Ein SIEM aufbauen für Kleinere und Mittlere Unternehmen - Teil 1: Endgeräte in Elastic einbinden
Table of Content:
Teil 1: Endgeräte in Elastic einbinden
Willkommen zu unserem ersten Blogbeitrag, in dem wir Ihnen zeigen, wie Sie Endgeräte effektiv in Elastic integrieren. Wir starten mit der Einrichtung Ihres Elastic Cloud-Kontos und führen Sie durch die Installation des Elastic Agents. Erfahren Sie, wie Sie Kibana integrieren und spezialisierte Logs wie Sysmon und auditd hinzufügen, um Ihre Netzwerksicherheit zu stärken. Tauchen Sie mit uns in die praktische Welt der Elastic-Integration ein!
Schritt 1: Registrierung bei Elastic Cloud
Zunächst benötigen Sie einen Account bei Elastic. Glücklicherweise bietet Elastic eine 14-tägige kostenlose Testversion an, die für unser Vorhaben ausreichend ist. Besuchen Sie Elastic Cloud Registration und folgen Sie den Anweisungen zur Erstellung eines Kontos.
Schritt 2: Erstes Deployment erstellen
Nach der Registrierung werden Sie zu einer Übersichtsseite geleitet. Klicken Sie auf „I’d like to explore on my own“, um mit der Einrichtung Ihres ersten Deployments zu beginnen.
Schritt 3: Integration von Kibana
Der nächste Schritt ist die Integration von Kibana in Ihr Elastic-Deployment. Navigieren Sie zu „Add Integrations“ und suchen Sie nach Kibana, um es zu Ihrem System hinzuzufügen.
Schritt 4: Installation des Elastic Agents
Der Elastic Agent ist ein zentraler Bestandteil des SIEM-Systems. Folgen Sie den angegebenen Schritten, um den Agenten auf jedem gewünschten Gerät zu installieren.
Nach der erfolgreichen Installation wird das Gerät im Kibana-Dashboard unter ‘Fleet’ angezeigt, und die Logs beginnen in Elasticsearch zu fliessen.
Schritt 5: Integration der Sysmon-Logs in Elastic
Um die Sysmon-Logs in Ihr SIEM-System zu integrieren, navigieren Sie erneut zu „Add Integrations“ und fügen Sie die Integration für Windows hinzu. Stellen Sie sicher, dass unter den Einstellungen „Sysmon Operational“ ausgewählt ist und wählen Sie „existing Hosts“ für die Überwachung.
Überwachung mit Sysmon für Windows
Sysmon ist ein fortschrittliches Überwachungstool für Windows-Systeme, das speziell für die Erkennung verdächtiger Aktivitäten und die Verbesserung der Netzwerksicherheit entwickelt wurde. Es bietet detaillierte Protokolle zu Prozessen, Netzwerkverbindungen und Registry-Änderungen, die für forensische Analysen und die Früherkennung von Bedrohungen unerlässlich sind. Die anpassbare Konfiguration ermöglicht eine gezielte Überwachung, was Sysmon besonders geeignet für Unternehmensnetzwerke, Forschungseinrichtungen und sicherheitsbewusste Heimanwender macht. Durch die Integration in grössere Sicherheitsplattformen erweitert es die Überwachungskapazitäten und hilft bei der langfristigen Sicherheitsüberwachung.
Sie können Sysmon auf Ihrem Windows-Gerät installieren, um relevante Protokolle an ELK weiterzuleiten, indem Sie eine der folgenden Bereitstellungsmethoden verwenden:
Mehrere Endpunkte – Basierend auf Ihren Software-Tools, führen Sie eine der folgenden Aktionen durch:
Installieren Sie Sysmon über die Group Policy Management Console.
Installieren Sie Sysmon mit einem Software deployement tool.
Einbindung von Linux-Endgeräten mit auditd
Für Linux-Systeme ist auditd die bevorzugte Wahl zur Erfassung von Sicherheitsereignissen, da es ein natives Linux-Tool ist. Dieses Auditierungssystem zeichnet systemrelevante Aktivitäten und Ereignisse für Sicherheitsanalysen auf. Es kann jedoch eine hohe Menge an Ressourcen beanspruchen, wenn die Überwachungseinstellungen nicht ordentlich konfiguriert sind. Darum ist es empfehlenswert sich mit dem Tool genauer auseinanderzusetzen.
Schritt 6: Prüfen der Logs
Nach dem einrichten, gehen Sie zu der Seitenleiste unter ‘Discover’. Hier sollten Sie die ersten Log-Einträge sehen, was ein Indikator dafür ist, dass die Konfiguration erfolgreich war und Logs erfasst werden.
Teil 2
In den kommenden Wochen planen wir, den nächsten Teil unserer Blogpost-Serie zu veröffentlichen. Darin zeigen wir die erforderlichen Schritte, um ein funktionierendes Security Information and Event Management (SIEM) System aufzubauen. Dies umfasst die Integration und Normalisierung der erforderlichen Logs sowie die Entwicklung effektiver Alarmierungsstrategien.
FAQ
Mehr zum Thema Elastic ELK und SIEM
ELK steht für Elasticsearch, Logstash und Kibana – eine Kombination von drei Open-Source-Tools, die zusammenarbeitend eine leistungsfähige Lösung für das Log-Management und die Datenanalyse bieten.
Elasticsearch ist eine verteilte, RESTful-Such- und Analyse-Engine, die in der Lage ist, grosse Mengen von Daten in Echtzeit zu verarbeiten und zu analysieren.
Im Rahmen von SIEM wird ELK häufig verwendet, um Log-Daten zu sammeln, zu verarbeiten und zu visualisieren, wodurch Sicherheitsanalysen erleichtert und Bedrohungen schneller erkannt werden können.
SIEM (Security Information and Event Management) ist eine Softwarelösung, die Echtzeitüberwachung, Ereigniserfassung, Datenkorrelation und Alarmierung bietet, um Netzwerksicherheit zu verbessern.
Elasticsearch ermöglicht es SIEM-Systemen, grosse Volumen an Sicherheitsdaten effizient zu indexieren und zu durchsuchen, was eine schnelle Erkennung und Reaktion auf Sicherheitsvorfälle unterstützt.