Korelace událostí z různých částí sítě

DEFINICE Korelace událostí (event correlation) je proces, při němž se hledají souvislosti mezi událostmi, ke kterým d...


DEFINICE
Korelace událostí (event correlation) je proces, při němž se hledají
souvislosti mezi událostmi, ke kterým dojde v různých fyzických částech nebo
elementech sítě. Tak lze sledovat, co se děje v síti a v připojených systémech,
díky čemuž lze identifikovat takové modely událostí, které by mohly být
signálem napadení, narušení, zneužití nebo poruchy.
Kvalitní správa sítí má v dnešním propojeném světě velmi vysokou prioritu.
Správci sítí musejí být schopni rychle a přesně identifikovat vzniklý problém a
uvést věci do pořádku. Neměla by je zaskočit žádná ze široké škály možných
událostí, ať už jde o selhání funkce e-mailového serveru nebo o poškozený
optický spoj.
Naštěstí téměř každá část moderní sítě poskytuje informace o operacích, které
na ní probíhají:
Servery monitorují svou činnost.
Operační systémy logují bezpečnostní události.
Aplikace vyhodnocují své interní chyby a varování.
Firewally a brány privátních sítí zachycují podezřelé datové přenosy.
Síťové směrovače a přepínače sledují, k jaké komunikaci dochází mezi síťovými
segmenty.
Technologie umožňující monitorování sítí (jako například Simple Network
Management Protocol SNMP) posílají zprávy o výskytu událostí na centrální
správní konzoli.
Kromě toho, že sledují svou vlastní činnost, všechna tato zařízení a řídící
programy přijímají a dále předávají zprávy od ostatních síťových systémů, což
má za následek znásobení počtu zpráv informujících o výskytu podezřelých
událostí na síti. Jediná závada nebo problém pak může způsobit obrovský nápor
takových zpráv.

Hledání souvislostí
Čím je síť složitější a čím více aplikací je do sítě zapojeno, tím větší počet
zpráv a varovných signálů tato zařízení vysílají. V důsledku toho je generováno
mnohem více dat, než je možné snadno a rychle prohlédnout a prověřit systém je
pak těmito daty doslova zahlcen.
V roce 2000 manažer bezpečnosti společnosti Computer Sciences Chris Jordan
uveřejnil ve své zprávě pro web SecurityFocus zjištění, že spojení pomocí
protokolu OC-12 mohou za jednu hodinu vygenerovat okolo 850 megabajtů dat o
událostech na síti. (OC-12 přenáší data pomocí optických vláken o přenosové
kapacitě 622 Mb/s.) Tato hodnota se rovná více než 600 GB dat za měsíc či 7 TB
za rok, a vztahuje se pouze na záznamy a zprávy týkající se jednoho jediného
spojení na síti.
"IT manažeři tráví 60 až 90 % svého času řešením problémů na síti pomocí příliš
jednoduchých diagnostických metod," říká Dennis Drogseth, viceprezident
americké společnosti Enterprise Management Associates, která poskytuje
poradenské služby v oblasti analýzy a výzkumu trhu.
Proces korelace událostí na síti zjednodušuje a urychluje sledování těchto
událostí tím, že zprávy a záznamy o poruchách na síti stlačí do malého a
srozumitelného komplexního bloku. Správce sítě se pak dokáže mnohem efektivněji
vypořádat se zprávami o narušení sítě obzvláště jsou-li podpořené ověřováním
mezi údaji z firewallu a z databází týkajících se hostitelů, než když musí
prověřit 10 000 většinou běžných zpráv.
Tento proces přináší i další praktické výhody: jak efektivnější využití času
pracovní doby i odborných dovedností zaměstnanců, tak možnost předejít
finančním ztrátám, které vznikají v důsledku časových prostojů.
Podle Marcuse Ranuma, nezávislého poradce v oblasti bezpečnosti počítačových
systémů a komunikací společnosti Woodbine, je korelace něčím, po čem všichni
toužíme, ale nikdo neví, co to vlastně je. "Je to svým způsobem privilegium,
něco navíc, jako když před odchodem z restaurace dostanete pivo zdarma všichni
si myslí, že je to skvělý nápad a že bychom to rozhodně měli mít, jenomže
neexistuje žádný jednoduchý způsob, jak to v praxi realizovat," popisuje
situaci.
Přesto je s tímto procesem spojována řada různých technologií a operací:
Komprese: Při redukci počtu hlášených událostí (a tedy kompresi jejich objemu)
jsou prohlédnuty informace o paralelním výskytu téže události, eliminují se
přebytečné informace (pokud je zprávy obsahují) a jsou předány pouze jako jedna
událost. 1 000 zpráv "route failed" je tedy oznámeno formou "route failed 1000
times", tedy 1 000 výskytů události "route failed".
Počítání: I zde je určitý počet výskytů podobných událostí oznámen jako jedna
zpráva. Od komprese se liší v tom, že neomezuje záznamy a souvztažnosti pouze
na identické události. K vyslání zprávy dochází pouze tehdy, je-li dosaženo
určité prahové minimální hodnoty počtu událostí.
Potlačení: Při potlačení hlášených událostí je zprávě přiřazena priorita podle
stupně její důležitosti. Pokud se objeví událost s vyšší prioritou, systém sám
zprávu o události s nižší prioritou potlačí.
Generalizace: Při generalizaci hlášených událostí jsou vysílány zprávy pouze o
některých událostech na vyšších úrovních (higher-level events). Tento způsob
korelace přináší výhody při monitorování událostí probíhající na stejném
přepínači nebo směrovači s několika porty, a to zejména v případě, že na nich
dojde k výpadku nebo k poruše. Není nutné registrovat každou jednotlivou
závadu, pokud lze jednoznačně stanovit, že určitá část má prostě problémy.
Korelace založená na časových souvislostech: Korelace založená na časových
souvislostech hlášených událostí (time-based correlation) pomáhá určit
příčinnou souvislost výskytu událostí chceme-li například vysledovat příčinu
problému s konektivitou k jeho zdroji, třeba k vadné části hardwaru. Často
získáme více informací díky tomu, že proběhne korelace událostí, které se
odehrávají v určité časové souvislosti. Některé problémy je možné definovat
pouze pomocí této časové korelace. Příklady takových časových souvislostí mohou
být následující:
Po události A následuje událost B.
Dochází k prvnímu výskytu události A od posledního výskytu události B.
Po události B do dvou minut následuje událost A.
Během intervalu I nebyl zaznamenán výskyt události A.

Naklonit si zákazníky
"Ve své základní podobě se technologie korelace událostí pomalu zabydluje v
běžných produktech," říká Drogseth. "Snaha redukovat počet událostí a zpráv a
orientovat se v tom, co probíhá na různých částech sítě, je dnes při správě
sítí běžnou záležitostí." Potenciální zákazníci jsou však skeptičtí, a to
přesto, že podle Drogsetha funguje většina produktů založených na této
technologii bez problémů ihned po zakoupení a vyžaduje minimální úpravy
samotným uživatelem.
"Existují samozřejmě mnohem náročnější a promyšlenější přístupy, které
vycházejí z různých diagnostických metod a spočívají v určení skutečné příčiny
problému," vysvětluje Drogseth. "V tomto případě je nezbytné vzít v úvahu
obrovskou složitost síťové infrastruktury. Snaha problém izolovat a dobrat se
jeho původní příčiny s sebou nese značné obtíže a velkou časovou investici, ale
může být také velkým přínosem."

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.