iMonitor - Intelligentes IT-Monitoring durch KI-Ereignisverarbeitung

Security Information und Event-Management-Systeme (SIEM) werden in großen Unternehmen zur umfassenden Überwachung von Rechnernetzen und Anwendungen eingesetzt. Die mit der Verbreitung und der Pflege von Kollektoren verbundenen Kosten sind ein wesentlicher Grund, dass SIEM-Systeme in KMU nicht zum Einsatz kommen. SIEM-Systeme sind bereits heute sehr leistungsfähig, skalierbar auf große Eventströme und verwenden teilweise Verfahren der künstlichen Intelligenz (KI). Diese Entwicklung führt jedoch nicht automatisch dazu, dass SIEM-Systeme für KMU an Attraktivität gewinnen. Um den Einführungs- und Betriebsaufwand für ein KMU auf eine annehmbare Schwelle zu senken, müssen daher einfachere Verfahren kombiniert werden, die entweder bereits von existierenden IT-Systemen, Betriebssystemen, Anwendungen und Netzen bereitgestellt werden oder mit minimalem Aufwand zusätzlich installiert können. Dies möchte iMonitor u.a. leisten. Die Auswertung von Events wird anhand von Regelsätzen durchgeführt. Die Relevanz der Ergebnisse der Regelauswertung ist aber abhängig von den Eigenschaften bzw. dem Aufbau des jeweiligen Unternehmens. Beispiele hierfür sind primäre und sekundäre Geschäftsprozesse, organisatorische Prozesse, die Bedrohungslage oder eingesetzte IT-Assets. Die Operationalisierung übergreifender Strategien, aber auch bereits das Ableiten von Regelsätzen aus konkreten Sicherheitsrichtlinien stellt für KMU eine große Herausforderung dar. Maschinenlesbare Sicherheitsrichtlinien sind komplex und deren manuelle Erstellung erfordert spezifisches Expertenwissen, das nur in begrenztem Maße zur Verfügung steht. Ohne ein wirksames Set an Regelsätzen ist ein SIEM-System in seiner Wirkung stark eingeschränkt und erbringt so nicht die den Anschaffungs- und Betriebskosten entsprechende Leistung. Um die Wirksamkeit von Regelsätzen auf die Unternehmensziele hin auszurichten, müssen Verfahren zur Verfügung gestellt werden, die es einem KMU ermöglichen, Regelsätze basierend auf dem Zustand der aktuellen IT-Infrastruktur herzuleiten. Gerade die verständliche Darstellung von formalisierten SOLL-Zuständen ist eine notwendige Grundlage für das Produzieren von Regeln, die Abweichungen im IST-Zustand mit Hilfe eines SIEM-Systems erkennen sollen.

Laufzeit: 01.07.2013 - 30.06.2015
Projektpartner: DECOIT GmbH, neusta software development GmbH
Förderer: BMWi

Weitere Informationen: später