15.12.2005, 18:15 Uhr
Ehrgeizige Event-Manager
Security Event Manager (SEM) gibt es als reine Softwarelösung oder als Appliance. Tauglich waren alle getesteten Produkte.
Die Aufgaben, die Security Event Manager (SEM) erfüllen müssen, sind komplex: Sie sollen Events im Unternehmensnetzen aufspüren, korrelieren und letztlich interpretieren. Dazu überwachen sie die Event-Logs verschiedener Sicherheits-Devices, beobachten die Ergebnisse von Vulnerability-Scans und behalten die Aktivitäten von vernetzten Betriebssystemen, Webservern und gar Telefonanlagen im Auge. Was dem SEM auffällt, muss er sodann in einem Format kommunizieren, das für den Menschen hinterm Bildschirm verständlich ist.
Unsere Schwesterzeitung Infoworld hat fünf SEM-Produkte getestet. Drei dieser SEM sind reinblütige Softwareprodukte, zwei dedizierte Appliances. Erster, nicht selbstverständlicher Befund der Tester: Ob Software oder Appliance, spielt nur bei der Installation eine Rolle - diese gestaltet sich bei den Software-SEM etwas aufwändiger. Im operativen Betrieb jedoch liefern beide Typen dieselbe, meist gute bis sehr gute Arbeit.
Ein Wort noch zur Implementierung: Neuanwender sollten für Konfiguration und Tuning Stunden, besser noch Tage einplanen.
Enterprise Security Manager in der Version 3.0 von Arcsight erweist sich als mächtiges, flexibles Tool, das allerdings in Sachen Benutzerfreundlichkeit zu wünschen übrig lässt: So mussten während der Konfiguration gar rohe XML-Dateien editiert werden. Die Software punktet mit ihrer Fähigkeit, Event-Reports vollumfänglich zu speichern und mit einem Schema für Datenbank-Aging.
Unsere Schwesterzeitung Infoworld hat fünf SEM-Produkte getestet. Drei dieser SEM sind reinblütige Softwareprodukte, zwei dedizierte Appliances. Erster, nicht selbstverständlicher Befund der Tester: Ob Software oder Appliance, spielt nur bei der Installation eine Rolle - diese gestaltet sich bei den Software-SEM etwas aufwändiger. Im operativen Betrieb jedoch liefern beide Typen dieselbe, meist gute bis sehr gute Arbeit.
Ein Wort noch zur Implementierung: Neuanwender sollten für Konfiguration und Tuning Stunden, besser noch Tage einplanen.
Enterprise Security Manager in der Version 3.0 von Arcsight erweist sich als mächtiges, flexibles Tool, das allerdings in Sachen Benutzerfreundlichkeit zu wünschen übrig lässt: So mussten während der Konfiguration gar rohe XML-Dateien editiert werden. Die Software punktet mit ihrer Fähigkeit, Event-Reports vollumfänglich zu speichern und mit einem Schema für Datenbank-Aging.
Ehrgeizige Event-Manager
Hinter Sentintel 5.1 von E-Security steht ein durchdachtes Design. Das Tool ist flexibel und skalierbar und somit für Unternehmen jeglicher Grösse geeignet. Dass die Herstellerin in jüngster Zeit grossen Wert auf Compliance legt, ist ein weiterer Trumpf dieser schon in Vorversionen sehr tauglichen Software. Doch auch hier gibt es einen Wermutstropfen: der gesalzene Preis.
Netcool/Neusecure 3.1 erweist sich als schwächstes der getesteten Produkte. Eine verwirrende, schlecht durchdachte Schnittstelle zwingt den User, sich durch mehrere Bildschirme zu arbeiten, um simpelste Aufgaben anzustossen. Die Herstellerin Micromuse bewirbt ihr Produkt damit, dass sie gezielt Nicht-Windows-Plattformen unterstützt. Konkret sind das Red Hat, Linux und Solaris mit Oracle- oder My-SQL-Datenbanken. Network Intellligences Appliance 7550-HA ist dank ihrer proprietären Event-Datenbank blitzschnell. Skalierbarkeit, Effizienz und die Fähigkeit, quasi jeden Event-Typus zu erkennen, sind weitere Pluspunkte.
Auch Symantec schickt mit Security Information Manager 9550 eine Appliance ins Testlabor. Besonders hervorzuheben sind ihre Benutzerfreundlichkeit und die ausgeprägte Fähigkeit, Events zu korrelieren. Bedauerlich nur, dass das Gerät nur skaliert werden kann, indem weitere Geräte seiner Art zugeschaltet werden.
Netcool/Neusecure 3.1 erweist sich als schwächstes der getesteten Produkte. Eine verwirrende, schlecht durchdachte Schnittstelle zwingt den User, sich durch mehrere Bildschirme zu arbeiten, um simpelste Aufgaben anzustossen. Die Herstellerin Micromuse bewirbt ihr Produkt damit, dass sie gezielt Nicht-Windows-Plattformen unterstützt. Konkret sind das Red Hat, Linux und Solaris mit Oracle- oder My-SQL-Datenbanken. Network Intellligences Appliance 7550-HA ist dank ihrer proprietären Event-Datenbank blitzschnell. Skalierbarkeit, Effizienz und die Fähigkeit, quasi jeden Event-Typus zu erkennen, sind weitere Pluspunkte.
Auch Symantec schickt mit Security Information Manager 9550 eine Appliance ins Testlabor. Besonders hervorzuheben sind ihre Benutzerfreundlichkeit und die ausgeprägte Fähigkeit, Events zu korrelieren. Bedauerlich nur, dass das Gerät nur skaliert werden kann, indem weitere Geräte seiner Art zugeschaltet werden.
