Anomalien in Metrikdaten mit Prometheus erkennen

Deppendetektor

von Martin Loschwitz

Bei einem Angriff auf die IT-Infrastruktur ist Zeit der entscheidende Faktor – doch woran merken Admins, dass etwas nicht stimmt? Anomalien in Metrikdaten einer Umgebung sind ein wichtiger Indikator. Und die Zeitreihendatenbank Prometheus bietet Admins das Handwerkszeug, Anomalien automatisch zu erkennen und Alarm zu schlagen. Der Beitrag geht sowohl auf theoretische Grundlagen wie den Z-Score auf Gauß-Basis als auch auf den praktischen Einsatz des Prometheus Anomaly Detector ein.

Aus IT-Administrator 03/2022

Unternehmen sehen sich permanenten Hackerangriffen ausgesetzt, während die Mitarbeiter remote, teils mit ihren eigenen Devices, auf sensible Daten zugreifen. ... (mehr)

Angriffe auf Umgebungen sind in der IT heute so alltäglich wie der Betrieb der IT-Infrastruktur selbst. Die Spanne der Angriffsarten ist dabei groß und hängt vom Ziel ab, das Ganoven erreichen wollen. Geht es um klassische Denial-of-Service-Attacken, ist der Angriff eher banal und ad hoc gut zu erkennen. Steht das Ausspähen von Daten im Vordergrund, sind die Methoden bereits deutlich subtiler. Hochkomplexe IT-Angriffe auf verschiedenen Ebenen zur selben Zeit sind längst keine große Herausforderung mehr für Straftäter.

So komplex die Angriffsszenarien auch sind – ein Faktor bleibt gleich: Der Administrator möchte so früh wie möglich merken, dass sich in seinem Setup sinistre Vorgänge abspielen, um zeitnah zu reagieren. Denn je früher ein Angriff auffällt, desto eher lässt sich aus Admin-Sicht gegensteuern und desto geringer bleibt der verursachte Schaden. Aber welche Mittel und Wege hat der Administrator, Angriffe frühzeitig zu erkennen?