der Bewertung der einzelnen Ereigniskorrelatoren folgende Aspekte:

• Benutzererfahrung: Wie bei jeder neuen Software sollten Sie unbedingt beachten, ob sie für die Benutzer einfach zu erlernen, zu verstehen und zu benutzen ist. Ein guter Ereigniskorrelator verfügt über eine moderne Oberfläche mit intuitiver Navigation und eine Verwaltungskonsole, die sich in Ihre IT-Infrastruktur integrieren lässt. Seine nativen Analysefunktionen sollten sich einfach einrichten lassen und gut verständlich sein. Zudem sollte die Integration mit branchenführenden Analysesystemen von Drittanbietern problemlos möglich sein.
• Merkmale und Funktionen: Es ist wichtig zu wissen, welche Datenquellen und Datenformate ein Datenkorrelator einlesen kann. Außerdem sollten Sie sich unbedingt ansehen, welche Event-Typen das Tool korrelieren kann (Monitoring, Observability, Änderung etc.) und welche Schritte seine Event-Datenverarbeitung umfasst (Normalisieren, Deduplizieren, Kernursachenanalyse etc.). Wünschenswert ist zudem die Möglichkeit, geeignete Aktionen auszulösen (wie etwa die automatisierte Behebung).
• Machine Learning und Anomalieerkennung: Sie müssen zwar kein Data Scientist sein, um einen Ereigniskorrelator zu verwenden, ein Grundverständnis von Machine Learning ist bei der Kaufentscheidung aber durchaus hilfreich. Es gibt im Wesentlichen zwei Arten von Machine Learning: überwachtes und nicht überwachtes Machine Learning.
  • Bei überwachtem Machine Learning wird ein strukturiertes Datenset verwendet, das Beispiele mit bekannten, spezifischen Ergebnissen enthält, um den Algorithmus zu lenken. Der Algorithmus wird angewiesen, welche Variablen er analysieren soll, und erhält Feedback zur Genauigkeit seiner Vorhersagen. Dadurch wird der Algorithmus mit vorhandenen Daten „trainiert“, um Ergebnisse für neue Daten vorhersagen zu können.
  • Bei nicht überwachtem Machine Learning werden Daten dagegen ohne Verweise auf bekannte Ergebnisse untersucht. So können zuvor nicht bekannte Muster in unstrukturierten Daten identifiziert und nach ähnlichen Merkmalen gruppiert werden. Da maschinengenerierte Datenformate stark variieren und von strukturierten Syslog-Daten bis zu unstrukturierten, mehrzeiligen Anwendungsdaten reichen, muss ein Korrelator unbedingt sowohl überwachtes als auch nicht überwachtes Machine Learning unterstützen.

Zusätzlich zu diesen Kriterien sollten Sie auch prüfen, ob der Ereigniskorrelator Ihrer Wahl mit den Tools und Partnern integriert werden kann, mit denen Sie momentan arbeiten. Darüber hinaus sollte die gewählte Korrelationslösung Sie auch dabei unterstützen, für Ihr Unternehmen oder Ihre Branche geltende Compliance-Anforderungen zu erfüllen, und zuverlässigen Kunden-Support bieten.

Nach Ihrem Einstieg in die Ereigniskorrelation finden Sie Tipps zur Optimierung Ihrer Verfahren im Blog über Best Practices für die Ereigniskorrelation.

Die zunehmende Komplexität moderner Infrastrukturen und eine aggressivere, raffiniertere Bedrohungslandschaft machen es für IT-Teams schwieriger denn je, Performance-Probleme und Sicherheitsvorfälle zu erkennen und zu beheben. Je mehr sich diese Faktoren verschärfen, desto wichtiger wird die Ereigniskorrelation als Tool für Unternehmen, mit dem sich die Zuverlässigkeit ihrer IT-Services sicherstellen lässt. Dazu wird die IT-Ereigniskorrelation auch weiterhin die Selbstheilung des Netzwerks unterstützen und optimieren.

Außerdem muss sich die Ereigniskorrelation auch weiterhin die Fortschritte bei Analytik und künstlicher Intelligenz zunutze machen, um mit dieser dynamischen Umgebung Schritt zu halten. Sie wird vor allem im Bereich AIOps eine wichtige Rolle spielen, wenn Unternehmen versuchen, eine Flut von Benachrichtigungen in Echtzeit zu verarbeiten und zu analysieren, bevor sie zu Ausfällen oder Netzwerkstörungen eskalieren.

Die Hinweise auf Performance-Probleme und Sicherheitsbedrohungen in Ihrer Umgebung stecken in Ihren Event-Daten. IT-Systeme können jedoch tagtäglich mehrere Terabyte an Daten genieren, sodass es praktisch unmöglich ist festzustellen, auf welche Ereignisse reagiert werden muss und auf welche nicht. Die Ereigniskorrelation ist der Schlüssel zur sinnvollen Interpretation von Warnmeldungen und ermöglicht, schneller und effektiver Abhilfemaßnahmen zu ergreifen. Sie hilft Ihnen, Ihre IT-Umgebung besser zu verstehen und ihre Verfügbarkeit für Ihre Kunden und Ihr Unternehmen sicherzustellen.