Viertes Projektmeeting fand in Nürnberg beim Partner NCP engineering statt

Das vierte Projektmeeting des Forschungsprojektes SIMU tagte in Nürnberg bei dem Partner und VPN-Spezialisten NCP engineering. Dabei stand die Konzeption der SIEM-Architektur auf Basis von IF-MAP im Vordergrund der Diskussionen sowie die aktuellen Arbeiten im AP3. Das Projekt liegt weiterhin sehr gut im Zeitplan und ist auch bereits auf Konferenzen und Messen vertreten gewesen. Dadurch ergaben sich bereits Anfragen, was auch ein Indiz dafür ist, dass das SIEM-Thema sehr aktuell ist und sich viele Unternehmen mit einer Umsetzung beschäftigen. 

Schwerpunkt des Projektmeetings waren die Arbeiten am AP3-Arbeitspaket "SIMU-Architektur". Den Status der Arbeiten stellten alle Projektpartner separat vor. Die DECOIT GmbH beschäftigt sich aktuell hauptsächlich mit der Aktualisierung ihrer bisherigen IF-MAP-Clients sowie mit der Entwicklung neuer IF-MAP-Clients im Bereich LDAP, RADIUS und WMI. Dabei werden die Clients als SIEM-Kollektoren vorbereitet. Parallel wird an der Konzeption der SIEM-GUI gearbeitet, die alle Ergebnisse einheitlich darstellen und aufbereiten soll. Die Hochschule Hannover arbeitet ebenfalls an ihren bestehenden IF-MAP-Clients sowie an neuen Implementierungen im Bereich syslog und nmap. Die Visualisierung der Netzverbindungen wird über VisITMeta ermöglicht und muss später noch in die SIEM-GUI eingebettet werden. Des Weiteren wird an der Detection Engine gearbeitet, die später die Analyse-Intelligenz enthalten wird. Fraunhofer SIT hat hingegen das generische "Leuchtturm"-Szenario weiter entwickelt und sich um die Konzeption des CBOR-Proxys sowie der Weiterentwicklung des IO-Toolsets gekümmert. Letzteres basiert auf Ontologien und wird ebenfalls immer stärker nachgefragt. Die Hersteller macmon secure und NCP engineering haben sich indes mit der Weiterentwicklung ihrer eigenen Produktstrategie beschäftigt.

Der Projektstatus und -verlauf wurden von der DECOIT GmbH dargestellt. Aktuell ist keine Verzögerung festzustellen - das Projekt macht gute Fortschritte, auch aufgrund des bereits vorhandenen Vorwissens der Partner. Durch Veröffentlichungen und Konferenzbesuche gab es bereits einige Rückmeldungen. Auch das BSI wird sich in diesem Monat bei der DECOIT GmbH separat über den Projektverlauf informieren. Zudem testet die DECOIT GmbH gerade die SIEM-Lösung eines deutschen Herstellers, um sie mit den Erkenntnissen des SIMU-Projektes zu vergleichen. Des Weiteren wurde das SIMU-Projekt auf die D.A.CH Security eingeladen, um über ihre neusten SIEM-Erkenntnisse zu berichten. Weitere Konferenz- und Messeteilnahmen sind in Planung. So werden z.B. auf der it-sa im Oktober die Partner macmon secure und NCP vertreten sein. 

Am Ende des Projektes wurde noch die zukünftige gemeinsame Testplattform besprochen. Diese wird beim Fraunhofer SIT stehen und auf der Virtualisierungslösung KVM aufbauen. Jeder Partner besitzt für seine Entwicklungen zwar seine eigene Testumgebung. Um aber alle Entwicklungen einheitlich zusammenführen zu können, wird eine gemeinsame Plattform aufgesetzt, die auf irondemo der Hochschule Hannover aufbauen wird. Diese Demonstrator-Basis ermöglicht zukünftig das einheitliche Testen der entwickelten Komponenten und Module. Außerdem kann es später einmal zur automatisierten Demonstration des Prototypens verwendet werden.