6. Projektmeeting bei der Hochschule Hannover

Die Entwicklung der SIEM-Kollektoren im Projekt ist bereits weit fortgeschritten. So können die IF-MAP-Clients der DECOIT GmbH und der Hochschule Hannover schon verwendet werden. Zusätzlich wird die DECOIT GmbH mit der Entwicklung eines Android-Clients beginnen, der sowohl IF-MAP, als auch Icinga unterstützen wird. Dadurch können Events auch vom Smartphone einbezogen werden. Neu ist auch die Entwicklung eines File Integrity Check (FIC), der Dateien und Ordner auf Modifikationen hin untersucht. Dieser Prototyp muss allerdings noch um eine IF-MAP-Schnittstelle ergänzt werden. Die SIEM-GUI wurde ebenfalls zum ersten Mal präsentiert: Der Prototyp, der eng mit einem Ticketsystem zusammenarbeitet, konnte live gezeigt werden. Auch die Arbeiten an der Pattern Matching Engine verzeichneten Fortschritte, wenn auch noch nicht alle offene Punkte geklärt sind. Dies gilt ebenso für die grafische Darstellung der Kommunikationsbeziehungen, die durch VisITMeta vorgenommen werden.

An den SIEM-Arbeiten des Forschungsprojektes bekundeten inzwischen weitere Hersteller ihr Interesse. Als neuer Kooperationspartner konnte die TELCO TECH aus Berlin für das Projekt gewonnen werden.

Die nächsten Entwicklungsschritte beinhalten die Installation der unterschiedlichen Prototypen auf einem Testbed und die Schnittstellenkommunikation. Ein beispielhafter Use Case wurde aber während des Meetings bereits von Fraunhofer SIT vorgeführt und das Datenmodell vorgestellt. Die Partner NCP und macmon secure arbeiten weiterhin an der IF-MAP-Erweiterung ihrer VPN-/NAC-Lösungen.

Abschließend wurde an einem generischen Use Case gearbeitet, der alle Komponenten der Partner beinhalten wird. Dadurch lässt sich das Zusammenspiel der Sicherheitskomponenten am besten testen, bewerten und weiter verbessern. So können reale Angriffe definiert und erkannt werden. Ziel ist die Vorstellung erster Ergebnisse auf der RSA-Konferenz in den USA im April 2015.