{"id":214,"date":"2021-08-19T15:20:06","date_gmt":"2021-08-19T13:20:06","guid":{"rendered":"https:\/\/www.edilog.de\/network\/?p=214"},"modified":"2025-09-29T13:49:53","modified_gmt":"2025-09-29T11:49:53","slug":"konzeptionelle-architektur-von-database-activity-monitoring-loesungen","status":"publish","type":"post","link":"https:\/\/www.edilog.de\/network\/2021\/08\/19\/konzeptionelle-architektur-von-database-activity-monitoring-loesungen\/","title":{"rendered":"Konzeptionelle Architektur von Database Activity Monitoring L\u00f6sungen"},"content":{"rendered":"<p>Gegeben ist ein Log mit\u00a0<strong>W<\/strong>er hat\u00a0<strong>W<\/strong>as mit\u00a0<strong>W<\/strong>elchen Daten\u00a0<strong>W<\/strong>ann und\u00a0<strong>W<\/strong>ie getan. Ein Database Activity Monitoring System sollte in der Lage sein die Frage nach dem\u00a0<strong>Warum<\/strong>\u00a0zu beantworten. Database Activity Monitoring Systeme helfen Organisationen dabei:<\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Aufsp\u00fcren\/Verhindern von Einbruchsversuchen in die Systeme einschlie\u00dflich Privileged User<\/li>\n<li>Erstellung eines regelm\u00e4\u00dfigen Reports hinsichtliche Systemnutzung und Datenmodifikationen<\/li>\n<li>Erkennung und Wiederherstellen von Datenbanksystemen im Falle von System- und Bedienungsfehlern<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Die Basisarchitektur eines Database Activity Monitoring Systems ist in der nachfolgenden Grafik dargestellt. Dannach besteht das System aus drei wesentlichen Komponenten wie einem Logger, einem Analyzer, und einem Notifier. Der Logger zeichnet Informationen auf, wobei die Art der zu speichernden Information durch die Security Policies festgelegt wird. Der Analyzer analyisert das Log in der Art, ob es Securityverst\u00f6sse gibt oder ob noch weitere Informationen geloggt werden sollten. Der Notifier hat die Aufgabe die Ergebnisse an den Analysten zu reporten.<\/p>\n<h4><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-1274\" title=\"DAM-Architektur\" src=\"https:\/\/it-experts.edilog.de\/wp-content\/uploads\/2011\/09\/DAM-Architektur.png\" sizes=\"(max-width: 301px) 100vw, 301px\" srcset=\"https:\/\/it-experts.edilog.de\/wp-content\/uploads\/2011\/09\/DAM-Architektur.png 301w, https:\/\/it-experts.edilog.de\/wp-content\/uploads\/2011\/09\/DAM-Architektur-300x48.png 300w\" alt=\"\" width=\"301\" height=\"49\" \/><strong>Logger<\/strong><\/h4>\n<p>Die Definition der Loggingmethode umfa\u00dft die Definitionen der Event-Typen und den Umfang des Monitorings. Damit bestimmt der Logger Inhalt, Zeit, Ort, Methode und H\u00e4ufigkeit des Datenbankloggings sowie andere wesentliche Bereiche des Systems. Z.B. hat der Ort des Loggings einen direkten Einflu\u00df auf die Effizienz von Analyse und Datenbereitstellung. Daneben mu\u00df das System daf\u00fcr Sorge tragen, dass die Loggdaten w\u00e4hrend des Auditprozesses gegen\u00fcber unberechtigten Zugriffen gesch\u00fctzt sind und zudem auch ausreichend viele Informationen geloggt werden, um letztendlich ein umfassendes Monitoring sicherzustellen. Insgesamt ist der definierte Log-Umfang f\u00fcr ein Database Activity Monitoring System ein kritischer Faktor, weil die M\u00f6glichkeiten der Analysten, zur Rekonstruktion von auff\u00e4lligen Events ganz besonders vom Inhalt und Richtigkeit des Datenbanklogs abh\u00e4ngen.<\/p>\n<p><strong>Analyzer<\/strong><\/p>\n<p>Die Analyse ist durch zwei Hauptfaktoren definiert: Das Ziel der Analyse und deren Zeiten und Wiederholungen. Das Ziel der Analyse bezieht sich auf die generellen Ziele des Monitorings, die sich wiederum auf das Aufsp\u00fcren von Securityverletzungen beziehen. Der Analyseproze\u00df folgt typischerweise den nachfolgenden 4 gro\u00dfen Zielen:<\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Entdecken von Notwendigkeiten zur \u00c4nderung von Systempolicies<\/li>\n<li>Aufsp\u00fcren von definierten Problemen und Anomalien<\/li>\n<li>Bestimmung der Verantwortlichkeit von Useraktivit\u00e4ten<\/li>\n<li>Erstellung eines regelm\u00e4\u00dfigen Reportings hinsichtlich Systemnutzung und Datenmodifikationen<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Die H\u00e4ufigkeit der Analyse wird bestimmt durch die oben genannten Ziele und kann periodisch, auf Transactionsh\u00e4ufigkeiten und\/oder Real-time erfolgen. H\u00e4ufigere Analysen erh\u00f6hen zwar die Wahrscheinlichkeit Missbr\u00e4uche fr\u00fchzeitig zu entdecken und die Reaktionszeit zu reduzieren, was jedoch auch steigende Kosten zur Folge hat. Real-time Analyse bietet die h\u00f6chste Analyseh\u00e4ufigkeit und ist aber gleichzeitig auch die teuerste Alternative, die typischerweise den kritischen Systemumgebungen vorbehalten ist. Periodische Analysen werden grunds\u00e4tzlich genutzt, um einen allgemeinen System\u00fcberblick zu erhalten oder ein regelm\u00e4\u00dfiges Reporting zu unterst\u00fctzen. Die Transactionsh\u00e4ufigkeitsmethode erf\u00fchrt immer nach einer bestimmten Anzahl von Transaktionen eine Analyse durch.<\/p>\n<h4><strong>Notifier<\/strong><\/h4>\n<p>Das Notifikationsystem unterst\u00fctzt die verf\u00fcgbaren Recherchertechniken in der Art, dass die Daten in einer Form dargestellt werden, die den Analysten erm\u00f6glicht potentielle Bedrohungen und Verletzungen von Policies fr\u00fchzeitig aufzudecken und bereinigt die Daten auf Basis der definierten Regeln und Rechteebenen der jeweiligen Betrachter.<br \/>\nDies dient der Sicherheit der Daten gegen\u00fcber \u00c4nderungen der Informationen, abh\u00e4ngig vom jeweiligen User, dessen Informations-Level und den Ergebnissen. Der Bereinigungproze\u00df entfernt alle Informationen, die nicht relevant sind oder deren Informations-Level h\u00f6her ist als der auf den der jeweilige User Zugriff haben darf.<\/p>\n<p>Dies erfolgt durch zwei Prinzipien:\u00a0<strong>1. Getrennte Privilegien<\/strong>\u00a0\u2013 &gt; Trennung der Verantwortlichkeiten (Separation of duties) und\u00a0<strong>2. Minimale Privilegien.<\/strong>\u00a0Getrennte Privilegien sch\u00fctzen die Daten dadurch, dass mehr als ein Key oder eine Au-thentication f\u00fcr den Zugriff auf sensitive Daten notwendig ist. Z.B. ist mehr als ein privilegierter User notwendig, um den Zugriff auf kritische Logs zu erhalten. Das Prinzip der Minimalen Privilegien gew\u00e4hrleistet, dass nur wenige Zugriffsrechte vergeben werden. Z.B. k\u00f6nnen User bei ihrer Suche und dem Datenzugriff auf einzelne Bereiche der Datenbank eingeschr\u00e4nkt werden, wobei keinem User gestattet ist auf alle Datenbankeintr\u00e4ge zuzugreifen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Gegeben ist ein Log mit\u00a0Wer hat\u00a0Was mit\u00a0Welchen Daten\u00a0Wann und\u00a0Wie getan. Ein Database Activity Monitoring System sollte in der Lage sein die Frage nach dem\u00a0Warum\u00a0zu beantworten. Database Activity Monitoring Systeme helfen Organisationen dabei: Aufsp\u00fcren\/Verhindern von Einbruchsversuchen in die Systeme einschlie\u00dflich Privileged User Erstellung eines regelm\u00e4\u00dfigen Reports hinsichtliche Systemnutzung und Datenmodifikationen Erkennung und Wiederherstellen von Datenbanksystemen im &hellip; <\/p>\n<p class=\"link-more\"><a href=\"https:\/\/www.edilog.de\/network\/2021\/08\/19\/konzeptionelle-architektur-von-database-activity-monitoring-loesungen\/\" class=\"more-link\"><span class=\"screen-reader-text\">\u201eKonzeptionelle Architektur von Database Activity Monitoring L\u00f6sungen\u201c<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[9,21,26],"tags":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/posts\/214"}],"collection":[{"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/comments?post=214"}],"version-history":[{"count":0,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/posts\/214\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/media?parent=214"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/categories?post=214"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/tags?post=214"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}