Sicherheit im Zugriff

Der Zugriff auf das System und damit auf den Managementserver erfolgt über einen separaten unabhängigen Netzwerkanschluß. Die integrierte Sessionverwaltung regelt den gleichzeitigen und mit SSL verschlüsselten Zugriff der Benutzer (auf verschieden Ebenen über Timeout-, Paßwort- und Absenderüberprüfungen) auf den Managementserver.

Zentrales Systemmanagement

Die Webschnittstelle bietet eine umfangreiche und leistungsstarke Oberfläche mit einer einfachen Menüstruktur. Über Sie werden im zentralen Management die Benutzer des IDRS und deren Zugriffsberechtigungen, die Steuerung und Überwachung der Sensoren, die Verwaltung und die Updates der Signaturen sowie die Konfiguration der Reports und Reaktionen vorgenommen. Zur Optimierung der Benutzerführung wurden eine Online-Hilfefunktion und eine Cachefunktion für Grafiken integriert.

wartungsfreie Datenbanken und Echtzeitverarbeitung

Über eine lokale Wissensdatenbank werden Angriffsmuster, Programmfehler und regelwidrige Anwendungen in Form vom Signaturen gespeichert, die tägliche aktualisiert werden. Zusätzlich wird das Erstellen eigener Signaturen und die Verwaltung sogenannter Vor-Prozessoren unterstützt. Die Verwaltung dieser und deren Verteilung auf den Sensoren läßt sich zentral steuern. Die von den Sensoren gescannten Vorfälle werden in Echtzeit erfaßt, in Beziehung gebracht, ausgewertet und in der Datenbank archiviert. Somit lassen sich diese im Bedarfsfall auch über einen größeren Zeitraum rekonstruieren.

Integrierte Reportfunktionen

Um die verschiedenen Ereignisse und Systeme in übersichtliche und logische Verbindungen zu bringen, sind zahlreiche frei konfigurierbare Reportfunktionen integriert. Es stehen verschiedene, auch graphisch unterstützte Auflösungsebenen zur Verfügung. Die Konfiguration der Reportfunktionen erlaubt die Verwendung nahezu aller möglichen Parameter, wie z.B. Signaturen, Sensoren oder IP-Adressen, die bezogen für verschiedene Zeiträume genutzt werden können.

Frei konfigurierbare Reaktionen

Zur Analyse der gespeicherten Vorfälle stehen neben dem passiven Modus auch aktive, individuell einstellbare Reaktionen (Response) zur Verfügung. Dazu gehören neben dem typischen Versand von Nachrichten auch Echtzeit-Eingriffe in den Datenverkehr, um beispielsweise den Datenverkehr auf einem Firewall für bestimmte Adressen und/oder Ports zu sperren. Der Zugriff auf Anwendungen kann unterbunden werden oder auch komplette Netzwerksegmente können abgetrennt werden. Typische Anwendungen für aktive Reaktionen sind der Versand von Email und SMS, die Erweiterung der Filtersätze für Firewallsysteme und andere Netzwerkkomponenten (z.B. Linux, Checkpoint, BSD, Cisco, Lucent, Bintec).
In den Report- und Reaktionsfunktionen sind zusätzliche Tools eingebunden, aus denen tiefer-gehende Detailabfragen zu verschiedenen Vorfällen direkt nutzbar sind. Dazu gehören zum Beispiel Verweise auf die Webseiten der verschiedenen Referenzserver, Abfragen der Whois-Datenbanken und einfache Netzwerktests (z.B. DNS, Ping, Traceroute).