Überwachungsrichtlinien

Im Rahmen eines Sicherheitskonzepts für die Integration eines Geräts in ein Netzwerk sollte festgelegt werden, welche Stufe des Sicherheitsaudits geeignet ist, um potenzielle Angriffe zu erkennen. Sicherheitsaudit bedeutet, dass ein Industrie-PC Audit-Protokolle über Ereignisse erstellt, sobald mit dem Gerät interagiert wird. So können beispielsweise Datei- und Ordnerzugriffe protokolliert werden, jedes Mal, wenn ein Benutzer auf die ausgewählten Dateien oder Ordner zugreift.

Diese Protokolle sind zur Überprüfung vorgesehen, um Abweichungen von der normalen Nutzung zu erkennen, die auf einen Angriff hindeuten könnten, oder zu forensischen Zwecken, um Details über einen Angriff zu rekonstruieren. Die Überprüfung kann sofort oder in regelmäßigen Abständen durch automatisierte Mechanismen oder manuell erfolgen. Es hängt von der Umgebung und der Anwendung ab, welche Abweichungen relevant sind. Daher werden Regeln, die beschreiben, welche Aktionen protokolliert werden, üblicherweise mit Hilfe von Überwachungsrichtlinien konfiguriert.

Die Konfiguration zu vieler Regeln kann jedoch zu einer Art Blindheit führen. Die Protokolle können mit irrelevanten Einträgen überfrachtet werden, wobei die relevanten Einträge von Menschen leicht übersehen oder von automatischen Überwachungsmechanismen nicht schnell genug verarbeitet werden. Manchmal ist es eine gute Praxis, Protokolle an eine zentrale Stelle zur automatischen Überprüfung und/oder Archivierung weiterzuleiten, um unter anderem eine begrenzte Protokollkapazität nicht zu erschöpfen.