Der Managemenserver ist die Zentrale des Systems. Über ein integriertes benutzerfreundliches Webinterface wird das gesamte IDRS kontrolliert, verwaltet, überwacht und ausgewertet. Die enthaltenen selbstwartenden Datenbanken, die Backup-, Steuer- und Absicherungsfunktionen, sowie die integrierte Firewall bieten die Möglichkeit, komplexe Vorgänge und Aufgaben zu lösen. Es wird eine optimale Nutzung des Management, der Datenerfassung und Archivierung, der Vorgangsanalyse und Aggregation, Datenanalyse, Reporterstellung und Alarmverarbeitung innerhalb des IDRS ermöglicht.
Sicherheit im Zugriff
Der Zugriff auf das System und damit auf den Managementserver erfolgt über einen separaten unabhängigen Netzwerkanschluss. Die integrierte Sessionverwaltung regelt den gleichzeitigen und mit SSL verschlüsselten Zugriff der Benutzer (auf verschieden Ebenen über Timeout-, Paßwort- und Absenderüberprüfungen) auf den Managementserver.
Zentrales Systemmanagement
Die Webschnittstelle bietet eine umfangreiche und leistungsstarke Oberfläche mit einer einfachen Menüstruktur. Über diese werden im zentralen Management die Benutzer des IDRS und deren Zugriffsberechtigungen, die Steuerung und Überwachung der Sensoren, die Verwaltung und die Updates der Signaturen sowie die Konfiguration der Reports und Reaktionen vorgenommen. Zur Optimierung der Benutzerführung wurden eine Online-Hilfefunktion und eine Cachefunktion für Grafiken integriert.
Wartungsfreie Datenbanken und Echtzeitverarbeitung
Über eine lokale Wissensdatenbank werden Angriffsmuster, Programmfehler und regelwidrige Anwendungen in Form vom Signaturen gespeichert, die tägliche aktualisiert werden. Zusätzlich wird das Erstellen eigener Signaturen und die Verwaltung sogenannter Vor-Prozessoren unterstützt. Die Verwaltung dieser und deren Verteilung auf die Sensoren lässt sich zentral steuern. Die von den Sensoren gescannten Vorfälle werden in Echtzeit erfasst, in Beziehung gebracht, ausgewertet und in der Datenbank archiviert. Somit lassen sich diese im Bedarfsfall auch über einen größeren Zeitraum rekonstruieren.
Integrierte Reportfunktion
Um die verschiedenen Ereignisse und Systeme in übersichtliche und logische Verbindungen zu bringen, sind zahlreiche frei konfigurierbare Reportfunktionen integriert. Es stehen verschiedene, auch graphisch unterstützte Auflösungsebenen zur Verfügung. Die Konfiguration der Reportfunktionen erlaubt die Verwendung nahezu aller möglichen Parameter, wie z.B. Signaturen, Sensoren oder IP-Adressen, die bezogen für verschiedene Zeiträume genutzt werden können.
Konfigurierbare Reaktionen
Zur Analyse der gespeicherten Vorfälle stehen neben dem passiven Modus auch aktive, individuell einstellbare Reaktionen (Response) zur Verfügung. Dazu gehören neben dem typischen Versand von Nachrichten auch Echtzeit-Eingriffe in den Datenverkehr, um beispielsweise den Datenverkehr auf einem Firewall für bestimmte Adressen und/oder Ports zu sperren. Der Zugriff auf Anwendungen kann unterbunden werden oder auch komplette Netzwerksegmente können abgetrennt werden. Typische Anwendungen für aktive Reaktionen sind der Versand von Email und SMS, die Erweiterung der Filtersätze für Firewallsysteme und andere Netzwerkkomponenten (z.B. Linux, Checkpoint, BSD, Cisco, Lucent, Bintec, Fortinet, Juniper).
In den Report- und Reaktionsfunktionen sind zusätzliche Tools eingebunden, aus denen tiefergehende Detailabfragen zu verschiedenen Vorfällen direkt nutzbar sind. Dazu gehören zum Beispiel Verweise auf die Webseiten der verschiedenen Referenzserver, Abfragen der Whois-Datenbanken und einfache Netzwerktests (z.B. DNS, Ping, Traceroute).