customer case study bern/uni... · qradar siem von ibm die security-lösung qradar siem von ibm...
TRANSCRIPT
www.eb-qual.ch [email protected]
Customer Case Study
Transparenz in Echtzeit
Zur Überwachung der Datenkommunikation und von
Netzwerkkomponenten setzt die Universität Bern auf
QRadar SIEM von IBM.
Die priorisierte Darstellung von Gefährdungen ist für
den effizienten und sicheren Betrieb des universitären
Netzwerkes eine Notwendigkeit – und mit QRadar
SIEM komfortable Realität.
Ausgangslage
Für die Aufzeichnung und Archivierung von Log- und
NetFlow-Daten hat die Universität Bern in der Vergan-
genheit mehrere, voneinander unabhängige Tools ein-
gesetzt, was die Beschaffung der Daten beziehungs-
weise das Zusammentragen aller relevanten Informati-
onen sehr aufwendig machte. Und aufgrund der tägli-
chen Archivierung der gesammelten Daten auf ein Dritt-
system verzögerte sich die Informationsbeschaffung bei
gespeicherten Daten.
Um diese Nachteile zu beseitigen, hat sich die Universi-
tät Bern an die Evaluation einer konsolidierten Security-
Intelligence-Plattform gemacht, die sämtliche Informati-
onen – unabhängig von Form und Herkunft – sicher
archiviert und darüber hinaus unterschiedlichen Benut-
zergruppen einen direkten Web-Zugriff ermöglicht. Fer-
ner musste die Lösung forensische Analysen ermögli-
chen und proaktiv auf Probleme und Gefahren im Netz-
werk sowie auf den Endsystemen hinweisen.
Die Lösung
Nach einer intensiven Evaluationsphase und ausgiebi-
gen Tests mehrerer Produkte hat sich die Universität
Bern für die einfach bedienbare und übersichtlich ge-
staltete Security-Intelligence-Plattform QRadar von IBM
entschieden. Dazu Stefan Zahnd, IT Service Departe-
ment Universität Bern: «Zahlreiche Gründe haben zur
Wahl von QRadar beigetragen. Allen voran der geringe
Installations-, Wartungs- und Administrationsaufwand.
Ebenso die Tatsache, dass sämtliche benötigten Log-
formate bereits in der Standardkonfiguration vorhanden
sind und Net- und SFlow unterstützt werden. Von Be-
deutung war ferner, dass die Lösung ein hervorragen-
des Preis-Leistungs-Verhältnis aufweist und eine fast
grenzenlose Skalierbarkeit bietet. Entscheidend war
auch die beeindruckende Kompetenz des QRadar-
Lösungsanbieters eb-Qual. Das Unternehmen hat sich
bei uns bereits als engagierter und erfahrener Partner
Route André-Piller 33A
CH-1762 Givisiez
T +41 26 407 70 80
F +41 26 407 70 99
Oberfeldstrasse 20
CH-8302 Kloten
T +41 43 211 47 20
F +41 43 211 47 29
Main Office: eb-Qual SA Swiss German Office: eb-Qual AG
und System-Integrator bewiesen. So unterstützt uns eb-Qual seit Jahren im Umfeld der eingesetzten DNS/DHCP/
IPAM-Systeme von Infoblox sowie der Secure-Access-Lösungen von Juniper.»
Minimaler operativer Aufwand
Aktuell werden bei der Universität Bern mit QRadar die Daten von rund 90 Quellen gesammelt. So unter anderem
die Daten von ASA-, Checkpoint- und Palo-Alto-Firewalls sowie von Komponenten und Lösungen wie Router, RA-
DIUS, VPN, Domain Controller, MPP, Wireless Controller, Linux- und Windows-Server, Infoblox DNS, Exchange
und Squid Proxies. Lediglich die Einbindung der Open-Source-Lösung FreeRadius hat die Entwicklung einer Log-
Source-Extension benötigt.
Die in QRadar eingebundenen Systeme der Universität Bern generieren pro Tag 60 Millionen indexierte Events
und über 80 Millionen Flows. Dieser enormen Datenmenge zum Trotz beläuft sich der administrative Aufwand auf
ein absolutes Minimum. So betrage der wöchentliche Aufwand in der Regel weniger als eine Stunde, sagt Stefan
Zahnd und ergänzt: «Beispielsweise für die Einbindung neuer Daten-Quellen oder für Optimierungs- bzw. Tuning-
Arbeiten.»
QRadar SIEM von IBM
Die Security-Lösung QRadar SIEM von IBM konsolidiert Ereignis-daten aus Protokoll-Quellen von Tausenden Endpunkten und Anwendungen im gesamten Netz. Die Lösung führt sofortige Normalisierungs- und Korrelationsvorgänge für Rohdaten aus, um echte Bedrohungen von falschen positiven Werten zu unterschei-den. Optional ermöglicht QRadar die Integration von «IBM Security X-Force Threat Intelligence» und folglich die Liste potenziell zerstörerischer IP-Adressen wie z. B. Malware-Hosts, Spamquellen und andere Sicherheitsbedrohungen. IBM Security QRadar SIEM korreliert auch Systemschwachstellen mit Ereignis- und Netzdaten und ermöglicht so eine priorisierte Erkennung von Sicherheitsverstössen.
Universität Bern
Die Universität Bern ist eine Volluniversität mit acht Fakultäten und rund 160 Instituten. Ihre Wurzeln reichen bis in das 16. Jahr-hundert zurück. Sie gehört mit rund 17 300 Studierenden nach der Universität Zürich und der ETH Zürich zu den grossen Schweizer Universitäten. Damit bleibt die Universität Bern überschaubar und bietet eine persönliche Atmosphäre. Die Universität Bern beteiligt sich an zahlreichen europäischen und weltweiten Forschungsprojekten, unter anderem im Bereich der Weltraumforschung.
«Die einfache Bedienung, die beeindruckende
Zuverlässigkeit, höchste Performance und
Flexibilität sowie ein minimaler administrativer
Aufwand – QRadar erfüllt all unsere Anforde-
rungen in perfekter Art und Weise.»
Stefan Zahnd, Informatikdienst der Universität
Bern, Infrastruktur Gruppe
Kern von QRadar SIEM ist eine hoch skalier-
bare Datenbank, die Echtzeit-
Protokollereignisdaten und Netzwerkübertra-
gungsdaten erfasst, um die Spuren potenzi-
eller Angreifer offenzulegen. QRadar SIEM
ist eine Unternehmenslösung, die Protokoll-
quellen-Ereignisdaten von Tausenden im
Netzwerk verteilten Einheiten zusammen-
führt. Jede Aktivität wird in ihrer ursprüngli-
chen Form dokumentiert und dann mit ande-
ren Ereignissen verknüpft, um Zusammen-
hänge zu ermitteln und auf diese Weise ech-
te Bedrohungen von falsch positiven Ergeb-
nissen zu trennen. Darüber hinaus werden
mittels Deep Packet Inspection-Technologie
Layer-4-Netzwerkübertragungsdaten in Echt-
zeit und – was die Lösung besonders aus-
zeichnet – Layer-7-Anwendungsnutzdaten
erfasst.