Inhaltsverzeichnis
Einleitung
Mein nächstes Projekt ist die Installation und Konfiguration eines Elastic SIEM basierend auf ElasticSearch, Logstash und Kibana – also dem klassischen ELK-Stack. Die Umsetzung habe ich in meinem Blog dokumentiert, da ich im Internet zwar viele Seiten zu diesem Thema gefunden habe, aber keine der Anleitungen vollständig funktionierte oder meinen Ansprüchen genügte.
Mit meiner Anleitung könnt ihr euch ein eigenes SIEM aufbauen. Und das in der Elastic Basic Lizenzierung kostenlos – abgesehen vom Implementierungsaufwand natürlich ;-). Damit seid ihr in der Lage, eure Events zentral zu sammeln, zu durchsuchen und Angriffsmuster zu erkennen. In meiner Säulentheorie für IT-Security (Hardening, Isolation, Detection&Response) fällt diese Maßnahme klar in den Bereich Detection.
Zielsetzung
Ich habe 3 Ziele, die ich erreichen möchte:
- Ich möchte ein zentrales, durchsuchbares Log-Management für meine System (Windows, Linux) implementieren.
- Die protokollierten Events sollen mit einem Regelwerk auf Anomalien untersucht werden. Damit möchte ich ein SIEM (Security Information and Event Management) bereitstellen.
- Ich möchte meinen alten Windows Advanced Threat Analytics Server ablösen.
Beiträge
Die Serie umfasst folgende Beiträge:
- Elastic SIEM – Installation auf Ubuntu
- Elastic SIEM – Grundkonfiguration
- Elastic SIEM – Aufbau der Searches
- Elastic SIEM – Logdaten auf anderes Volume umziehen
- Elastic SIEM – Automatische Integration von Windows
- Elastic SIEM – Anbindung einer PFSense
- Elastic SIEM – Bereitstellung eines Logstash
- Elastic SIEM – Anbindung eines HAProxy am Logstash mit Grok
- Elastic SIEM – Events gezielt mit dem processor drop_events herausfiltern
- Elastic SIEM – Schutz der „saved objects“ vom Kibana
- …
Hier kommen immer weitere Beiträge dazu. Ein erneuter Besuch wird sich lohnen!
Stay tuned 🙂