IT-Forensik: Protokolle in Echtzeit analysieren

LogDrill ist eine Log-Analysesoftware zur Auswertung und Aufbereitung unstrukturierter Protokoll-Daten in Echtzeit. Die im Programm integrierte Daten-Normalisierungsfunktion soll es erlauben, Abfragen über eine konfigurierbare Benutzeroberfläche mittels Drag-und-Drop Funktionalität durchzuführen. Die Ergebniss-Daten werden als Grafik aufbereitet und lassen sich (gemeinsam mit relevanten LOG-Einträgen) beispielsweise als PDF ausgeben. Damit würde sich LogDrill besonders gut zur IT-Forensik eignen, sagt Anbieter Kuert Datenrettung.

LogDrill basiert auf einem eigenen Framework und funktioniert so: Nachdem die zu untersuchenden Logdaten den Normalisierungsprozess durchlaufen haben (dabei werden unstrukturierte Daten in ein strukturiertes Datenformat umgewandelt), werden diese Daten in Datenmodelle gepackt, sog. “Count Cubes”. LogDrill verwendet hierzu ein OLAP Framework. „Count Cubes“ widerum sind modifizierte OLAP Datenwürfel. Dies ermöglicht es, GigaBytes an Protokollen auf einem einfachen Notebook zu analysieren (mit etwa 130.000 Textzeilen pro Sekunde/Prozessorkern). Anschließend bereitet die Software bereitet die Daten für Pivot-Abfragen, Visualisierungsaufgaben oder entsprechende Berichte auf.

Grafischer Report von LogDrill. Quelle: Kuert Datenrettung Deutschland GmbH

Quelle: Martin Eschenberg

Wir freuen uns, dass wir unseren Kunden nun sowohl produktive, als auch investigative Lösungen anbieten können. Insbesondere hinsichtlich der Tatsache, dass forensische Lösungen im Big-Data Bereich bis dato noch relativ selten anzutreffen sind und wir somit zu den wenigen Unternehmen im IT-Bereich vorstoßen, die in der Lage sind Big-Data forensisch in Echtzeit analysieren zu können.“
Martin Eschenberg, Kuert Datenrettung

Zudem erlaube LogDrill das Anlegen von Benutzerrollen und Rechten und verfügt über eine grafische Drag´n Drop Benutzeroberfläche. Somit eigne sich LogDrill für jeden IT-Forensiker der vor der Herausforderung steht große unstrukturierte Datenmengen zeitnah analysieren zu müssen.

Insbesondere eigne sich LogDrill zur Analyse von Protokolldaten in IT-Sicherheitssystemen und ermöglicht die Echtzeit-Erkennung von IT-Missbrauch oder Angriffen in dem Moment wo sie geschehen. Integrierte Alarm- und Reporting-Funktionen erlauben es dem Administrator entsprechende Gegenmaßnahmen zeitnah einzuleiten. LogDrill eignet sich zudem für den IT-Forensischen Einsatz im Bereich Big-Data, da gängige IT-Forensik / SIEM-Software für die Analyse großer Datenmengen bei Multi-Ad-Hoc-Abfragen häufig zu zeit- und ressourcenintensiv ist.

Hadoop-Big-Data Warehouse Appliance

Elemente von LogDrill finden sich auch in der zweiten Lösung des Anbieters: dem Big-Data Warehouse Appliance „PetaPylon“. Es basiert auf Hadoop und besteht aus speziell optimierter Hard- und Software. PetaPylon würde Hadoop um spezialisierte Daten-Normalisierungs-Prozesse ergänzen. Dies erlaube umfangreiche Abfragen, unabhängig davon, ob es sich um strukturierte oder unstrukturierte Big-Data Warehouse-Daten handle.

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/2036