Das Sammeln, Zusammenführen, Verknüpfen, Untersuchen aller im Unternehmensnetz auftretenden Meldungen in einem zentralen Event Log gehört zu den dringendsten Aufgaben in der Überwachung und Gefahren-Abwehr.
Wenn Angreifer über mehrere Stationen hinweg eindringen: erst über Firewall, dann über Router, Server, Clients, helfen SIEM-Systeme durch Analyse der Syslog-Meldungen eben dieser Komponenten, ein übergreifendes und geschlossenes Bild des Hergangs zu gewinnen.
Da nicht jede aktive Komponente Syslog-Meldungen sendet oder nicht selbst das Ereignis erkennt, ist es wichtig, dass nicht nur aktive Komponenten in einer Art von Selbst-Diagnose Meldung machen, sondern dass der Datenverkehr auf Ebene der Ethernet/IP-Pakete im Zuge von Deep Packet Inspection analysiert wird, und dass die Analyse-Agenten ihrerseits per Syslog diese Ereignisse ans zentrale Event Log melden.
synalyst Analyse arbeitet mit eben solchen Syslog-Meldungen, die von den verteilt arbeitenden Analyse-Agenten an den zentralen Event-Log-Sammler gesendet werden und die dort von der Event Log Filter Engine durchmustert, sortiert, priorisiert, archiviert werden.
Innerhalb der synalyst Analyse-Landschaft entspricht dies einer SIEM-typischen Datenverbeitung einschließlich fälliger Mitteilungen bzw Alarm-Meldungen bei entsprechenden Befunden.
Die Analyse-Agenten sowie die Event Log Filter Engine können ihrerseits Syslog-Meldungen an die SIEM-Systeme anderer Hersteller senden bzw weiter leiten.
