Konfigurieren der Eigenschaften einer Ereignisquelle

Die Eigenschaften einer Ereignisquelle lassen sich an die betrieblichen Anforderungen Ihrer Infrastruktur anpassen. Parameter können festgelegt werden

•	je Computer

•	je Computer-Gruppe

Folgende Eigenschaften einer Ereignisquelle können im Einzelnen angepasst werden:

•	Allgemeine Eigenschaften wie der Name der Computergruppe

•	Alternative Anmeldeinformationen des Domänenadministrators für den Remote-Zugriff auf die Ereignisprotokolle eines Zielrechners

•

Üblicher Zeitraum für den Betrieb einer Ereignisquelle. Mit Hilfe dieser Parameter lassen sich relevante Ereignisse identifizieren, die außerhalb der normalen Betriebszeit eintreten, beispielsweise fehlgeschlagene Benutzeranmeldungen. In einem solchen Fall können Warnungen erstellt und zur sofortigen Kontrolle an Administratoren verschickt werden.

•	Parameter zur Verarbeitung von Windows-, W3C- , SNMP- und Syslog-Ereignissen.

So konfigurieren Sie die Eigenschaften einer Ereignisquelle:

1. Klicken Sie in der Verwaltungskonsole auf den Reiter Configuration.

Screenshot 24 – Gruppentyp Datenbank-Server

2. Wählen Sie aus der Drop-Down-Liste Group Type den Eintrag Computers Groups aus.

3. So legen Sie die Einstellungen fest für

•	eine Computer-Gruppe: Klicken Sie mit der rechten Maustaste auf die zu konfigurierende Computer-Gruppe und wählen Sie im Kontextmenü Properties.

•	einen einzelnen Computer aus einer Computer-Gruppe:

a) Klicken Sie auf die Gruppe, zu der der Computer gehört.

b) Klicken Sie im rechten Fenster mit der rechten Maustaste auf den zu bearbeitenden Computer und wählen Sie im Kontextmenü Properties.

4. Klicken Sie auf die gewünschten Reiter, um die jeweiligen Einstellungen vorzunehmen. Weitere Informationen zu den einzelnen Reitern erhalten Sie nachfolgend.

Festlegen allgemeiner Eigenschaften einer Ereignisquelle

Screenshot 25 – Eigenschaften einer Computer-Gruppe

Folgende Einstellungen sind über den Reiter General möglich:

•	Sie können den Namen einer Computer-Gruppe ändern.

•	Sie können die Erfassung und Verarbeitung von Protokollen der Computer einer Gruppe aktivieren/deaktivieren.

•	Sie können den Zeitplan für die Erfassung und Verarbeitung von Protokollen anpassen.

Festlegen alternativer Anmeldeinformationen des Domänenadministrators

Im Rahmen der Ereignisverarbeitung muss GFI EventsManager sich per Fernzugriff an den Zielcomputern anmelden. Die auf den Computer gespeicherten Protokolldaten werden abgerufen und an die Engine(s) zur Ereignisverarbeitung weitergeleitet.

Protokollerfassung und -verarbeitung sind ohne administrative Zugriffsrechte auf die Zielcomputer nicht möglich. GFI EventsManager meldet sich standardmäßig mit Hilfe der Anmeldeinformationen des Kontos, unter dem das GFI-Programm läuft, an den Zielcomputern an. Für einige Netzwerkumgebungen können jedoch eigene Zugangsdaten für den Administratorzugriff auf Workstations und Server erforderlich sein. So kann beispielsweise aus Sicherheitsgründen ein einzelnes, dediziertes Konto mit Zugriffsrechten allein auf Workstations und ein weiteres nur mit Rechten für Server vorhanden sein.

Screenshot 26 – Festlegen alternativer Anmeldeinformationen

GFI EventsManager erlaubt es Ihnen, gesonderte Anmeldeinformationen für einzelne Zielrechner wie auch für Computer-Gruppen zu definieren. So legen Sie Anmeldeinformationen für einzelne Computer/eine Computer-Gruppe fest:

1. Öffnen Sie den jeweiligen Eigenschaften-Dialog wie zu Beginn dieses Kapitels beschrieben.

2. Klicken Sie auf den Reiter Logon Credentials.

3. Geben Sie den Benutzernamen und das Passwort an, das zur Anmeldung an den Zielrechnern und Erfassung der Protokolle erforderlich ist.

Konfigurieren der üblichen Betriebszeit einer Ereignisquelle

Mithilfe der Option Operational Time können Sie die übliche Betriebszeit angeben, in der die Ereignisquelle die meisten Aktivitäten verzeichnet (beispielsweise während der normalen Geschäftszeiten Ihres Unternehmens). Durch Angabe dieser Informationen kann GFI EventsManager zwischen Ereignissen unterscheiden, die innerhalb und außerhalb dieses Zeitraums liegen und sie entsprechend klassifizieren. Die so gewonnenen Daten erleichtern forensische Sicherheitsanalysen und das Aufspüren von Netzwerkrechnern, die außerhalb der normalen Geschäftszeiten entgegen Ihren Richtlinien verwendet wurden. Durch die zeitliche Festlegung können z. B. unbefugte Benutzerzugriffe, illegale Datentransfers und andere potenzielle Sicherheitsverletzungen im Netzwerk leichter festgestellt werden.

Screenshot 27 – Festlegung der üblichen Betriebszeit einer Ereignisquelle

Die Betriebszeit lässt sich für Computer-Gruppen festlegen. Über den Reiter Operational Time kann der Zeitraum der normalen Betriebszeit von in der Gruppe zusammengefassten Ereignisquellen in 1-Stunden-Schritten festgelegt werden.

Festlegen von Einstellungen für die Ereignisverarbeitung

So legen Sie die Einstellungen für die Ereignisverarbeitung fest:

Screenshot 28 – Reiter zur Konfigurierung der Ereignisverarbeitung (hier: Windows-Ereignisprotokoll)

1. Öffnen Sie den jeweiligen Eigenschaften-Dialog wie zu Beginn dieses Kapitels beschrieben.

2. Gehen Sie auf den Reiter Windows Event Log, W3C Logs, Syslog und SNMP Traps, um die erforderlichen Einstellungen vorzunehmen. Detaillierte Hinweise zur Festlegung der einzelnen Parameter erhalten Sie im Kapitel „Konfigurieren von Regeln zur Ereignisverarbeitung“.