Samstag, 27. August 2016
Twitter Facebook Mister Wong Delicious stumbleupon digg Yahoo

Neueste Technologie für Administratoren

Systembetreuer im Windows-Umfeld brauchen Know-how über die neuesten Entwicklungen. Einsatzbeispiele und Tipps aus der Praxis führen zu mehr Effizienz im täglichen Betrieb. Wir bieten Skript-basierte Lösungen von Windows IT Pro exklusiv im deutschsprachigen Raum für unsere Abonnenten.

Sichere Rechenzentren: Beseitigung überflüssiger Warnmeldungen

Mav Turner, Director of Product Strategy (Quelle: Solarwinds)

IT-Profis kennen diese Situation nur zu gut: tagtäglich werden sie von ihren Verwaltungssystemen mit Warnmeldungen überflutet. Die Postfächer von IT-Administratoren enthalten nicht selten Ordner mit zehntausenden ungelesenen Warnmeldungen. Dies stellt nicht nur eine riesige Ablenkung dar, sondern erschwert auch die Erkennung echter Sicherheitsprobleme. Doch das ist grob fahrlässig! Sicherheit sollte für IT-Administratoren immer höchste Priorität haben. Denn die wirklich wichtigen, sicherheitsrelevanten Warnmeldungen zu erkennen und darauf reagieren zu können, ist der Schlüssel bei der aktiven Absicherung jedes Rechenzentrums.

 

Eine Warnmeldung sollte tatsächlich nur dann gesendet werden, wenn ein Problem besteht, das menschliches Handeln erfordert. Bei mehr als zwei Warnmeldungen pro Woche ist also ein Rechenzentrum entweder so unsicher, dass es eigentlich stillgelegt werden sollte oder, was wahrscheinlicher ist, die Umgebungsüberwachung ist nicht richtig konfiguriert. Die meisten Monitoring-Systeme und -Tools bieten geeignete Möglichkeiten zum Einstellen von Warnmeldungen, aber das erfordert Zeit. Und viele behaupten, dass sie die Zeit zur Durchführung dieser Einstellungen einfach nicht haben.
Im Folgenden möchte ich daher ein paar Ratschläge geben, um ablenkende Warnmeldungen aus Rechenzentren zu reduzieren, um sich besser auf die Warnungen konzentrieren können, die wirkliche Auswirkungen auf die Sicherheit vertraulicher Daten haben.

Schritt eins: Zielsetzung

Der wichtigste Schritt, um bei Warnmeldungen ein gutes Signal-Rauschen-Verhältnis zu erreichen, ist, diese zu erfassen und feste Ziele zu setzen, um deren Menge zu reduzieren. Admins müssen erfassen, wie viele Warnmeldungen sie und ihr Team gegenwärtig erhalten. Von da aus können sie diese in Kategorien zusammenfassen. Zum Beispiel „falsch“ (Warnmeldung hätte nicht gesendet werden sollen), „benachrichtigend“ (System wurde zu Wartungszwecken heruntergefahren) und „kritisch“ (etwas ist beschädigt und erfordert sofortige Aufmerksamkeit).

Sie müssen nicht viel Zeit darauf verwenden, um diese Einteilung sofort zu perfektionieren. Besser ist, einfach abzuschätzen, woher die Menge an Meldungen stammt, damit sie ihre nächsten Schritte ordnen können. Sobald die IT-Profis die neuesten Warnmeldungen abgelegt haben, können sie versuchen, diesen Prozess zu automatisieren. Der Wechsel von einem Ordner, der Warnmeldungen aller Schweregrade enthält, auf drei Ordner mit jeweils unterschiedlichen Schweregraden wird bereits helfen. Die meisten E-Mail-Programme haben ein ausreichendes Regelverarbeitungsvermögen, das dabei hilft, solange die aktuellen Warnmeldungen eine Struktur aufweisen.

Nachdem eine Grundstruktur und einige Daten über die Warnmeldungen (Anzahl nach Kategorie) gefunden wurden, können die Admins Ziele festlegen, um diese zu reduzieren. Wenn sie sich ein konkretes Ziel setzen, ist es leichter, Fortschritte zu erzielen. Für den Anfang hat es sich bewährt, eine Verringerung der wöchentlichen Fehlalarme um 20 Prozent anzusetzen. Übliche Quellen von Fehlalarmen in einem Rechenzentrum umfassen das Versäumnis, einen Netzknoten oder ein Gerät vor dem Abschalten in den Wartungsmodus zu setzen, das Ansetzen unrealistischer und zu ungenauer Grenzwerte und zu viele ausgesendete Warnmeldungen aufgrund eines Problems mit einem abhängigen Dienst. Falls eine Verringerung der Fehlalarme um 20 Prozent innerhalb weniger Wochen nicht realistisch ist, dann müssen eben niedrigere Werte als Ziel angesetzt werden – 10 Prozent oder sogar 5 Prozent. Es geht darum, ein Ziel zu setzen, den Fortschritt bezüglich dieses Ziels zu bestimmen und weiter zu verbessern. Der Vorteil dieser Vorgehensweise besteht darin, dass ihre Anstrengungen kumuliert werden, und je mehr die Admins tun, desto weniger Ablenkungen erfahren sie.

Schritt zwei: Relevante Informationen erhalten

Im zweiten Schritt zur Reduzierung überflüssiger Warnmeldungen muss sichergestellt werden, dass die Admins hilfreiche Informationen enthalten. Wie viele der letzten Warnmeldungen enthielten alle Informationen, die sie benötigen, um überhaupt mit der Bearbeitung des Problems beginnen zu können? Allzu oft werden E-Mail-Warnmeldungen empfangen und man weiß nicht einmal, durch welche Regel die Warnmeldung ausgelöst wurde. Die meisten Tools ermöglichen heute, den Namen der Warnmeldung mit der Regel festzulegen. Diese einfache Veränderung wirkt sich deutlich auf die Fähigkeit aus, Warnmeldungen zu verarbeiten, zu organisieren und auf sie zu antworten. Zusätzlich zum Einbinden der Warnmeldung mit der Bezeichnung in die E-Mail sollten Admins daher versuchen, auch Folgendes einzuschließen: den Geräte- oder Systemnamen; den Schweregrad der Warnmeldung; einen direkten Link in ihrem Monitoring-System auf das betroffene System; aktuelle Werte wie CPU, Speicher, Laufwerk, Standort (und nicht nur der Name der Stadt oder des Rechenzentrums, sondern die Racknummer und die Position darin), örtliche Kontaktdaten, falls sie mit einem Techniker vor Ort zusammenarbeiten müssen und schließlich, wenn möglich, zugehörige Systeme und Infrastruktur.

Administratoren wollen keinen Detailgrad auf Debug-Niveau, aber sie sollten in der Warnmeldung alle grundlegenden Informationen erhalten, damit sie, wenn sie die E-Mail auf ihrem Mobiltelefon lesen, sofort mit der Wiederherstellung oder Schadensbegrenzung des Dienstes beginnen können, ohne mit dem Sammeln zusätzlicher Informationen Zeit zu verlieren. Wenn sie die Fehlerrate von Alarmen verringert haben, können sie erwägen, sie wieder direkt in ihren primären Posteingang zu leiten und die E-Mails mit „hohe Priorität“ oder „kritisch“ zu kennzeichnen. Dabei ist empfehlenswert, das erst dann zu tun, wenn Fehlalarme herausgefiltert und das Monitoring-System vertrauenswürdig ist.

Schritt drei: Konsolidieren

Nun müssen sich die IT-Profis mit den benachrichtigenden Warnmeldungen befassen. Manchmal fällt es am schwersten, diese nicht zu beachten. Diese Meldungen bieten ihnen eine gute Möglichkeit, Veränderungen im Umfeld festzustellen, noch bevor ein Problem auftritt. Leider stellen sie oft eine wesentliche Quelle der Ablenkung dar und bieten zuletzt wenig Mehrwert.
Wahrscheinlich schauen sich die Admins meistens einige dieser Meldungen an, wenn sie ihre Ordner überfliegen oder wenn ein Pop-up ihren Blick einfängt. Es wäre viel effizienter, einen täglichen oder vielleicht sogar wöchentlichen Bericht über benachrichtigende Aktivitäten zu erhalten. Wenn sie zur täglichen Berichterstellung gehen und diese lediglich als Information ansehen, und nicht als Hinweise zum Handlungsbedarf, werden sie genug Zeit haben, um sich einen Überblick über die Vorgänge in ihrem Umfeld zu verschaffen und dann ihren Fokus auf die kritischen Systemwarnmeldungen richten zu können, die Auswirkungen auf die Sicherheit haben könnten.
Auch wenn es angesichts der Menge an Warnmeldungen abschreckend wirkt: Wenn Administratoren klein anfangen und bedächtig vorgehen, können sie schnell Fortschritte erzielen. Eine kleine Anpassung kann in Bezug auf Warnmeldungen einen großen Unterschied bewirken, und der Mehrwert, den sie daraus erwirken, wird sprunghaft ansteigen, wenn sie sie richtig verwalten. Aus sicherheitstechnischer Sicht können die IT-Profis es sich nicht leisten, eine ernste Bedrohung zu übersehen. Wenn sie nur wenige Warnmeldungen in der Woche erhalten, ist es viel einfacher, Bedrohungen zu untersuchen und schnell auf Probleme zu reagieren. Nicht zuletzt wird durch die Verwaltung der Warnmeldungen die Anzahl der E-Mails reduziert. Und das ist sicherlich für jeden erstrebenswert.

Mav Turner

Anmelden
Anmelden