Erster Vorschlag zur geplanten SIEM-Architektur

Am 19.12.2013 kam es in Bremen zu einem ersten Entwurf der geplanten SIEM-Architektur für das SIMU-Projekt. Dabei stand im Vordergrund die Ansätze aus diversen Forschungsprojekten auf gemeinsame Synergien zu untersuchen und anzuwenden. Als Projekte kamen MASSIF, iMonitor, VisITMeta und VISA in Frage, die von der FhG SIT und/oder der DECOIT GmbH in der Vergangenheit begleitet worden sind. Heraus kam eine Erweiterung der bisher angedachten SIMU-Architektur.

In dem Meeting zwischen Fraunhofer SIT und der DECOIT GmbH wurden erst einmal die Architekturen der abgeschlossenen Projekte von ESUKOM und MASSIF begutachtet. Dabei fiel auf, dass hier eine gewisse Ähnlichkeit vorhanden war, obwohl die Projekte autonom voneinander durchgeführt worden waren. So besitzen beide Architekturen einen MAP-Server, ein Monitoring und Sensor-Gateways. Beide Architekturen stellen eine gute Basis für die Konzeption der SIMU-Architektur dar. Da das SIMU-Projekt aus dem ESUKOM-Projekt hervorgetreten ist, werden die Partner die in ESUKOM entwickelten Komponenten um SIEM-Funktionalität erweitern. Dabei sind allerdings die Prozesse zwischen den Komponenten noch nicht ausreichend definiert.

Nachdem diverse Fragestellungen durchgegangen wurden, beschloss man einen Leuchtturm "Use Case" zu definieren, der beschreiben wird, wie alle SIEM-Komponenten miteinander zusammenarbeiten werden. Dabei kann man MASSIF als Basis nehmen. Außerdem wird die Spezifikation IF-MAP von der Trusted Computing Group (TCG) immer weiter entwickelt. Diese Spezifikation wird gerade für einen RFC-Standard aufgearbeitet und soll eine Verbesserung der bestehenden SOAP Bindungs erfahren. Da diese speziell für mobile Endgeräte zu mächtig sind, überlegt man andere Beschreibungssprachen zu verwenden. Im Meeting wurde die Alternative Concise Binary Object Representation (CBOR) diskutiert, welcher nach RFC-7049 standardisiert wurde. CBOR ist wesentlich schlanker als beispielsweise XML und könnte auch innerhalb der SIMU-Architektur gut verwendet werden. Eine Evaluierung steht als nächstes an bzw. die Nutzung wird direkt mit der TCG diskutiert werden.

Neue mögliche SIMU-Architektur

Am Ende des Meetings wurde die erste Version der SIMU-Architektur überarbeitet. Sie enthält nun (siehe Abbildung) zwei weitere Komponenten, nämlich das IO-Toolset sowie einen CBOR-Proxy. Zudem sind zwei weitere IF-MAP-Clients hinzugekommen. Die DECOIT GmbH überlegt zusätzlich, ob der selbst entwickelte Topologie-Editor aus dem VISA-Projekt mit eingebracht werden könnte, um Netztopologien für die SIEM-GUI abbilden zu können. Zudem existiert hier bereits eine Anbindung an das IO-Toolset. Auch die Erweiterung der bestehenden IF-MAP-Clients um SIEM-Funktionalitäten wird mit in die weitere Konzeption einfliessen.