tacLOM Release Highlights 3.18

Dank der Integration neuer Threat Intelligence Feeds und schnelleren Update-Zyklen in der neuen Version von TIFaNI (Threat Intelligence Feed and Network Investigation) werden Sicherheitsvorfälle und Bedrohungen schneller und besser erkannt. Mit der Integration von Office-365 Logdaten können auch Aktivitäten in der Cloud überwacht werden.

TIFaNI 3.1

Das TIFaNI-Modulfür tacLOM durchsucht die Logdaten aufgrund von laufend aktualisierten Threat Intelligence Feeds und kann Eindringlinge entlarven.
Mit der richtigen Sysmon-Konfigurationwird beim Start von jedem Programm ein Hashwert der ausgeführten Datei berechnet und geloggt. Durch den Abgleich mit den IOC Hash-Feeds erkennt TIFaNI wenn eine Malware ausgeführt wird.
Ermöglicht wird dies durch die Integration der Hash-Feeds (URL, MD5, SHA1 und SHA-256), welche in TIFaNI zu den bestehenden IP und Domain Feeds dazu gekommen sind.
Abgerundet wird die neue Version durch die Integration von weiteren Open-Source-Feeds, der Möglichkeit kundenspezifische Feeds als eigene Quelle zu verwenden sowie einem kürzeren Updateintervall.

TIFaNI: Threat Intelligence Feed and Network Investigation

Nutzen:

  • Höhere Sicherheit durch zusätzliche IOC-Feeds (Indicator of Compromise)
  • Kürzere Updateintervalle
  • Integration von kundenspezifischen Feeds

Cloud-Log Integration: Office 365 Logdaten in tacLOM

Office 365 von Microsoft wird für Firmen immer wichtiger. Daten werden nicht mehr On-Prem gespeichert. Dokumente, Präsentationen und Mails werden in der Cloud von Microsoft bearbeitet. Dies bietet viele Vorteile, wie die verbesserte Zusammenarbeit mittels gleichzeitigen Editierens von Dokumenten. Auch das Teilen von Dateien oder ganzen Verzeichnissen wird stark erleichtert.

Dabei geht oft vergessen, dass bei Aktivitäten in der Cloud auch der Provider wichtige Logdaten zur Verfügung stellt. Werden diese nicht beim Provider abgeholt, und ins Log Management integriert, können diese auch nicht analysiert und weiter verarbeitet werden. Durch die neuen Office-365 Logdaten Integration in tacLOM, kann diese Lücke geschlossen werden.
Daten werden dabei via API aus der Microsoft Cloud importiert und in tacLOM indexiert. Die Aktivitäten in der Cloud können somit mit denselben Mitteln wie lokale Applikationen überwacht werden. Dadurch wird eine Korrelation mit anderen Logdaten ermöglicht um die Analyse eines Security Vorfalls zu unterstützen. Gleichzeitig wird durch den Import der Cloud-Logs auch eine Langzeit-Speicherung unabhängig vom Cloud-Provider sichergestellt.
Die Integration von Office 365 Logdatenist als experimentelles Feature für den Einsatz bei ersten Pilotkunden verfügbar.

Nutzen:

  • Überwachung der Aktivitäten in der Microsoft-Cloud
  • Ermöglicht die Korrelation mit anderen Logdaten
  • Langzeit Speicherung unabhängig vom Cloud-Provider
     

Weitere Cloud-Logs folgen…

Um unsere Kunden bei dem vermehrten Einsatz von Cloud-Lösungen zu unterstützen, werden wir weitere Cloud-Logquellen integrieren. Nach den Logdaten von Office 365 sollen auch jene von Azure Active Directory (AD)sowie Windows Defender ATPintegriert werden.

 

Was Sie auch noch interessieren könnte
Haben Sie einen Release verpasst?
Liste aller Releases mit den jeweils neuen Funktionen
Weiterbildung? - Neue Schulungen
Termine im November 2019, Januar und April 2020
Anmeldung zum tacLOM Newsletter
Zwei- bis dreimal jährlich werden die wichtigsten Informationen kompakt für Sie zusammengestellt.