Was ist SIEM?
SIEM steht für Security Information and Event Management. Es handelt sich um eine Softwarelösung, die die Echtzeitanalyse von Sicherheitswarnungen bietet, die von Netzwerkhardware und Anwendungen generiert werden. SIEM sammelt Protokolldaten aus mehreren Quellen wie Netzwerkgeräten, Servern und Anwendungen und korreliert und analysiert diese Daten, um Sicherheitsbedrohungen zu identifizieren.
SIEM kann Organisationen dabei helfen, ihre Sicherheitslage zu verbessern indem es eine zentrale Übersicht über Sicherheitsereignisse über das gesamte IT-Infrastruktur bietet. Es ermöglicht Sicherheitsanalysten, schnell Sicherheitsvorfälle zu identifizieren und darauf zu reagieren und bietet detaillierte Berichte für Zwecke der Compliance.
Einige der Hauptmerkmale von SIEM-Lösungen umfassen:
- Protokollsammlung und -analyse
- Echtzeit-Ereigniskorrelation und Warnung
- Benutzer- und Entitätsverhaltensanalyse
- Integrierte Bedrohungsintelligenz
- Compliance-Berichterstellung
SIEM wird häufig in Verbindung mit anderen Sicherheitssystemen wie Firewalls, Intrusion Detection Systems und Antivirensoftware eingesetzt, um umfassende Sicherheitsüberwachung und Incident-Response-Fähigkeiten zu bieten.
Was ist ELK?
ELK ist ein Akronym für eine Reihe von Open-Source-Softwarewerkzeugen die für die Protokollverwaltung und -analyse verwendet werden: Elasticsearch, Logstash und Kibana.
Elasticsearch ist ein verteilter Such- und Analysen-Engine, der eine schnelle Suche und effiziente Speicherung von großen Datenvolumen ermöglicht. Es ist für Skalierbarkeit konzipiert und kann eine große Anzahl von Abfragen und Indizierungsoperationen in Echtzeit verarbeiten.
Logstash ist ein Tool zur Datensammlung und -verarbeitung, das es ermöglicht, Protokolle und andere Daten aus verschiedenen Quellen wie Logdateien, Syslog und anderen Datenquellen zu sammeln, die Daten zu transformieren und zu bereichern, bevor sie an Elasticsearch gesendet werden.
Kibana ist eine webbasierte Benutzeroberfläche, die es ermöglicht, Daten, die in Elasticsearch gespeichert sind, zu visualisieren und zu analysieren. Es bietet eine Vielzahl interaktiver Visualisierungen wie Liniendiagramme, Balken- und Heatmaps sowie Funktionen wie Dashboards und Warnungen.
Zusammen bilden diese drei Tools eine leistungsstarke Plattform zur Verwaltung und Analyse von Protokollen und anderen Datentypen, die gemeinhin als die ELK-Stack oder Elastic Stack bezeichnet wird. Der ELK-Stack wird häufig in IT-Betrieben, Sicherheitsüberwachung und Geschäftsanalyse zur Erkenntnisgewinnung aus großen Datenmengen eingesetzt.
Einlesen von SIEM-Daten in ELK
Das Einlesen von SIEM-Daten in den ELK-Stack kann für Organisationen von Vorteil sein, die die Sicherheits-Ereignismanagement-Funktionen von SIEM mit den Protokollverwaltungs- und Analysefunktionen von ELK kombinieren möchten.
Hier sind die übergeordneten Schritte zum Einlesen von SIEM-Daten in ELK:
- Konfigurieren Sie das SIEM, um Protokoll-Daten an Logstash zu senden, das Teil des ELK-Stacks ist.
- Erstelle eine Logstash-Konfigurationsdatei, die die Eingabe, Filter und Ausgabe für die SIEM-Daten definiert.
- Starte Logstash und überprüfe, ob es korrekt SIEM-Daten empfängt und verarbeitet.
- Konfiguriere Elasticsearch, um die SIEM-Daten zu empfangen und zu speichern.
- Erstelle Kibana-Visualisierungen und Dashboards, um die SIEM-Daten anzuzeigen.
Hier ist ein Beispiel für eine Logstash-Konfigurationsdatei, die Syslog-Nachrichten von einem SIEM empfängt und sie an Elasticsearch sendet:
input {
syslog {
type => "syslog"
port => 5514
}
}
filter {
if [type] == "syslog" {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
add_field => [ "received_at", "%{@timestamp}" ]
add_field => [ "received_from", "%{host}" ]
}
}
}
output {
elasticsearch {
hosts => ["localhost:9200"]
index => "siem"
}
}
Sobald Logstash konfiguriert und ausgeführt wird, werden SIEM-Daten in Elasticsearch eingebettet und können in Kibana visualisiert und analysiert werden. Es ist wichtig sicherzustellen, dass die entsprechenden Sicherheitsmaßnahmen getroffen werden, um die SIEM- und ELK-Umgebungen zu schützen, und auf Sicherheitsereignisse zu überwachen und zu alarmieren.
Erkennung von Host-Hacksversuchen
Die Erkennung von Host-Hacksversuchen mithilfe von SIEM in ELK beinhaltet die Überwachung und Analyse von Systemprotokollen und Netzwerkverkehr, um verdächtige Aktivitäten zu identifizieren, die auf einen Hacksversuch hinweisen könnten. Hier sind die übergeordneten Schritte zur Einrichtung der Erkennung von Host-Hacksversuchen mithilfe von SIEM in ELK:
- Konfigurieren der Hosts zur Übermittlung von Systemprotokollen und Netzwerkverkehr an ein zentrales Protokoll-Sammlungssystem.
- Einrichten von Logstash zur Empfang und Parsen der Protokolle und Netzwerkverkehrsdaten von den Hosts.
- Konfigurieren von Elasticsearch zur Speicherung der geparsten Protokolldaten.
- Verwenden von Kibana zur Analyse der Protokolldaten und Erstellen von Dashboards und Alarmanzeigen zur Identifizierung potenzieller Hacksversuche.
Hier sind einige spezifische Techniken, die zur Erkennung von Host-Hacksversuchen verwendet werden können:
- Monitor für fehlgeschlagene Anmeldeversuche: Suchen Sie nach wiederholten fehlgeschlagenen Anmeldeversuchen von einer einzelnen IP-Adresse, was auf einen Brute-Force-Angriff hindeuten kann. Verwenden Sie Logstash, um die Systemprotokolle auf fehlgeschlagene Anmeldeereignisse zu analysieren und erstellen Sie ein Kibana-Dashboard oder eine Warnung, um für übermäßige fehlgeschlagene Anmeldeversuche zu überwachen.
- Monitor für verdächtige Netzwerkverkehr: Suchen Sie nach Netzwerkverkehr zu oder von bekannten bösartigen IP-Adressen oder Domains. Verwenden Sie Logstash, um Netzwerkverkehrsdaten zu analysieren und erstellen Sie ein Kibana-Dashboard oder eine Warnung, um für verdächtige Verkehrsmuster zu überwachen.
- Monitor für Dateisystemänderungen: Suchen Sie nach unbefugten Änderungen an Systemdateien oder -einstellungen. Verwenden Sie Logstash, um Dateisystemänderungsereignisse zu analysieren und erstellen Sie ein Kibana-Dashboard oder eine Warnung, um für unbefugte Änderungen zu überwachen.
- Monitor für verdächtige Prozessaktivität: Suchen Sie nach Prozessen, die mit erhöhten Rechten ausgeführt werden oder die ungewöhnliche Aktionen ausführen. Verwenden Sie Logstash, um Prozessereignisse zu analysieren und erstellen Sie ein Kibana-Dashboard oder eine Warnung, um für verdächtige Prozessaktivität zu überwachen.
Durch die Implementierung dieser Techniken und die regelmäßige Überwachung der Protokolle und des Netzwerkverkehrs können Organisationen ihre Fähigkeit verbessern, auf Host-Hack-Versuche mit SIEM in ELK zu erkennen und darauf zu reagieren.
Konfigurieren einer Warnung in ELK zur Erkennung von Host-Hack-Versuchen
Um eine Warnung in ELK zur Erkennung eines Host-Hack-Versuchs zu konfigurieren, können Sie diese allgemeinen Schritte ausführen:
- Erstellen Sie eine Suchabfrage in Kibana, die Protokolle für Host-Hack-Versuchsereignisse filtert. Beispielsweise können Sie die folgende Suchabfrage verwenden, um fehlgeschlagene Anmeldeversuche zu erkennen:
from elasticsearch import Elasticsearch
es = Elasticsearch()
search_query = {
"query": {
"bool": {
"must": [
{
"match": {
"event.dataset": "auth"
}
},
{
"match": {
"event.action": "failed_login"
}
}
]
}
}
}
res = es.search(index="siem", body=search_query)
for hit in res['hits']['hits']:
print(hit['_source'])
- Sobald Sie Ihre Suchabfrage erstellt haben, speichern Sie sie als gespeicherte Kibana-Suche.
- Gehen Sie zur Kibana Alerts and Actions-Oberfläche und erstellen Sie eine neue Warnung. Wählen Sie die gespeicherte Suche, die Sie im zweiten Schritt erstellt haben, als Grundlage für die Warnung.
- Konfigurieren Sie die Warnung so, dass sie ausgelöst wird, wenn eine bestimmte Schwelle erreicht ist. Beispielsweise können Sie die Warnung so konfigurieren, dass sie ausgelöst wird, wenn innerhalb eines 5-Minuten-Fensters mehr als 5 fehlgeschlagene Anmeldeversuche auftreten.
- Konfigurieren Sie die Warnung so, dass eine Benachrichtigung, wie zum Beispiel eine E-Mail oder eine Slack-Nachricht, ausgelöst wird, wenn sie ausgelöst wird.
- Testen Sie die Warnung, um sicherzustellen, dass sie wie erwartet funktioniert.
Sobald die Warnung konfiguriert ist, wird sie automatisch ausgelöst, wenn sie ein Host Hack Attempt-Ereignis erkennt, wie zum Beispiel einen fehlgeschlagenen Anmeldeversuch. Dies kann Organisationen dabei helfen, Sicherheitsbedrohungen effizient und effektiv zu erkennen und darauf zu reagieren. Es ist wichtig, Ihre Warnungen regelmäßig zu überprüfen und zu aktualisieren, um sicherzustellen, dass sie die relevantesten und wichtigsten Sicherheitsereignisse erkennen.
Schlussfolgerung
Die Verwendung von ELK zur Erkennung von Host Hack-Versuchen ist ein effektiver Ansatz zur Verbesserung der Sicherheitslage einer Organisation. ELK bietet eine leistungsfähige Kombination aus Protokollabfrage, Parsing, Speicherung, Analyse und Warnfunktionen, die Organisationen dabei unterstützen, Host Hack-Versuche in Echtzeit zu erkennen und darauf zu reagieren.
Durch die Überwachung von Systemprotokollen und Netzwerkverkehr sowie die Verwendung von erweiterten Suchabfragen und Warnmechanismen kann ELK Organisationen dabei helfen, eine Vielzahl von Host Hack-Versuchen zu erkennen, einschließlich fehlgeschlagener Anmeldeversuche, verdächtigem Netzwerkverkehr, Dateisystemänderungen und verdächtiger Prozessaktivität.
Die Implementierung einer robusten Strategie zur Erkennung von Host-Hack-Versuchen mit ELK erfordert sorgfältiges Planen, Konfigurieren und Testen. Mit der richtigen Expertise und den geeigneten Werkzeugen können Organisationen jedoch ein umfassendes Sicherheitsüberwachungssystem schaffen, das Echtzeit-Einblicke in ihr Netzwerk bietet, die Reaktionszeiten bei Vorfällen verbessert und hilft, Sicherheitsverletzungen zu verhindern, bevor sie auftreten.
Source:
https://dzone.com/articles/host-hack-attempt-detection-using-elk