Verbessern des Datenverständnisses
Rocco Gagliardi
In diesem Kapitel geht es nicht um die Herangehensweise ans Log-Management und unsere Erfahrung mit selbigem. In diesem Part gehen wir auf die Anforderungen und Kosten der Stufen des Log-Managements und auch eine Übersicht über Open-Source-Tools geben.
Eine Log-Management-Struktur zu entwerfen ist eine komplexe Aufgabe, welche die Sammlung und Analyse von Anforderungen und Wünschen aus mehreren Abteilungen der Firma benötigt. Nach dieser Vorbereitungsphase und der Definition der Anforderungen ans entstehende Log-Management-System kann das Design der Infrastruktur beginnen.
Seit 2005 hat das SANS Industry Analyst Team jährlich Analysen und Umfragen von installierten Log Management Lösungen durchgeführt. Wenn Sie die Resultate nach Jahr betrachten, dann sehen Sie die Gründe für eine Log Management Lösung sowie die Erwartungen daran.
Die Grafik illustriert wie die Erwartung sich im Laufe der Jahre verändert hat. Bemerkenswert ist, wie die Priorität von important zu critical gewechselt hat, während der Trend im Generellen in den ersten drei Jahren nach oben ging und in den letzten zwei Jahren gesunken ist.
In einer ersten Phase wurden die System genutzt um die IT-Infrastruktur zu optimieren und zu überwachen. Mit der Zeit wurde es zunehmend wichtiger, Compliance mit Regulierungen zu erreichen und die komplexen, verdächtigen Aktivitäten (der Anstieg zu critical während important zurückging). Behalten Sie diesen Trend bei der Planung ihres Log-Managements im Auge.
Mit diesen paar Zeilen ist aber längst noch nicht alles gesagt, daher gehe ich auf die einzelnen Faktoren des Log-Managements ein ohne gross darüber zu diskutieren. Es geht hierbei darum, die wichtigsten Eigenheiten jeder Komponente der Lösung aufzulisten.
Eine gute Lösung sollte dazu in der Lage sein, Logdaten aus einem ganzen Unternehmen zu sammeln, ungeachtet derer Quelle. Syslog ist das wohl am meisten verbreitete Protokoll um System-Logdaten in der UNIXWelt zu sammeln. Dank Syslogs relativer Einfachheit wird es auch viel in Windows-Umgebungen genutzt. Zudem ist es leicht, Interfaces zu bauen, die Syslog-Daten in eine andere Applikation einbauen.
Systemadministratoren sollten in der Lage sein, uninteressante Events zu komprimieren oder ganz zu entfernen, damit das Alert Monitoring für interessante Events besser stattfinden kann. Aber seien Sie vorsichtig und zögern Sie beim Entfernen von nutzlosen Events. Denken Sie daran, dass Logs ihre Freunde sind. Demnach sollten sie so viele Messages behalten wie nur irgend möglich.
Basierend auf den folgenden Erwartungen an ein Log-System können Sie ihr System so einstellen, dass es die nötigen Informationen ausliest.
Etwa drei Viertel der Organisationen, die Log-Management-Lösungen implementieren, sammeln Logs von:
Daher ist es wichtig, dass sie die Zeit auf allen Geräten synchronisieren und die Zeitzone nicht ausser Acht lassen.
Wichtige Punkte beim Design oder der Wahl einer Log-Lösung:
Eine robuste Infrastruktur wird sowohl Logging with auch Auditing sowie die Datenspeicherung – mittels konfigurierbaren, automatisierten Methoden um diese zusammenzufassen – automatisch ausführen. In seiner einfachsten Ausführung ist das Reporting eine Selektion und eine Formatierung der gespeicherten Daten. Das primäre Ziel ist es, eine grosse Menge Daten lesbar zu machen, sie grafisch darzustellen oder auch nur ein paar Zeilen mit enorm wichtigem Inhalt auszugeben.
Der Aufbau eine Reports ist keine Nebensache. Er beinhaltet tiefes Verständnis der Daten und wie diese gespeichert sind. Gute Tools bieten Standard-Reports out of the box an. Es ist keine schlechte Idee, 10/15 dieser Reports zu nehmen, sie zu personalisieren, bis eine massgeschneiderte Drei-Kolonnen-Tabelle und ein Kuchendiagramm mit Firmenlogo ausgegeben wird. Reports sollten:
In Sonderfällen ist es besser, einen komplett neuen Report zu erstellen. Daher sollte das Tool flexibel genug sein, dies zuzulassen und dem User beim Erstellen keine grossen Mühen bei der Erstellung bereiten.
Schlüsselpunkte, die beim Design oder der Wahl einer Log-Lösung beachtet werden sollten.
Der erste Ort, an dem eine Untersuchung oder eine Analyse von Security Incidents beginnt, wird das Log-Tool sein. Seine Performance und das UI-Design sollten intuitiv genug sein, damit der Operator nicht unnötig verlangsamt wird. Das Tool muss über ein konfigurierbares Dashboard verfügen. Im Idealfall sollte das Dashboard in Echtzeit laufen und Drill-Down-Fähigkeiten bieten.
Einem Systemadministrator wird mitgeteilt, dass sein Server outgesourct wird. Drei Tage später lässt der Administrator einen mysqldump während einer SSH-Session auf einem MySQL-Server laufen. Er loggt den Output auf seinem Desktop. Dann sendet er zehn E-Mails an zehn Adressen, jedes der Mails enthält 30 Zeilen Code, die wie Datenmüll aussehen.
Möchten sie wegen diesem Handeln einen Alert erhalten? Damit dieser Vorfall gecodet werden kann, muss Information aus einer Vielzahl Geräte gesammelt werden, lange genug gespeichert und interpretiert werden. Das System sollte einen Tree of Possibilities unterhalten und reagieren, wenn ein Ast dieses Baumes zu einem Incident wird.
Diese Korrelations-Engine hängt hauptsächlich von Regeln ab, die vom Produkt genutzt werden können. Der Hauptpunkt hierfür ist die Einfachheit der Regel-Erstellung. Die Suchfunktion für Events ist ebenfalls nicht zu unterschätzen, da Sie die Fähigkeit benötigen, mehrere Geräte, Logs und Zeiträume gleichzeitig durchsuchen zu können.
Schlüsselpunkte beim Design oder der Wahl einer Log-Lösung:
Die genauen Kosten einer Log-Solution zu errechnen ist schwierig. In Gesprächen mit unseren Kunden, in denen wir ihre Erfahrung mit SIEM besprochen haben, wurde auf folgendes minimales Modell hingewiesen:
Die Planung einer Log Management Lösung für Ihr Unternehme kann überwältigend wirken. Das Problem mit sed/grep/awk, mit dem Sortierend und Einfärben einer .csv-File oder mit der direkten Installation von SIEM anzugehen sind alles valide Herangehensweisen. Aber mit dem ers ten Vorschlag in der kurzen Liste anzufangen kann helfen, ein gutes und solides Konzept für eine SIEM zu erstellen, das alle Bedürfnisse befriedigt und Anforderungen erfüllt.
Mit der Zeit werden Sie lernen, Ihr Netzwerk zu verstehen, wie die Geräte zusammenarbeiten müssen, damit eine Applikation rund und ohne grössere Glitches läuft, wie die Geräte zusammenhängen, von welchem Gerät welche Information benötigt wird und so weiter. Aber das braucht Zeit. Bis dahin können Sie sich mit allen Details Ihrer Infrastruktur auseinandersetzen, deren Funktionsweise verstehen und die schnelle wie auch effiziente Problemlösung erlernen.
Sobald Sie wissen, was Sie wissen müssen, ist die Konfiguration einer SIEM, das setzen von Alerts, die Korrelation von Events und der Er halt von nützlichen Alerts einfach. Noch bevor die erste Echtzeit-Analyse aller Logs durchgeführt werden kann, müssen alle Eventda ten aus der Fülle der heterogenen Events aus allen Quellen zentral abge speichert werde. Daher starten Sie noch heute mit der Sammlung, sichten Sie die Logs, achten Sie darauf, wie das System funktionieren sollte und konfigurieren Sie einen Computer, der überprüft, ob die Erwartungen erfüllt werden.
Gerne möchte ich Ihnen einige Open-Source Tools vorstellen, die mit relativer Leichtigkeit auf einer Linux-Maschine installieren kann. Mit diesen Tools sollten Sie in der Lage sein, eine ziemlich ehrliche Log Management Lösung zu realisieren.
Ältere Tools, die durchaus einen Blick wert sind:
Unsere Spezialisten kontaktieren Sie gern!
Rocco Gagliardi
Rocco Gagliardi
Rocco Gagliardi
Rocco Gagliardi
Unsere Spezialisten kontaktieren Sie gern!