GFI EventsManager™ – Funktionen
Die wichtigsten Funktionen im Überblick
Detaillierte Compliance-Berichte zu sicherheitsrelevanten Ereignissen im Netzwerk
Vielfach sind Unternehmen sich nicht schlüssig, welche Ereignisberichte zur Einhaltung der verschiedenen Compliance-Vorgaben benötigt werden.
GFI EventsManager stellt auf wichtige gesetzliche und branchenspezifische Vorgaben abgestimmte Berichte und weitere Standard-Reports zur Verfügung, unter anderem zu den Bereichen:
- PCI DSS (Payment Card Industry Data Security Standard)
- CoCo (Code Of Connection)
- HIPAA (Health Insurance Portability and Accountability Act)
- SOX (Sarbanes-Oxley Act)
- Kontoverwendung inklusive Bericht zu Dateilöschungen durch Benutzer
- Kontoverwaltung
- Richtlinienänderungen
- Objektzugriffe
- Anwendungsverwaltung
- Drucker-Server
- Windows-Ereignisprotokoll
- HTTP-Datenverkehr
- Ereignistrends und Status von Diensten
- Gelöschte Dateien
- Status von Diensten
Zentrale Ereignisprotokollierung
Ereignisprotokolle werden automatisch erstellt und fortlaufend erweitert, ob von Hintergrundprozessen oder durch Anwenderaktionen. Die Speicherung der Dateien erfolgt jedoch oft an verschiedenen Orten.
GFI EventsManager sichert alle erfassten Ereignisse in einer lokal oder remote gespeicherten Datei. Zeitgesteuerte Backups von Systemmeldungen werden ebenfalls unterstützt. Die Archivierung von Ereignisdaten erfolgt in geschützten, komprimierbaren Dateien.
Analyse von Systemmeldungen (SNMP-Traps, Windows-Ereignisprotokolle, W3C-Protokolle, SQL-Server- und Oracle-Audit-Daten und Syslog)
Netzwerkadministratoren müssen häufig mit zahlreichen kryptischen Einträgen überfüllte Sicherheitsprotokolle analysieren.
GFI EventsManager filtert relevante Ereignisse aus Windows-Ereignisprotokollen, W3C-Protokollen, SQL-Server- und Oracle-Audit-Daten oder Syslog-Meldungen im gesamten Netzwerk heraus und unterstützt Sie bei der Verwaltung und Auswertung. Die Unterstützung von SNMP (Simple Network Management Protocol) ermöglicht die Überwachung und Meldung von Zustand und Betriebsstatus unterschiedlicher Netzwerkelemente wie Router, Sensoren und Firewalls.
Leistungsstarkes Dashboard
Per Dashboard lassen sich täglich benötigte Informationen gezielt herausfiltern und anhand einer Auswahl an tabellarisch und grafisch aufbereiteten Ereignisübersichten schnell und einfach anzeigen.
Dargestellt werden besonders kritische und wichtige Regeln, die in einem bestimmten Zeitraum ausgelöst wurden, sowie die Top 10 der Anwender mit fehlgeschlagenen oder während/außerhalb der regulären Geschäftszeiten erfolgten Anmeldeversuchen. Erhalten Sie zusätzlich Informationen zum Status von Diensten im gesamten Netzwerk und zur Anzahl der in der Datenbank gespeicherten Ereignisse je Protokolltyp. Außerdem gibt eine umfassende Grafik Aufschluss über anwendungs- und benutzerspezifische Netzwerkverbindungen (nur ab Microsoft Windows Vista). Die einzeln anpassbaren und vergrößerbaren Dashboard-Fenster lassen sich automatisch auf dem Desktop anordnen und zeigen Daten zu den wichtigsten Ereignissen in Echtzeit an.
Ein-Klick-Erstellung von Regeln und Filtern
Regeln und Filter zur Verarbeitung von Windows-Ereignissen lassen sich per einfachen Mausklick auf ein Ereignisdetail im Events Browser erstellen.
Neue Regeln werden automatisch im Regelsatz "User Rules" gespeichert und erhalten standardmäßig die niedrigste Priorität.
Echtzeit-Warnungen – auch per SNMPv2-Traps
Kritische Ereignisse im Netzwerk oder Sicherheitsverletzungen werden von GFI EventsManager sofort gemeldet.
Gegenmaßnahmen wie das Starten von Skripten oder die Alarmierung von Mitarbeitern per E-Mail, Netzwerknachricht oder SMS (per E-Mail-zu-SMS-Gateway/Dienst) können umgehend erfolgen. Erweiterte Warnmöglichkeiten bestehen durch die Unterstützung von SNMPv2-Traps. SNMP-Warnungen erlauben außerdem die Integration der GFI-Lösung mit bereits vorhandenen oder übergeordneten Überwachungssystemen.
Erkennung von administratorbezogenen Windows-Ereignissen
GFI EventsManager erkennt, ob ein Windows-Ereignis in Zusammenhang mit einem Administrator steht.
Anhand von Benutzernamen oder Sicherheitskennungen wird überprüft, ob ein Windows-Ereignis in Zusammenhang mit einem Administrator steht. Auch die Änderung von Benutzerrechten lässt sich über Windows-Ereignisse nachverfolgen; der aktualisierte Status eines Benutzers als neuer oder ehemaliger Administrator wird protokolliert und gemeldet. Bei Einsatz dieser Funktion in Domänen muss vor allen anderen Kontrollen zuerst der Domänen-Controller überprüft werden.
Integration von Daten aus GFI LanGuard und GFI EndPointSecurity
Lassen Sie zusätzlich von GFI LanGuard und GFI EndPointSecurity ausgegebene Meldungen erfassen, um einen präzisen Überblick über den Sicherheitsstatus Ihres Netzwerks zu erhalten und aussagekräftigere Compliance-Berichte erstellen zu können. Unter anderem werden Informationen zu Schwachstellen, unerwünschten Anwendungen und zur Verwendung mobiler Speichermedien ausgewertet.
Auto-Updater
Neueste Produkt-Patches und weitere Aktualisierungen werden automatisch von der GFI-Website abgerufen und installiert.
Die Überprüfung auf neue Patches erfolgt in regelmäßigen Zeitabständen.
"Certified for Windows Server® 2008" und Unterstützung von Microsoft Windows 7
GFI EventsManager ist für Microsoft Windows Server 2008 und Windows Server 2008 R2 zertifiziert. Die Sicherheitslösung lässt sich unter Microsoft Windows 7, Vista und Windows Server 2008 installieren und erfasst deren Ereignisse.
Das neue Protokollformat der aktuellen Plattformen wird gemeinsam mit anderen Formaten einheitlich dargestellt, um Systemverantwortlichen einen einfacheren Gesamtüberblick über alle Systeme hinweg zu bieten. Ebenfalls unterstützt werden Microsoft Windows 2000 (nur zur Ereigniserfassung), Windows XP und Windows Server 2003.
GFI EventsManager-Audit für Microsoft Windows
Für Computer mit Microsoft Windows steht ein eigenes Audit-Verfahren zur Verfügung.
Bei Aktivierung erfolgen zu Beginn eines regulären Ereignis-Scans vorkonfigurierte Windows-Checks. Ergebnisse werden als Ereignis in das Windows-Anwendungsprotokoll der (lokalen) Maschine geschrieben. Im Anschluss daran erfolgt die normale Ereigniskontrolle. Alle Events können anschließend gemeinsam ausgewertet werden. Zudem lassen sich mit Hilfe von Regeln zur Ereignisverarbeitung Scan-Resultate überprüfen, um beispielsweise Warnungen bei fehlgeschlagenen Checks zu versenden. Relevante Daten können über das Dashboard als kritisches Ereignis angezeigt werden.
Das GFI EventsManager-Audit liefert Informationen zu:
- Inaktiven Benutzern (keine Anmeldung während der letzten 30 Tage)
- Inaktiven Maschinen einer Domäne (keine Nutzung während der letzten 30 Tage)
- Inaktiven IPSec-Richtlinien
- Installierten, jedoch inaktiven Firewall-Lösungen von Microsoft
- Verzögerungen bei Ping-Antworten
- Festplattenlaufwerken mit Kapazitätsproblemen
Granulare Ereigniskontrolle
Lassen Sie eine breite Auswahl an Systemen und Hardware überwachen. Meldungen unterschiedlicher Art, darunter Windows-Ereignisse, Syslog-Meldungen, W3C-Events und SNMP-Traps von Netzwerkelementen, werden zentral protokolliert und ausgewertet.
Relevante Daten von Windows-Computern und anderen Geräten lassen sich über verschiedene Warnungen, Anzeigen und Berichte differenziert auswerten.
Protokollierung von Microsoft-SharePoint-Ereignissen
Halten Sie sich mit Hilfe des Drittanbieter-Tools "LOGbinder SP" über Benutzeraktivitäten unter SharePoint auf dem Laufenden.
Die vom anerkannten Sicherheitsexperten Randy Franklin Smith entwickelte Lösung wird auf dem SharePoint-Server installiert. Sie überträgt unverständliche, native SharePoint-Meldungen in leichter handhabbare Windows-Ereignisse, die GFI EventsManager mit Hilfe von Berichten, Anzeigen und Warnungen verarbeitet und verwaltet. Hier erhalten Sie nähere Informationen zu LOGBinder SP.
Verarbeitung von Protokollen der iSeries von IBM (ehemals AS/400)
GFI EventsManager verarbeitet Protokolle, die von Systemen der iSeries von IBM ausgegeben werden. Die Protokolle werden mit Hilfe eines Drittanbieter-Tools abgerufen und im Syslog-Format an GFI EventsManager übermittelt.
Hier erhalten Sie weitere Informationen zur Verarbeitung von IBM iSeries-Protokollen.
Anonymisierung von personenbezogenen Daten in Ereignissen
Zur Einhaltung gesetzlicher Datenschutzvorgaben kann GFI EventsManager personenbezogene Daten in Protokollen anonymisieren, darunter Benutzernamen und Computerinformationen, anhand derer sich bestimmte Anwender identifizieren lassen.
Die Angaben werden bei der Erfassung von Ereignissen mit Hilfe eines Sicherheitsschlüssels, der von einer oder mehreren autorisierten Personen festgelegt wird, unkenntlich gemacht. Anonymisierte Daten können jederzeit von berechtigten Anwendern entschlüsselt werden.
Die Anonymisierung umfasst alle Windows-Sicherheitsereignisse sowie SQL- und Oracle-Audit-Events.
Automatisiertes Auffinden von Rechnern im Netzwerk und Domänen-Synchronisation
Netzwerkcomputer können automatisch erkannt und als neue Ereignisquellen festgelegt werden. Computergruppen lassen sich als Ereignisquellen selbsttätig mit Rechnern einer Domäne synchronisieren.
Unterstützung neuer Hardware (MIB-Datei-Import)
Viele Hersteller stellen zur einfacheren Verwaltung ihrer Hardware MIB-Dateien (Management Information Base) bereit.
Sie definieren spezielle Geräteeigenschaften und erlaubten eine Erkennung und Verwaltung der SNMP-Traps zahlreicher Produkte. GFI EventsManager wird mit MIB-Definitionen folgender Hersteller ausgeliefert: Cisco, 3Com, IBM, HP, Check Point, Alcatel, Dell, Netgear, SonicWall, Juniper Networks, Arbor Networks, Oracle, Symantec, Allied Telesis u. a. Zusätzlich MIBs für weitere Geräte lassen sich importieren.
SQL-Server-Auditing
SQL-Server-Auditing wird für alle kostenpflichtigen und kostenfreien Versionen von Microsoft SQL Server unterstützt, darunter die Versionen 2000, 2005 und 2008 sowie MSDE und Microsoft SQL Server Express.
Per Auditing wird die Authentizität der SQL-Server-Daten sichergestellt. Administratoren können SQL-Aktivitäten verfolgen und protokollieren, unter anderem das Ausführen von SQL-Anweisungen, Änderungen an Datenbanktabellen und unbefugte Zugriffsversuche.
Oracle-Server-Auditing
Auch die Aktivität von in zahlreichen Unternehmen eingesetzten Oracle-Datenbank-Servern muss aus Sicherheitsgründen oder zur Einhaltung gesetzlicher Compliance-Vorgaben überwacht werden. Mit GFI EventsManager lassen sich Audit-Daten von Oracle9i, 10g und 11g verarbeiten.
Verständliche Erklärungen zu Windows-Ereignissen
Ereignisprotokolle sind aufgrund ihrer teilweise kryptischen Einträge nur schwer zu analysieren. GFI EventsManager überträgt die Ereignisangaben in eine verständliche, präzise Form und bietet hilfreiche Empfehlungen zum weiteren Vorgehen.
Hochleistungs-Scan-Engine
Die leistungsstarke Scan-Engine von GFI EventsManager kann eine große Anzahl von Ereignissen in kürzester Zeit erfassen, verarbeiten und bewerten.
Bis zu sechs Millionen Events pro Stunde lassen sich überprüfen. Das modulare Konzept erlaubt es, zusätzliche Funktionen und Plug-ins hinzuzufügen, ohne direkte Änderungen an der Engine vorzunehmen.
Erfassung von im WAN verteilten Ereignisinformationen in einer zentralen Datenbank
Ereignisinformationen, die von mehreren, im gesamten Netzwerk verteilten GFI EventsManager-Installationen erfasst und verarbeitet wurden, lassen sich in einer Datenbank zentralisieren.
Selbst tausende über mehrere Standorte verteilte Workstations und Server können ohne Beeinträchtigung von Bandbreite oder Speicherkapazität somit mühelos überwacht werden. Zusätzlich ist es möglich, Ereignisse bei Bedarf per Backup zu sichern oder wiederherzustellen. Darüber hinaus kann die Größe der Datenbank im Rahmen der automatischen Wartung durch den Export von Ereignissen reguliert werden.
Optimiert! Export von Ereignissen in individuell anpassbare HTML- und PDF-Dateien zur Berichterstellung
Ereignisse lassen sich aus dem Events Browser anhand von benutzerdefinierbaren Vorlagen ins HTML- oder PDF-Format exportieren.
Legen Sie gezielt fest, welche Arten von Daten tabellarisch darzustellen sind.
Regelbasierte Verwaltung von Systemmeldungen
Nutzen Sie vorkonfigurierte Verarbeitungsregeln, mit denen Ereignisse unter Berücksichtigung verschiedener Bedingungen herausgefiltert und klassifiziert werden.
Standardregeln lassen sich darüber hinaus individuell anpassen. Zudem können Sie neue, auf Ihre Netzwerkinfrastruktur zugeschnittene Vorgaben erstellen.
Fortschrittliche Funktionen zur Ereignisfilterung
Leistungsfähige Filter erlauben ein schnelles Durchsuchen und übersichtliches Anzeigen erfasster Ereignisse. Einträge des Datenbank-Backends bleiben stets erhalten.
Farbliche Hervorhebungen und die integrierte Ereignissuche helfen beim gezielten Auffinden von Ereignissen.
Scan-Profile für Ereignisprotokolle
Erstellen Sie anhand von Scan-Profilen mehrere Regeln zur Ereignisprotokoll-Überwachung, die auf einen oder mehrere Computer anzuwenden sind.
Über Scan-Profile können Vorgaben zur Ereignisverarbeitung zudem zentral angepasst werden. Sie haben auch die Möglichkeit, beispielsweise eine Gruppe von Regeln allein für die Arbeitsplatzrechner einer einzelnen Abteilung zu erstellen. Richten Sie darüber hinaus ergänzende Profile ein, deren spezielle Regeln nur für Einzel-Computer gelten sollen.
Unterstützung bei Einhaltung des PCI DSS sowie anderer branchenspezifischer und gesetzlicher Sicherheitsvorgaben
Die Protokollierung von Daten trägt wesentlich zur Erfüllung unterschiedlicher in- und ausländischer Compliance-Vorschriften bei.
Ereignisprotokolle erlauben eine detaillierte Nachverfolgung sämtlicher Handhabung vertraulicher oder personenbezogener Informationen. Zur Einhaltung von Vorgaben ist es erforderlich, relevante Protokolle mit einer leistungsfähigen Lösung wie GFI EventsManager umfassend auszuwerten und zu verwalten. Zahlreiche Funktionen von GFI EventsManager ermöglichen es Ihnen, mit einer großen Auswahl an Gesetzen und Regularien konform zu gehen, darunter PCI DSS, SOX, GLBA, HIPAA, GLBA und CoCo.
Einsatz in virtuellen Umgebungen
Produkte von GFI lassen sich auch in Unternehmen, die Virtualisierungslösungen einsetzen oder einführen möchten, problemlos installieren und verwenden.
GFI EventsManager unterstützt die gängigen Virtualisierungstechnologien VMware, Microsoft Virtual Server und Microsoft Hyper-V.
Auszeichnungen und Produktbesprechungen
Previous
Next
-
-
One to consider for almost any SIEM project
One to consider for almost any SIEM project
"GFI Software is one of the smaller vendors in the SIEM market. However, size doesn't matter if you build quality into a product like GFI has done with its GFI EventsManager 2012. All things considered, GFI EventsManager proves to be very apt at what it is designed for, managing events driven by the SIEM methodology. Strong reporting tools and an interactive GUI round out the product, making it one to consider for most any SIEM project" – SC Magazine, April 2012
-
InfoWorld reviews GFI EventsManager
InfoWorld reviews GFI EventsManager
"GFI EventsManager Report Pack comes with dozens of predefined reports (mostly Windows-related), each of which can be edited or used to make new reports." - InfoWorld
-
GFI EventsManager - 'built the right way for the right job at the right time'
GFI EventsManager - 'built the right way for the right job at the right time'
GFI EventManager is a very efficient and effective...
GFI EventsManager - 'built the right way for the right job at the right time'
GFI EventManager is a very efficient and effective log and event management tool which covers most of the daily security monitoring activities - Dragos Lungu
-
One to consider for almost any SIEM project
-
-
GFI EventsManager awarded Community Choice Award
GFI EventsManager awarded Community Choice Award
GFI EventsManager and GFI Network ServerMonitor we...
GFI EventsManager awarded Community Choice Award
GFI EventsManager and GFI Network ServerMonitor were named winners of the "Community Choice Awards", and GFI EndPointSecurity was awarded Best Security Product - Community Choice by Penton Media's Windows IT Pro magazine - Windows IT Pro
-
Editor’s Choice
Editor’s Choice
In a comparative review in of log management products in WindowsIT Pro, the magazine gives GFI EventsManager 4.5 marks out of 5 for both its ease of implementation and ease of use. The reviewer recommends GFI EventsManager for anyone “whose log management needs are limited to Windows Events logs, syslog output and W3C log file information”. - Windows IT Pro
-
An excellent tool
An excellent tool
In a review on firewall.cx, Alan Drury describes GFI EventsManager 7 as an excellent tool that will “make your life easier and help keep both you and your systems out of trouble” and rates it 9 of out 10. He said the product enables you to collect and archive event logs across an organisation, but “there’s so much more to it than that”. He highlights GFI EventsManager’s ability to run external scripts and adds that “customisation is one of the real keys to this product”. Although GFI EventsManager 7 may be a little on the slow side at startup, “this is a testimony to the fact that the product is doing a lot of work on your behalf and, to get the best from it, you really should give it a decent system to run on. The benefits you’ll gain will more than make up for the investment. Overall, this is an excellent tool that will.” - Firewall.cx
-
GFI EventsManager awarded Community Choice Award
-
-
Nice package with clear business benefits
Nice package with clear business benefits
GFI EventsManager “is a very nice package with clear business benefits” according to a review in ITpro.co.uk by Ian Murphy. Giving the product four stars out of a maximum six, the author highlights the product’s relative easy to install, well-written documentation and other features that help the administrator during the installation and configuration process. - ITpro.co.uk
-
Nice package with clear business benefits