tacLOM Eventpacks

Eventpacks

Die Monitoring-Software tacLOM unterstützt einen Security Engineer bei der Analyse von Log-Daten. Zu diesem Zweck arbeitet tacLOM u.a. mit Events und Eventpacks, die im Folgenden erklärt werden.

Was ist ein Event?

Ein Event in tacLOM ist eine vom System generierte Log-Meldung, die auf Grund von spezifischen Log-Ereignissen erstellt wird. Damit bei späterer Analyse der Events schnell auf die Rohdaten zurückgegriffen werden kann, wird in jedem Event immer auch der Verweis auf die auslösenden Log-Zeilen gespeichert.

Was ist ein Eventpack?

Wann ein Event entsteht und wie dieser aussieht, wird von einem komplexen Regelwerk definiert. Eventpacks erweitern nun dieses Regelwerk um ganze Sammlungen von Regeldefinitionen für jeweils ein Standardprodukt. Die verfügbaren Eventpacks können im GUI von tacLOM angezeigt und selektiv aktiviert oder deaktiviert werden.

Die Zahl der Eventpacks nimmt stetig zu. Da immer mehr Kunden den Nutzen der Eventpacks erkennen, hat terreActive die Entwicklung für weitere Produkte vorangetrieben. Liste der verfügbaren Eventpacks:

•    cisco: Cisco IOS, NX-OS, ASA, WLC
•    cognito: Vectra Networks Cognito
•    cpfw: Check Point Firewall
•    epo4: McAfee ePolicy Orchestrator
•    fgate: Fortinet Fortigate 5.4
•    generic: Generic
•    hpilo: HP Integrated Lights-Out (iLO)
•    msexch: Microsoft Exchange Server
•    msiis: Microsoft Internet Information Server (IIS)
•    msiisa: Microsoft Internet Information Server (IIS) access logs
•    mssql: Microsoft SQL Server
•    nix: UNIX/Linux
•    nxlog: NXLog
•    oidsps: One Identity Safeguard for Privileged Sessions
•    osce: TrendMicro OfficeScan Corporate Edition
•    panos: Palo Alto Firewall / PAN-OS
•    pantr: Palo Alto Traps
•    rios: Riverbed RiOS
•    scrnos: Juniper ScreenOS
•    smex: Trend Micro Scanmail for Exchange
•    sopxg: Sophos XG
•    sysmonr: Microsoft Sysmon (Raw)
•    taclom: tacLOM
•    tfx: tacTFX
•    win: Microsoft Windows

Software made in Switzerland: tacLOM ist ein Schweizer Produkt. Die Software Entwicklungsabteilung der terreActive hat ihren Sitz in Aarau und kann schnell auf die Bedürfnisse lokaler Unternehmen reagieren.