Ebenfalls wurde in Hannover die SIEM-Architektur endgültig verabschiedet. Diese wird nun diverse IF-MAP-Clients enthalten, die auf die neuen Schnittstellenanforderungen noch angepasst werden müssen. Zudem ist eine fortgeschrittene SIEM-GUI mit integriertem Ticketsystem geplant. Eine Regel-Engine wird durch einen Cluster und die Korrelationslösung Esper realisiert werden. Es wurden aber auch noch offene Baustellen ausgemacht. So ist das genutzte IF-MAP-Protokoll nicht Quality-of-Service-fähig, so dass Events auch verloren gehen könnten. Als Lösung wurde der Einsatz von Puffern in den Clients diskutiert, die auf die Bestätigung des MAP-Servers warten. Dies wäre eine Spezifikationserweiterung, die man bei der Trusted Computing Group (TCG) einreichen könnte. Schließlich sind die Partner Hochschule Hannover und DECOIT® GmbH aktive Mitglieder, die dies bei Bedarf auch anstoßen könnten. Eine Diskussion ist für das nächste TCG Members Meeting im Juni nächsten Jahres geplant.
Bei der Datenbank, die die Datenmengen handhaben soll, ist man sich ebenfalls einig geworden. Es wird nun auf eine Cassandra-Datenbank hinauslaufen, die einen Ereignisspeicher enthält und horizontal beliebig erweitert werden kann. Dadurch ergibt sich eine hohe Ausfallsicherheit. Ein Auditing ist ebenfalls bereits enthalten, so dass Compliance unterstützt werden kann. Dafür wird es eine weitere grafische Oberfläche auf Basis von „Banana“ geben, die den Compliance-Status für ein entsprechendes Auditverfahren wiedergeben kann. Eine Anbindung zu Esper ist ebenfalls vorhanden, so dass die Korrelation der Daten direkt durchgeführt werden kann.
Die Compliance-Untersuchungen der IT-Security@Work GmbH (ISW) machen ebenfalls Fortschritte. So wurde jetzt der Ablauf eines Audits definiert und in die Analyse mit einbezogen sowie verschiedene Compliance-Standards anhand der Bedrohungsszenarien erarbeitet. Unterteilt wurden die Aufgaben dabei in die Nachweisbarkeit für ein automatisiertes Compliance-System sowie in Regeln für die automatisierte Entscheidungsfindung.
Auch die gemeinsame Testumgebung wurde inzwischen in einer Basisinstallation umgesetzt. Hierauf werden die gemeinsamen Entwicklungen getestet und verschiedene NAC-Systeme evaluiert werden. Es kann daher zeitnah mit der Bearbeitung der nachfolgenden Arbeitspakete begonnen werden.