Published Date: March 1, 2020
In der Vergangenheit mussten diese Ereignisse – und die sich anschließenden Maßnahmen – einzeln von menschlichen Analysten verwaltet werden, entweder beim Auftreten der Ereignisse oder durch manuelles Durchsuchen der Logdateien auf der Suche nach Anomalien und Ausreißern. Mit der Zeit wurden Event-Management-Systeme entwickelt, die IT-Managern eine Möglichkeit boten, die verschiedenen Ereignisbenachrichtigungen zu sichten und den Betrieb zu optimieren. Da die Netzwerke jedoch immer weiter wuchsen, wurden Anzahl und Komplexität der Warnmeldungen in vielen großen Unternehmen schnell unübersichtlich. Daher findet man in der Praxis meist mehrere Tools, mit denen verschiedene Events – vom Erfolg von Go-To-Market- und Marketing-Kampagnen bis hin zur Netzwerklatenz – in verschiedenen Abteilungen des Unternehmens verwaltet werden.
Event Analytics ist die nächste Generation des Event Managements. Es wurde entwickelt, um mehrere Systeme auf einer zentralisierten Plattform zu konsolidieren, was die Erkennung der Grundursache eines bestimmten Problems vereinfacht. Wie bei der Cloud- und der universellen Analyse wurden große Teile dieses Prozesses durch Machine Learning-Algorithmen automatisiert, sodass weniger menschliche Interaktion erforderlich ist, um ein Ereignis erfolgreich zu lösen, womit Unternehmen aller Branchen einen erheblichen Wettbewerbsvorteil im schnelllebigen digitalen Zeitalter erfahren.
Was ist der Unterschied zwischen Event Analytics und Cloud Analytics?
Event Analytics und Cloud Analytics ähneln sich, unterscheiden sich aber in der Art der Interaktionen, die sie hervorbringen. Event Analytics kann lokal ausgeführte Software umfassen, während Cloud Analytics sich ausschließlich auf Services bezieht, die in der Cloud laufen. Andererseits umfasst Cloud Analytics in der Regel andere Arten von Analyse-Services als Event Analytics, je nach den Anforderungen des Anbieters. Cloud Analytics ist darüber hinaus speziell für Cloud-Services sinnvoll, deren Effizienz und Performance sich steigern lässt, indem Administratoren die Suche nach Ereignisdaten über das gesamte Netzwerk hinweg erspart wird. Während es sich bei herkömmlichen Tools der Ereignisanalyse um lokale Softwareanwendungen handeln kann, sind Cloud Analytics-Tools zur Gänze online gehostet.
Ein Cloud-basierter Ansatz zur Ereignisanalyse bietet erhebliche Vorteile. Cloud-basierte Analysen erfordern nur eine minimale Infrastruktur, wodurch die Software vergleichsweise einfacher zu installieren und zu konfigurieren ist. Cloud Analytics ist außerdem flexibler und kann automatisch aktualisiert werden, wodurch IT-Manager weniger Zeit mit der Softwareadministration und mehr Zeit mit der Auswertung der Daten verbringen können.
In der Analytik ist ein Ereignis ein Datensatz, der sich auf eine Änderung des Zustands eines Geräts im Netzwerk bezieht. Ereignisse werden normalerweise mit extremer Regelmäßigkeit erzeugt. Beispielsweise kann ein Server eine Ereignisaktion oder einen Ereigniseintrag immer dann aufzeichnen, wenn auf einer Webseite eine bestimmte Anzahl von Seitenaufrufen oder Link-Klicks oder eine beliebige andere Benutzeraktion aufgetreten ist. In einer stark ausgelasteten Umgebung kann das Logdateien zur Folge haben, die für jeden Betriebstag mehrere Terabyte an Daten umfassen.
Ein Ereignis ist nicht zwangsläufig etwas Negatives. Je nach Art der Interaktion ist die große Mehrheit der Ereignisse tatsächlich harmlos und entspricht den Erwartungen. Ein Ereignis fällt in eine von drei Kategorien: Information, Warnung oder Ausnahme. Diese sind jeweils mit einem unterschiedlichen Maß an Besorgnis zu betrachten. Event Management- und Event Analytics-Tools sind darauf ausgelegt, Teams beim Durchsieben der Ereignisdaten zu helfen, um zu bestimmen, wo echte Probleme vorliegen. Sie erleichtern die Erstellung einer Ereigniskategorie, die sich aus relevanten Ereignissen, Episoden, Incidents und anderen Vorkommnissen zusammensetzt. Und sie generieren regelmäßig Berichte und warnen das Management rechtzeitig, wenn etwas nicht in Ordnung ist.
Was sind Ereignisdaten und inwiefern sind sie im Bereich Analytics wertvoll?
Ereignisdaten (Event Data) beschreiben die zusätzlichen Daten, die bestimmten Ereignissen in einem Analyseindex hinzugefügt werden. Ereignisdaten enthalten in der Regel Informationen wie Zeichensatzkodierung, Zeitstempel, benutzerdefinierte Metadaten, Ereignisse ohne Interaktion und andere standardisierte Felder wie den Namen des Hosts oder der Ereignisquelle. Ferner können Ereignisse innerhalb der Ereignisdaten segmentiert und bei Bedarf anonymisiert werden.
Ereignisdaten ermöglichen unter anderem eine schnellere Suche, eine einfachere Analyse und die Möglichkeit, Ereignisse anhand von Benutzerkriterien zu kategorisieren. Außerdem wird es mit wachsendem Ereignisdatenindex einfacher, Anomalien durch die Nachverfolgung von Ereignissen zu erkennen und langfristige Trends auszumachen.
Was sind Incidents?
Ein Incident (Vorfall) wird ausgelöst, wenn eine Sicherheitsverletzung oder eine Serviceunterbrechung vorliegt. Vom Standpunkt der Analyse betrachtet, beginnt ein Incident , wenn ein Muster im Ereignisindex entdeckt wird, das für die Sicherheit oder den Betrieb eines Unternehmenssystems von Bedeutung sein könnte. Wenn ein verdächtiges Muster erkannt wird, wird ein als relevantes Ereignis bezeichneter Eintrag erstellt, der mithilfe eines Codes zur Ereignisnachverfolgung gekennzeichnet wird. Im Event Analytics-Tool zeigt ein Incident-Dashboard alle relevanten Ereignisse und Episoden an. Die relevanten Ereignisse erhalten einen numerischen Wert oder einen anderen Code, der ihnen einen Ereigniswert (oder eine Ereignisbezeichnung) zuweist, der sie nach Schweregrad kategorisiert. Auf diese Weise können die wichtigsten Ereignisse schnell gesichtet, zugewiesen, nachverfolgt und geschlossen werden.
An einem typischen Incident-Workflow ist ein administrativer Analyst beteiligt, der das Incident-Übersichts-Dashboard überwacht und neuen relevanten Ereignissen einen numerischen Wert zuweist sowie eine relativ oberflächliche allgemeine Sichtung der Ereignisse durchführt, während sie erstellt und in das Event Analytics-Tool eingefügt werden. Wenn ein relevantes Ereignis eine Untersuchung rechtfertigt, weist der administrative Analyst das Ereignis einem überprüfenden Analysten zu, der eine formale Untersuchung des Vorfalls einleitet. Wenn die Untersuchung abgeschlossen ist, gibt der Analyst das Ereignis zur Überprüfung an einen Endanalysten weiter, der die Änderungen genehmigt und den Fall schließt.
Was sind Korrelationssuchen?
Eine Korrelationssuche ist eine Art von geplanter oder wiederkehrender Suche in Analytics-Ereignis-Logs, die auf verdächtige Ereignisse oder Muster prüft. Benutzer können eine Korrelationssuche konfigurieren, die verwendet wird, um ein relevantes Ereignis zu erstellen, wenn bestimmte Bedingungen erfüllt sind. Diesen relevanten Ereignissen wird eine Risikobewertung zugewiesen, die ihrerseits eine entsprechende Warnmeldung erzeugt, die zur Ereignisnachverfolgung verwendet wird. Korrelationssuchen können sich über mehrere Datentypen erstrecken, wodurch IT-Manager verdächtige Angriffsmuster genauer identifizieren können.
Eine Korrelationssuche wird normalerweise verwendet, um einer bestimmten Sicherheitsanforderung Rechnung zu tragen, z. B. Benutzerklicks, die zu einem bösartigen Download führen, infizierte ausgehende Links, die in ein Webseitenelement eingebettet sind, oder ein Plug-In, das Sicherheitslücken aufweist. Wenn Sie bei Sicherheitsvorfällen benachrichtigt werden möchten, kann eine Korrelationssuche diesen Vorgang durch regelmäßiges Durchsuchen des Ereignisindex automatisieren.
Was macht ein relevantes Ereignis aus? Was ist eine Aggregationsrichtlinie für relevante Ereignisse?
Ein relevantes Ereignis oder Top-Ereignis ist ein bestimmter Ereignisdatensatz, der von einer Korrelationssuche generiert wird. In der Regel geschieht dies in Form einer Warnmeldung oder der Erstellung eines Indicents, die bzw. der an den Analysten weitergeleitet wird, falls bestimmte Kriterien erfüllt werden. Im Wesentlichen sind relevante Ereignisse die Ereignisse, um die Sie sich kümmern müssen.
Eine Aggregationsrichtlinie für relevante Ereignisse wird angewendet, um relevante Ereignisse zusammenzufassen und zu strukturieren. Diese Richtlinien können durch einen menschlichen Analysten oder einen Machine Learning-Algorithmus festgelegt werden, der ihre Implementierung automatisiert. Während dieses Prozesses werden doppelte Einträge entfernt, und eine Episode wird erstellt, sobald die Ereignisse entsprechend gruppiert sind. Die Aggregationsrichtlinie für relevante Ereignisse enthält sowohl die relevanten Ereignisse als auch die Regeln zur Automatisierung der Maßnahmen, die als Reaktion auf eine Episode ergriffen werden. (Mit anderen Worten: Die Richtlinie enthält sowohl das Problem als auch die Lösung.)
Was sind Episoden?
Eine Episode ist eine Gruppe relevanter Ereignisse, die von einem Event Analytics-System identifiziert und zusammen in einer Ereigniskategorie gruppiert wurden. Episoden beschreiben in der Regel potenziell schwerwiegende Ereignisse, die eine negative Auswirkung auf den Service haben – z. B. ein Netzwerkausfall, eine nicht mehr laufende Anwendung, bösartiges Javascript oder ein infiziertes Plug-In, das zu Datenverlust führt. Eine Episode ist im Allgemeinen eine Untermenge eines Incidents, die eine längere und nachhaltigere Abfolge von Ereignissen beschreibt.
Eie System zur Episodenüberprüfung kennzeichnet den Schweregrad der relevanten Ereignisse und weist Top-Ereignissen einen Ereigniswert oder eine Ereignisbezeichnung zu, die Analysten bei der Sichtung der verschiedenen, das Netzwerk betreffenden Episoden hilft. Episoden beinhalten außerdem eine Statuskennzeichnung, die angibt, ob sie neu, in Bearbeitung (und welchem Analysten zugewiesen), behoben (wenn das Problem vom zuständigen Analysten gelöst wurde) oder geschlossen sind (wenn ein Endanalyst die Arbeit überprüft und die vorgenommenen Änderungen als geeignet genehmigt hat).
Was löst Benachrichtigungen und Warnmeldungen aus?
Analysten können Trigger-Bedingungen für Benachrichtigungen konfigurieren, die in Echtzeit oder nach einem Zeitplan ausgelöst werden können. Wenn ein Analyst eine Reihe von Trigger-Bedingungen für Benachrichtigungen erstellt, werden die Ergebnisse von Korrelationssuchen (siehe oben) überprüft, um festzustellen, ob sie die Bedingungen erfüllen. Mithilfe dieser Bedingungen kann ein Analyst Ereignisnachverfolgungen für mehrere Ereignisse und Ereignisdatenfelder durchführen. So kann z.B. eine Bedingung für das Auslösen einer Benachrichtigung festgelegt werden, um die Bounce-Rate einer Webseite zu überwachen, die ausgelöst wird, wenn die Bounce-Rate einen vorgegebenen Schwellenwert überschreitet.
Es gibt zwei Arten von Benachrichtigungen: Echtzeit-Benachrichtigungen und geplante Benachrichtigungen. Echtzeit-Benachrichtigungen überprüfen auf Ereignisse, die den Auslösebedingungen entsprechen. Sie sind in den Fällen nützlich, in denen eine Notfall-Ausnahmesituation entstanden ist, z.B. ein abgestürzter Server oder ein Netzwerkausfall. Für Echtzeit-Benachrichtigungen kann eine ergebnisbezogene Auslösebedingung für bestimmte Ereignisse festgelegt werden, die den Analysten jedes Mal benachrichtigt, wenn die Bedingung erfüllt ist. Oder sie können mit einem rollierenden Zeitfenster als Auslösebedingung konfiguriert werden, die Ereigniszustände in Echtzeit überwacht, aber nur dann eine Benachrichtigung erstellt, wenn Bedingungen mehrfach während eines bestimmten Zeitfensters erfüllt werden.
In Gegensatz dazu werden geplante Benachrichtigungen nicht in Echtzeit, sondern in regelmäßigen Abständen ausgeführt. In der Regel werden solche Benachrichtigungen zu verkehrsärmeren Tageszeiten (etwa spät in der Nacht) oder am Ende eines bestimmten Zeitraums ausgeführt. Ein typischer Anwendungsfall für eine wiederkehrende geplante Benachrichtigung wäre ein Hinweis zur Prüfung, ob am vergangenen Tag mehr als zehn fehlgeschlagene Kreditkartentransaktionen aufgezeichnet wurden oder ob Klicks auf die Links auf einer bösartigen Webseite verzeichnet wurden.
Was ist Event Management?
Event Analytics kann als die nächste Revolution der Event-Management- bzw. Ereignismanagement-Technologie angesehen werden. Event Management-Tools werden zur Überwachung einer bestimmten Komponente oder eines Systems innerhalb einer IT-Infrastruktur verwendet, während Event Analytics oftmals Systeme beschreibt, die breit gestreute, funktionsübergreifende Fähigkeiten aufweisen. Dennoch gibt es keinen breiten Konsens über die standardmäßige Verwendung der beiden Begriffe, und sie werden oft synonym verwendet.
Ähnlich wie Event Analytics-Systeme bieten Event Management-Tools Services zur Erkennung, Benachrichtigung und Filterung. Sie ermöglichen ebenfalls die Reaktion auf Ereignisse, die Erstellung von Ereignisberichten und eine Triage. Auch wenn Event Management-Tools einen engeren Anwendungsbereich haben, können sie doch vorausschauend und skalierbar sein. Event Management ist außerdem eine Kernkomponente von SIEM – Security Information and Event Management –, einer fortschrittlichen Sicherheitsmanagement-Technologie, die es Sicherheitsanalysten ermöglicht, in Echtzeit auf Bedrohungen zu reagieren.
Was ist ein Event Manager, Element Manager oder Monitor?
Dies sind alles Berufsbezeichnungen von Ereignisanalysten, die im frühen Stadium eines Ereignisses tätig sind. Es handelt sich also um Personen, die den Betrieb täglich überwachen und die Triage von Ereignissen durchführen, sobald diese auftreten.
Was ist der Event Management-Prozess?
Event Management folgt einem ganz bestimmten Pfad, von der Erstellung des Ereignisses bis zur Behebung des Incidents.
Zunächst wird ein Ereignis erstellt, wahrscheinlich mit Routinemeldungen zu normalen Geräteänderungen im Unternehmen. Einige Ereignisse werden jedoch unweigerlich die Spezifikationen und Bereiche überschreiten, die in einer Korrelationssuche durch den Ereignisanalysten definiert wurden. Dies sind relevante Ereignisse und sie werden als solche im Event Management-System aufgezeichnet.
Wenn relevante Ereignisse gefiltert und aggregiert werden, werden sie in einer Episode gesammelt, die einen Cluster relevanter Ereignisse in einer Ereigniskategorie definiert. Es ist die Aufgabe des Ereignisanalysten, auf diese Episoden zu reagieren, indem er zunächst den Wert des Ereignisses bestimmt und eine Sichtung durchführt, um zu bestimmen, wie die Episode am besten anzugehen ist, indem er sie entweder direkt auflöst oder sie einem anderen Analysten zuweist. Der Status der Episode wird zu „in Bearbeitung“ oder „ausstehend“ aktualisiert, während sie untersucht und bearbeitet wird. Sobald eine Korrektur implementiert wurde, wird die Episode als behoben gekennzeichnet.
Ein Endanalyst überprüft alle oben dargestellten Schritte und schließt die Episode ab, wenn er mit den Ergebnissen zufrieden ist.
Wie Sie mit Event Analytics beginnen
Mit den heutigen Tools zu Event Monitoring und Event Analytics ist der Einstieg leicht. Einerseits bleibt die lokale Installation von Software immer eine Option, andererseits stellen Cloud-basierte Analysetools oder Cloud Analytics eine zunehmend attraktivere Wahl dar. Cloud-basierte Analysetools sind einfacher zu installieren, benötigen viel weniger Infrastruktur und sind genauso konfigurierbar und anpassbar wie lokal ausgeführte Tools.
Einige wichtige Features, auf die Sie achten sollten:
- Unterstützung einer Vielzahl von Maschinendatentypen und technischen Geräten (Servern, Switches, Datenbanken, Webservern usw.)
- Live-Dashboards, die in Echtzeit aktualisiert werden, mit leicht verständlichen Visualisierungen, die Episodendaten für Analysten vereinfachen
- Zentrale Sammlung von Ereignissen sowohl aus lokalen als auch aus Cloud-basierten Quellen
- Möglichkeit zur Triage von Episoden und zum Zuweisen entsprechender Abhilfemaßnahmen
- Möglichkeit zur einfachen Erstellung und Verwaltung von Korrelationssuchen
- Proaktive Logik, die Probleme vorhersagt, bevor sie entstehen
- Langfristige Datenspeicherung
- APIs und SDKs, die feinere Anpassungen und die Verbindung mit anderen Tools ermöglichen
Event Analytics bietet neue Erkenntnisse
Die Geräte in Ihrem Unternehmen geben jeden Tag Gigabytes an Ereignisinformationen in Form von Protokollen und anderen Maschinendaten aus. Wenn Sie diese Daten nicht erfassen und weiterverarbeiten, bleibt ein wichtiges Tool ungenutzt, das jeder Manager in seinem IT-Arsenal haben sollte.
