SIEM-light mit dem Elasticstack

Intelligente und praktikable Sicherheit für Ihre IT

Produktionsumgebungen mit Anbindung an das Internet sind tagtäglich Fluten von Angriffen ausgesetzt. Diese Angriffe wahrzunehmen, zu kategorisieren und eventuelle Maßnahmen zu treffen, ist eine Aufgabe, welche heutzutage nicht mehr ohne Tools bewältigt werden kann.

An dieser Stelle finden Security Information und Event Management-Tools (SIEM)[1] ihre Verwendung. Hier gibt es eine breite Auswahl an fertigen SIEM-Lösungen, wie zum Beispiel QRadar, Splunk oder Alienvault, um nur eine kleine Auswahl zu nennen. Eine kostengünstige Alternative zu diesen Tools bietet der Elasticstack in Verbindung mit Angrifferkennungssystemen wie Wazuh und Suricata.

tiri.ELK Schema
Schematischer Aufbau: Wazuh, Suricata, Logstash, Elasticsearch, Kibana und die Logquellen (Rsyslog, Beats, Windows Eventlog)
Anker

Was ist ein SIEM?

Bei einem Security Information und Event Management-System (kurz SIEM) handelt es sich um ein System, welches alle Logs und weitere Informationen einer Umgebung sammelt und auf Zusammenhänge überprüft. Sollten sich aus den gesammelten Informationen Zusammenhänge ergeben, welche auf einen versuchten oder gar geglückten Einbruch in die Umgebung hindeuten, wird ein Alarm ausgelöst. Dieser Alarm sorgt dann beispielsweise dafür, dass eine E-Mail versandt oder ein Service-Ticket eröffnet wird.

„Eine Investition in Wissen bringt noch immer die besten Zinsen.“

Benjamin Franklin

Wie sieht die Umsetzung eines SIEM-light aus?

Das SIEM-light besteht im Kern aus einem Elasticstack, welcher sich aus Logstash[2], Elasticsearch[3] und Kibana[4] zusammensetzt. Dieser sorgt für die Speicherung, Verwaltung und Auswertung aller Logs bzw. Informationen. Durch zahlreiche Shipper[5] wie beispielsweise Filebeat, Winlogbeat oder Metricbeat können Lognachrichten von den Systemen der Umgebung an die Elasticsearchnodes versandt werden.

Um sicherheitsrelevante Daten bezüglich der Systeme zu sammeln, werden Angrifferkennungssysteme an den Elasticstack angebunden. Als HIDS[6] können hierbei beispielsweise Wazuh (ein hostbasiertes Angrifferkennungssystem) und Suricata (ein netzwerkbasiertes Angrifferkennungssystem, NIDS[7]) verwendet werden.

Was wir für Sie tun können.

Wir unterstützen Sie beim Entwurf und der Umsetzung eines solchen SIEM-Lights. Falls Sie die IDS-Komponenten nicht benötigen und lediglich die Logdaten Ihrer Systeme auswerten wollen, helfen wir Ihnen gerne bei der Erstellung einer Logdatensammlung kombiniert mit Open-Source Big Data Analysen. Gerne präsentieren wir Ihnen unser SIEM-Light in einem Webinar oder vor Ort in Aktion.

Anker

Interesse geweckt?

Sollten Sie Hilfe bei der Sichtung Ihrer Logquellen und der Umsetzung einer SIEM Lösung benötigen, stehen wir gerne zur Verfügung. Sprechen Sie uns an!

kontaktieren ››

Fußnoten/Glossar

1

Als SIEM (Security information and event management) bezeichnet man ein System, welches in Echtzeit Vorgänge überwacht und überprüft, ob diese sicherheitsrelevant sind.

↩︎
2

Logstash sammelt Logs verschiedener Systeme, teilt diese in suchbare Felder auf und sendet sie an Elasticsearch.

↩︎
3

Elasticsearch ist eine hochperformante NoSQL Datenbank zum Speichern und Suchen von Daten.

↩︎
4

Kibana ist ein Webinterface zum Betrachten und Filtern der Logdaten, welche im Elasticsearch gespeichert sind.

↩︎
5

Shipper sind Programme, welche Logdaten von einem System versenden. Ein Beispiel hierfür ist Filebeat.

↩︎
6

Ein HIDS (Host-based Intrusion Detection System) ist ein hostbasiertes Angrifferkennungssystem. Dieses sammelt Informationen aus den Logs eines Systems, welche auf eine Sicherheitsverletzung schließen lassen.

↩︎
7

Als NIDS (Network-based Intrusion Detection System) bezeichnet man ein netzwerkbasiertes Angrifferkennungssystem. Dieses sammelt Informationen aus dem Netzwerk, welche auf eine Sicherheitsverletzung schließen lassen.

↩︎

Maßnahmen zur Daten­schutz­grund­verordnung

Stichtag: 25.05.2018 - Das bisherige Datenschutzrecht wird durch die europäische Datenschutzgrundverordnung (EU-DSGVO) ersetzt

mehr erfahren ››

Ransom-Ware und Datenverlust vorbeugen

Durch ein geprüftes Datenwiederherstellungskonzept sind Sie auch nach einem Vorfall durch einen Krypto-Trojaner oder Cyber-Attacken geschützt

mehr erfahren ››

Sammlung und Analyse von Logdaten mit ELK

Der ELK Stack bietet Möglichkeiten nicht nur für Data Scientists, sondern durch Visualisierung auch für "normale" Menschen

mehr erfahren ››