Man ist nur so sicher, wie man sein eigenes Netzwerk und den darin befindlichen Systemen kennt. Daher ist es sinnvoll, neben Monitoring und Log Management Systemen, eine weitere Security relevante Komponente einzusetzen. Im konkreten Fall stelle ich euch die SIEM Lösung auf Basis OSSIM von AlienVault vor.

Warum ein SIEM System

Ein LM (Log Management) System, wie in dem vorherigen Artikeln beschriebenen Lösung Splunk, kann nicht aktiv auf Anomalien, illegale oder zerstörerischen Aktivitäten reagieren. Hier muss ein SIEM (Security information and event management) den Administratoren oder Mitglieder eines SOC (Security Operation Center) unterstützen.

Was sollte ein SIEM System eigentlich umfassen?

Bei einer großen Vielzahl von heterogenen Servern und anderen Komponenten, kann man sich mittels Monitoring Systeme einen allgemeinen Zustand verschaffen. Mit Hilfe von Log Management Systemen können schon zusätzliche System Informationen abgreifen. Wenn es aber Security relevante Informationen mit in die Überwachung einbezieht will, kommt man leider nicht an einer SIEM Lösung vorbei. Jedoch kommt die Frage auf, was ein SIEM System alles Abdecken muss.

SIEM ist eigentlich eine Kombination von zwei Lösungsansätzen bzw. Systemen.

[SEM] + [SIM] = [SIEM]

Ein SEM (Security Event Management) System kann im Grunde mittels der schon vorgestellten Lösung Splunk rudimentär realisiert werden. Diese Lösung soll Daten zentral zusammenfassen und automatisch in Echtzeit dieses Analysieren können. Damit handelt es sich um den aktiven Part eines SIEM Systems. Da kommt leider das Problem mit den gängigen Log Sammlern zu Tage. Es fehlt die Intelligenz aus den gesammelten Daten automatisch Anomalien zu erkennen und diese als Warnungen aufzuzeigen. Auch bei Splunk müssten Algorithmen usw. erarbeitet werden, was natürlich mit viel Personellen Ressourcen verbunden wäre. Daher sind SEM Lösungen in diesem Thema zweckdienlicher.

Ein SIM (Security Information Management) hilft mit seinem zentralen Reportingsystem Audits und Compliances durchzuführen. Dieses System ist somit ein passiver Part des SIEM Systems.

Da OSSIM als Freeware und die kommezielle Version AlienVault als USM (Unified Security Management) aufgebaut ist, sind weitere Funktionen wie etwa Vulnerability Scanner integriert.

Testaufbau

In dieser Konstellation dient der Splunk Server als Log Management System. OSSIM bedient sich mittels Samba Client an diesen Log Files, damit die „Data Collectoren“ des SIEM Systems auf diese zugreifen können. Diese Funktionalität ist beim OSSIM leider nicht von Hause aus nicht gegeben, da es sich um ein auf Debian gehärtetes System handelt. Jedoch kann man das System mittels „Jailbreak“ an seinen Bedürfnissen anpassen.

Schematischer Aufbau OSSIM

Abhorchen des Netzwerk Traffics

OSSIM ist in der Lage den abgehörten Netzwerktraffic auf Anomalien zu Untersuchen. In gezeigten Aufbau wird hierbei eine Netzwerkkarte in einen „Promiscous Mode“ versetzt. Hierbei greift das Interface somit nicht aktiv in die Netzwerk Kommunikation ein und analysiert so jedes Paket, auch welche nicht für den Server bestimmt sind. Ein weiterer Vorteil, da das Interface es nicht aktiv im Netzwerk kommuniziert, ist dieer für etwaige Angreifer nicht im Netzwerk gleich erkennbar.

Screenshot OSSIM SIEM Detail Report

Log Analyse mittels Data Collectoren

Mittels OSSIM Agenten werden Sylogs und ähnliche Logfiles mittels RegExp auf Syntax Übereinstimmungen analysiert. Die OSSIM Version beinhaltet von Hause knapp 236 vorgegebene Plug-Ins, darunter für Linux, Apache, Cisco, VMWare usw.

Source OSSIM Agent Plugin

Der OSSIM Agent basiert auf Phyton und somit können auch eigene zusätzliche Plugins angefertigt werden.

Vulnerability Scan

Zu guter Letzt eine Funktionalität, welches nicht zu einem SIEM gehört. Zur kompletten Abdeckung des USM ist das aber bei dem OSSIM Portfolio. Es unterstützt den Administrator mit seinem Reporting auf etwaige Schwachstellen und kann Compliance Vergehen gegenüber Update Richtlinien und Serverhärtung aufzeigen.

Screenshot OSSIM – Vulnerability Scan

 

Screenshot openVAS generierter Report

 

OSSIM SIEM verwendet für das Audit den bei Pentestern bekannte Scanengine OpenVAS vom deutschen Softwarehaus Greenbone.

Linux openVAS Prozesse

 

Fazit

Kann diese Freeware SIEM Lösung absolute Sicherheit und forensische Analysen liefern? Wenn es um rudimentäre Überwachungen und Analysen geht, kann man zustimmen.
Kommerzielle Lösungen haben aber einen entscheidenen Vorteil: Sie ersparen die hohe Einarbeitungszeit in die Integration in ein bestehendes hetrogenes Netzwerk. Das System muss erst den Traffic und die Logs zusammen mit dem Administrator(en) erlernen. Es wird zu Anfang sehr viele „False Positive“ Meldungen geben, was eher zu einer Frustration führt. Kommerzielle Lösungen bieten Algorithmen auch den Support, um schneller zu einem Erfolgserlebnis zu kommen. Wer aber in die Materie von SIEM reinschnuppern will, macht mit OSSIM nichts falsch.

 

Welche Lösungen wir sonst präferiert?

Mich würde es interessieren, welche Lösungen oder Methoden sonst verwendet wird. Schreibt mir einfach ein Kommentar.

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken