Aufgrund des Datenaufkommens in Cybersicherheits-Monitoring-Plattformen in großen Organisationen entstehen Datenbestände, die Terabyte bis Petabyte groß sind. Analytische Operationen sind ein zentraler Bestandteil bei der Erkennung und Aufarbeitung von Cyberangriffen, um z.B. sog. Top-Talker oder schwache Einzelsignale herauszustellen. Zum Entwickeln von Detektionen werden häufig hochselektive Teilmengen der Daten mit hoher Bandbreite benötigt, um beispielsweise ML-Modelle zu trainieren und zu testen. Vor diesem Hintergrund, ist approximative Intervall-Filterung wesentlich für schnelle Eingrenzung relevanter Daten. Im Rahmen unserer Vorarbeiten wurde einen Ansatz (namens bloomRF) für approximative Intervall-Beprobung entwickelt, der online-fähig ist und die Beprobung von kleinen bis großen Spannen mit annehmbarer Genauigkeit erlaubt. Das Hauptziel des vorliegenden Transfervorhabens ist die Integration von bloomRF in die quelloffene Security-Daten-Plattform TENZIR, um die Analyse und Ermittlung von sicherheits-relevanter Vorfälle (sog. Security Incidents) zu beschleunigen und die Betriebskosten durch effizientere Suchabfragen zu senken.

DFG-Verfahren Sachbeihilfen (Transferprojekt)

Anwendungspartner Tenzir GmbH