:quality(80)/p7i.vogel.de/wcms/cc/63/cc633c6ae01e9a05c6ad9bae5b5e6342/0114957799.jpeg "Das sind die Gewinner der BigData-Insider Readers' Choice Awards 2023. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/e3/51/e351df5354192adf7d956e215009d6b3/0114109618.jpeg "BigData-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/13/1c/131cc3457132b7b6605a0664dcaf2bf8/0108507117.jpeg "Externe Big-Data-Consultants helfen in Zeiten des Fachkräftemangels. Die Consultants sind darauf spezialisiert, Unternehmen bei der Anpassung von Systemen und Abläufen an aktuelle Geschäftsanforderungen zu unterstützen. (Bild: © successphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/cf/33cf7368b5233db9a844f81f39712aff/0108298330.jpeg "Big-Data-as-a-Service-Plattformen (BDaaS) ersparen Unternehmenskunden hohe Einstiegsinvestitionen für die nötige Technik vor Ort. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/98/16988c30af3d0f906a248fb3d3b3a6f7/0114343120.jpeg "Der Autor: Julian Wingenfeld ist Solutions Architect bei MongoDB (Bild: MongoDB)")
:quality(80)/p7i.vogel.de/wcms/96/e6/96e60b3e07811469fae0765f59d21ac8/0115431124.jpeg "Immer mehr Endgeräte enthalten Funktionen, die KI-Berechnungen erfordern – etwa smarte Thermostate mit Sprachsteuerung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/59/87/59873b6cd5bc2d145cc9cc4ca5b4bce2/0115409344.jpeg "Ab sofort steht das E-Book „Datenbank-Migration“ kostenlos zum Download bereit. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6f/f2/6ff2c367392718cb04abc430a5f3164e/0115129475.jpeg "Der Autor: Fabian Czicholl ist Regional Vice President bei Appian Deutschland (Bild: Appian Deutschland)")
:quality(80)/p7i.vogel.de/wcms/35/73/3573691301b24cb1430f406d21795e8f/0115090776.jpeg "Snowflake hat seine Datenplattform mit neuen Funktionen für generative KI und Large Language Models (LLM) ausgestattet.
(Bild: Snowflake)")
:quality(80)/p7i.vogel.de/wcms/22/f4/22f4c64614992c01d14278c077071484/0115225608.jpeg "Databricks will mit seinen Produkten dazu beitragen, dass Daten von möglichst vielen im Unternehmen genutzt werden können. Wie, das präsentierte das Unternehmen auf der Data + AI World in München. (Bild: Rüdiger)")
:quality(80)/p7i.vogel.de/wcms/1f/b1/1fb168fc22575a6d4a7cda6a54dea82d/0115665996.jpeg "Lösungen für Business Intelligence vereinen alle nötigen Funktionen, um Daten zu aggregieren, zu analysieren, aufzubereiten und zu präsentieren. (Bild: © Ticha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/30/87303c685f7c30621d1f78bdc94670ba/0115330721.jpeg "Anyline Insights fokussiert sich auf digital erfasste Fahrzeug- und Reifendaten. (Bild: Anyline)")
:quality(80)/p7i.vogel.de/wcms/e1/99/e19909094be7a47ceba5d91fdf49acc0/0115453757.jpeg "Rund 3.000 Kunden und Partner kamen zur Celosphere 2023 nach München. (Bild: Celonis)")
:quality(80)/p7i.vogel.de/wcms/81/12/81120e2916d42938419c153dc650f523/0115243180.jpeg "72 Prozent der Organisationen, die in den letzten zwei Jahren BI-Lösungen erworben haben, haben Microsoft Power BI evaluiert. (Bild: BARC)")
:quality(80)/p7i.vogel.de/wcms/16/08/1608bee91673491923b0efdabb759387/0115427536.jpeg "Rund 80 Anwender nahmen online am zehnten Pentaho User Meeting teil. Acht Erfahrungsberichte von Organisationen wie der Bundesdruckerei, dem Wahnbachtalsperrenverband und der Blechwarenfabrik Limburg sorgten für interessante Einblicke. (Bild: IT-Novum)")
:quality(80)/p7i.vogel.de/wcms/a8/a8/a8a83d37d618ead6775e9e8f695c2475/0114694022.jpeg "Das KI-Theme nach einer Reihe von Nachfragen: Es sieht OK aus, aber das Menü will GPT einfach nicht korrekt anordnen. (Bild: Rentrop / WordPress)")
:quality(80)/p7i.vogel.de/wcms/22/2e/222e341f77ae51b93d0b6bbca9827b74/0115526151.jpeg "Predictive Maintenance ermöglicht eine Wartung, bevor der Herzschlag einer Anlage unvorhergesehen zum Erliegen kommt. Um die Chancen bestmöglich zu nutzen, ist das Management auch bei der Implementierung gefragt. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/30/c8/30c8d75e49b3ef7b344d97b024ea4939/0115041243.jpeg "Die Küste der Isle of Wight. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b4/31/b4311c55605fa804d0d420edc5c2a8e7/0115040726.jpeg "Siemens und Microsoft intensivieren ihre Zusammenarbeit. Dabei geht es um die breitgefächerte Einführung von generativer KI, um etwa ein industrielles Metaversum zu schaffen. Damit sollen sich viele Workflows in unterschiedlichen Sektoren straffen lassen. Lesen Sie hier, was da kommt. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/5c/24/5c24f198724184d13f3c94cb0128f983/0115040401.jpeg "Akustische Sensoren haben das Potenzial, in vielen Anwendungsfällen einen Mehrwert zu bieten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/61/6c/616c546266e3a4c49bc98b75290d96da/0114243058.jpeg "Der Autor: John Armstrong ist CTO von Worldly (Bild: Worldly)")
:quality(80)/p7i.vogel.de/wcms/00/d6/00d675c65ddde98e0412e533e01dd85e/0114239415.jpeg "Der Autor: Balakrishna DR ist Head of AI bei Infosys (Bild: Infosys)")
:quality(80)/p7i.vogel.de/wcms/c7/8b/c78bd9fc394a96cc05c43d0562298c3d/0115381887.jpeg "Im Dashboard von Watsonx.governance werden 60 Aufgaben angezeigt, wovon einige überfällig sind. Interessant ist auch die Risikobewertung ganz rechts. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/86/21/8621b6e57693364354a9dd97f19c724f/0115236824.jpeg "Generative KI-Tools wie ChatGPT, Bard und Copilot sollten mit Vorsicht am Arbeitsplatz verwendet werden. (Bild: Artyom - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/f6/29f622e1f6838750166d734cf8bfd48a/0115690206.jpeg "Chat GPT bekommt Konkurrenz: Google implementiert sein KI-Sprachmodell Gemini in den Chatbot Bard. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/31/263191fa1d52cc9faa699c29891f3276/0115294068.jpeg "Prof. Hussam Amrouch entwickelt leistungsstarke Chips für energieintensive Anwendungen. (Bild: Andreas Heddergott / TUM)")
:quality(80)/p7i.vogel.de/wcms/73/de/73deb19de1bf86f50c1ac94c0e8ed7ab/0115316886.jpeg "Grammarly ermöglicht nun auch individuelle Profile, die Texte weniger künstlich klingen lassen. (Bild: Grammarly)")
:quality(80)/p7i.vogel.de/wcms/e6/1c/e61c7da074af7d49926788af57dbbbc5/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/9e/109ed1193c0e35f1bd97ad23be629111/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8e/64/8e64ad0202afa7fa962f9e833e50ee8a/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/ac/49ac99249bcb88bc4d44968f96f6459c/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
Security Information and Event Management mit Open Source umsetzen Apache Metron als SIEM nutzen
Lösungen im Bereich Big Data sind grundsätzlich auch in vielen Fällen dazu geeignet im Security-Bereich Einsatz zu finden. Apache Metron ist eine solche Lösung, die generell durchaus sinnvoll eingesetzt werden kann, wenn ein SIEM-System aufgebaut werden soll.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/2c/602cdcaa1f5bc/fivetran-logo-blue.png "Fivetran_logo-blue.png (Fivetran)"){kind=logo}
Ein zentraler Faktor bei der Verwendung eines SIEM ist die enorme Datenmenge, die verarbeitet werden muss. Hierzu sind Big-Data-Lösungen wie Apache Metron natürlich problemlos in der Lage. Apache Metron stellt eine Security-Lösung dar, die vor allem für den Big-Data-Bereich entwickelt wurde. Metron arbeitet dazu mit Möglichkeiten von Hadoop.
Im Beitrag „Mit Apache Metron Big-Data-Projekte schützen“ wurden dazu bereits Möglichkeiten aufgezeigt. Apache Metron ist zusätzlich durchaus als SIEM-System einsetzbar, außerhalb von Big Data im Netzwerk.
:quality(80)/images.vogel.de/vogelonline/bdb/1597500/1597541/original.jpg "Apache Metron kann mit Ambari bereitgestellt werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1597500/1597542/original.jpg "Vor der Installation von Metron müssen die entsprechenden Repositories installiert und bereitgestellt werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1597500/1597543/original.jpg "Apache Metron kann auch als VM in EC2 dargestellt werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1597500/1597544/original.jpg "Metron arbeitet beim Betrieb mit Hadoop zusammen. Der Dienst kann auch in der Cloud bereitgestellt werden.")
Apache Metron als Alternative zu ELK Stack und OSSEC einsetzen
In vielen Unternehmen wird als SIEM-System auf ELK Stack gesetzt. Bei dem Produkt handelt es sich um eine Sammlung von Open Source-Tools, mit denen sich eine SIEM-Lösung im Netzwerk aufbauen lässt. Auch OSSEC ist in diesem Bereich ein bekanntes Projekt, um die IT-Sicherheit im Netzwerk zu verbessern.
Apache Metron ist als SIEM-System durchaus einsetzbar. Es bietet dazu vielfältige Möglichkeiten, die ein SIEM-System ausmachen. Zunächst lassen sich Daten eines großen Zeitraums speichern. Da Apache Metron als Big Data-Lösung konzeptioniert ist, kann die Open Source-Lösung auch mit Data Lakes umgehen. Data Lakes sind einfach ausgedrückt, eine firmeninterne Speichermöglichkeit für alle Daten und Quellen. Anwender im Unternehmen, können auf Basis Ihrer Berechtigungen, auf die Daten zugreifen und diese analysieren. Für gewöhnlich liegen die Daten im Data Lake in unveränderter Form vor, sie werden also nicht transformiert. Der Zugriff auf den Data Lake erfolgt mit verschiedenen Analyse-Werkzeugen, welche die Daten erst für den eigenen Gebrauch umwandeln.
Metron kann mit diesen Daten über das umfangreiche Framework zugreifen, das zu dieser Open Source-Umgebung gehört. Diese Daten lassen sich intern Analysieren und an andere Lösungen weitergeben. Auch Aufgaben, wie das Sammeln von Daten und das Auslösen von Aktionen bei Bedrohungen kann durch Metron übernommen werden. Metron ist darüber hinaus in der Lage mit Machine Learning zu arbeiten. Das ermöglicht das Erkennen von Anomalien im Netzwerk und damit das frühzeitige Auslösen von Alarmen bei Angriffen auf das Netzwerk.
Vordefinierte Anomalien und eigene Definitionen - Use Cases
Die meisten SIEM-Lösungen arbeiten mit vorgefertigten Use Cases, also mit Anomalien, nach denen die Lösung suchen soll. Metron arbeitet hier nach einem anderen Ansatz. Es gibt keine vorgefertigten Use Cases, sondern im Fokus liegt das Definieren eigener Use Cases. So kann zum Beispiel auf Basis von Verhaltensanalysen, Algorithmen und maschinelles Lernen überprüft werden, ob auf Rechnern im Netzwerk verdächtiges Verhalten vorliegt.
Beispiel: Wenn herkömmliche SIEM-Systeme einen vorgefertigten Use Case nutzen, um zum Beispiel Ransomware erkennen, kann das über die Überprüfung eines Registry-Eintrags erfolgen. Wird dieser erstellt oder geändert, was ein SIEM, dass es Alarm auslösen soll. Wird aber eine andere Ransomware im Netzwerk verbreitet, die einen anderen Registry-Wert anpasst, erkennen SIEM-Systeme den Angriff unter Umständen nicht. Metron arbeitet nach einem anderen Ansatz und ist weniger statisch.
Apache Metron überwacht das Verhalten von Anwendern und dessen Rechner. Führt der Rechner Aktionen aus, die für diesen Anwender und PC unüblich sind, wird Metron hellhörig und überprüft das Verhalten genauer. Werden weitere Anomalien erkannt, löst Metron einen Alarm aus. Die Lösung kann durch den Big Data-Ansatz also intelligenter agieren als viele andere Systeme. Einer der größten Vorteile von Metron besteht darin große Datenmengen in Echtzeit analysieren zu können.
Apache Metron testen - als VM oder in der Cloud
Um Apache Metron zu testen gibt es verschiedene Möglichkeiten. Zunächst kann die Installation in einer Vagrant-Box als VM erfolgen. So lassen sich auch andere Systeme, wie zum Beispiel Icinga 2 testen und sogar produktiv installieren. Auch in der Cloud kann Apache Metron bereitgestellt werden. Hier kann zum Beispiel die Bereitstellung in AWS erfolgen. Allerdings ist diese Installation nur für den produktiven Betrieb sinnvoll. Hier werden 10 große VMs in EC2 erstellt. Das kostet natürlich einiges, wenn die VMs erstellt werden und im Betrieb sind. Hier wird zum Beispiel auf Ambari gesetzt. Ambari bietet eine grafische Oberfläche für das Installieren von Hadoop-Clustern und kann jederzeit beim Hinzufügen weiterer Knoten und Prozesse helfen. Mit der Open Source-Lösung lassen sich Hadoop-Cluster mit zusätzlichen Diensten automatisch und mit grafischer Oberfläche bereitstellen.
Die Installation von Metron kann natürlich auch manuell erfolgen, zum Beispiel auf CentOS. Damit die Installation erfolgen kann, muss das entsprechende Repository hinzugefügt und aktualisiert sein:
yum install epel-release -yyum update -yFür die Einrichtung von Apache Metron über Ambari muss natürlich zunächst Ambari installiert werden. Dazu sind die Voraussetzungen für Ambari notwendig:yum install git wget curl rpm tar unzip scp bzip2 wget createrepo yum-utils ntp python-pip psutils python-psutil ntp libffi-devel gcc openssl-devel -ypip install --upgrade pippip install requestsAuch Java wird auf dem System benötigt:
yum install java-1.8.0-openjdk java-1.8.0-openjdk-devel -yDie weitere Einrichtung erfordert zahlreiche Anpassungen und Optimierungen. Diese werden auf der Webseite „Metron 0.4.1 with HDP 2.5 bare-metal install on Centos 7 with MariaDB for Metron REST“ genauer aufgelistet. Metron wird zusammen mit Hadoop installiert. Daher gibt es einiges zu beachten. Auf der Projekt-Seite von Metron sind ebenfalls Anleitungen zu finden, wie Apache Metron im Netzwerk integriert werden kann.
(ID:46056259)
:quality(80)/p7i.vogel.de/wcms/e9/ec/e9ec6829f5eec32f59d7830455827d4e/0110330135.jpeg "Nvidia Rapids kann Berechnungen von Tagen auf Minuten verkürzen. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/77/e7/77e77daa3ea66debd50d925cc88a3741/0110632334.jpeg "„Weka“ steht für „Waikato Environment for Knowledge Analysis“. Die Plattform ermöglicht auf Basis von Java einen schnellen Einstieg ins Machine Learning und in die Datenanalyse. (Bild: T. Joos)")