3. SIMU-Projekttreffen fand in Berlin beim Partner macmon secure statt
Das dritte Projektstatusmeeting fand in Berlin Anfang März statt, um die Konzeptphase abzuschließen und gemeinsam die nächsten Entwicklungsschritte festzulegen. Dabei wurden auch Öffentlichkeitsarbeiten (wie z.B. Messen, PlugFest der TCG, Projektwebseite) und Kooperationen durchgesprochen. Der erste Zwischenbericht wurde im Februar von allen Partnern erfolgreich beschrieben und zeitgerecht beim Projektträger eingereicht. Aktuell beschäftigt man sich im Projekt mit der Enddefinition der User-Szenarien, Definition von SIEM-Mehrwerten und der Entwicklung eines generischen Szenarios zur Darstellung der Funktionsabläufe. Nach dem Projektmeeting sollen aktiv die Arbeiten am AP3 begonnen werden, die Konzeptionierung und Entwicklung eines SIEM-Systems zur Aufgaben haben werden.
Die Arbeiten von SIMU befinden sich bisher im abgeschätzten Zeitrahmen. Das Arbeitspaket AP2 zur Konzeptionierung wird im März endgültig abgeschlossen werden, um mit der Vorbereitung der Entwicklungsarbeiten in AP3 beginnen zu können. Eine erste internationale Veröffentlichung konnte bereits im Februar mit der RSA-Konferenz in San Francisco erzielt werden, die einige IF-MAP-Komponenten auf Open-Source-Basis im Zusammenspiel präsentierte. Die nächste RSA-Konferenz ist daher für die Präsentation des SIMU-Prototypens eingeplant worden. Zudem wird Anfang April das halbjährlich stattfindende PlugFest der Trusted Computing Group (TCG) stattfinden, welches auch dieses Mal in Darmstadt beim Fraunhofer SIT platziert worden ist. Die Partner macmon secure, DECOIT und Hochschule Hannover werden ihre IF-MAP-Entwicklungen dort mit anderen internationalen Implementierungen testen. Parallel können auch Entwicklungsabsprachen für SIMU zwischen den Partner während des PlugFests vorgenommen werden.
Im Projektmeeting wurden die verschiedenen Anwendungsszenarien noch einmal durchgesprochen und verfeinert. Daraus soll ein generisches Szenario abgeleitet werden, welches dann die Verarbeitung der Metadaten und die neue SIEM-Architektur beschreibt. Es wurden verschiedene SIEM-Module (u.a. Event Correlation, Network Behaviour Anomaly Detection (NBAD), Identity Mapping) präsentiert und diskutiert, wie diese umgesetzt werden können. Zusätzlich müssen auch Drittsysteme mit berücksichtigt und angeschlossen werden können. Wichtig dabei ist, dass die Identität des Opfers und des Täters erkannt werden müssen, da es nicht mehr ausreicht nur die IP- und die MAC-Adresse zu erkennen. Aufgrund der vielen SIEM-Anforderungen werden nicht alle im SIMU-Projekt umgesetzt werden können. Die Partner werden sich daher auf die wesentlichsten Bereiche beschränken.
Abschließend wurde der Softwareentwicklungsprozess von der DECOIT GmbH vorgestellt und die ersten Ergebnisse des AP3-Arbeitspaketes von den Partnern präsentiert. Die Hochschule Hannover zeigte im Zuge dessen ihre entwickelte Simulations- und Demonstrationsumgebung "irondemo", die als Test- und später auch als Online-Demo-Umgebung verwendet werden kann. Dadurch wird eine einheitliche Entwicklung sowie eine einheitliche Demonstration der Projektergebnisse vereinfacht ermöglicht.