Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SIEM-Software - Wie loggt ihr?

Mitglied: GerLiquid

GerLiquid (Level 1) - Jetzt verbinden

10.06.2020 um 21:17 Uhr, 381 Aufrufe, 2 Kommentare

Guten Abend zusammen,

ich betreue für mein Unternehmen eine kleine Server Landschaft, welche nach ISO 27001 und weiteren ISOs zertifiziert ist bzw. zertifiziert werden muss.

Eine zentrale Anforderung ist das Logging und Monitoring.

Für Hardware haben wir PRTG im Einsatz, der uns über die Zustände der Server und anderer Hardware informiert.
Nun steht als Anforderung im Raum, ein verwertbares Logging durchzuführen.
Darunter fallen sollen:
-diverse Server Events
-Login Events (Wer, wann, von wo)
- sonstige Events

Nach meiner Vorstellung hätte ich natürlich gerne eine Eier legende Wollmilchsau.
Ich hätte gerne folgende Informationen:
- Wer hat sich wann, auf welchem Rechner eingeloggt
- Wer nutzt gerade VPN
- Welche Dateien werden gerade von wem geschrieben/gelesen

Wie genau bzw. mit welcher Software kann ich das am Besten realisieren? Natürlich muss ich meine Geräte entsprechend einstellen, dass sie diese Informationen preisgeben. Aber jeder der sich den Event-Log eines Servers mal angeschaut hat weiß, es geht auch übersichtlicher.

Diverse Recherchen haben ergeben, dass es entsprechende Software gibt, welche sogar KI-basiert verhaltensweisen analysiert und entsprechend z.b. mit einer Benachrichtigung reagiert.


Was will ich von Euch:
- Wie realisiert Ihr das Logging? Was genau loggt ihr mit?
- Nutzt ihr Software dafür und wenn ja welche?


Freue mich auf Eure Rückmeldungen.


P.S. Am liebsten wäre mir natürlich Softwareempfehlungen, welche in einer Windows Umgebung funktionieren.

Viele Grüße und vielen Dank für Eure Unterstützung.
Mitglied: BernhardMeierrose
10.06.2020 um 21:59 Uhr
Moin,

Deine Anforderungen springen ein wenig zwischen Logging und Live-Monitoring. Aber grundsätzlich ist der ELK-Stack sicherlich kein schlechter Ansatz, also ElasticSearch und Kibana. Darauf baut auch die Security-Onion-Appliance auf, das geht dann schon starkt in Richtung der eierlegenden...

Gruß
Bernhard
Bitte warten ..
Mitglied: SeaStorm
10.06.2020 um 22:11 Uhr
Hi

werde dir erst mal klar darüber was du willst.

SIEM und Zentrales Logging sind zwei verschiedene Dinge.
Zentrales Logging ist schon ein echtes Monster, das ordentlich umzusetzen.
SIEM ist aber gleich noch ein paar Klassen komplexer. Wenn du da nicht für wirklich viel Geld Dienstleistung einkaufst, dann brauchst du da jemanden der sich da (fast) in Vollzeit mit beschäftigt.

Ansonsten: Greylog, ELK-Stack, Plunk sind die wohl meistgenutzten Logserver
Bitte warten ..
Ähnliche Inhalte
Server
NTPD loggt keine Zugriffe
gelöst Frage von ketanest112Server4 Kommentare

Hall zusammen, ich bin seit kurzem dem NTP Pool beigetreten. Nun wollte ich mir mal so ein paar Logs ...

Windows Server

Terminal Server User loggt immer nur im SH01

Frage von leon123Windows Server2 Kommentare

Hallo zusammen, ich habe einen 2012er Terminalserver und möchte Wartung durchführen. Broker (2012R2) SH01 (2012R2) SH03 (2012R2) Ich habe ...

Windows Server

Loggt man daheim ein per VPN sind die Laufwerke nicht immer gemappt. wie verbessere ich hier die GPO

Frage von merkelWindows Server12 Kommentare

Hallo, Loggt man daheim ein per VPN sind die Laufwerke nicht immer gemappt. wie verbessere ich hier die GPO. ...

Heiß diskutierte Inhalte
Batch & Shell
Mehrere Server anpingen positive und negative Ergebnis in Datei schreiben
Frage von tommhiiBatch & Shell27 Kommentare

Hallo ich hab eine Frage ich habe in einer Liste mehrere Server eingetragen die ich per batch anpingen will. ...

Schulung & Training
Präsentation mit Gestensteuerung (Schnipsen)
gelöst Frage von battalgaziSchulung & Training18 Kommentare

Hallo, ich habe vor kurzem an einer MLP Paresentation teilgenommen, der Dozent hat mit einem Schnipsen die Folien gesteuert. ...

Microsoft Office
Office 2010 Starter SetupConsumerC2ROLW.exe Datei
gelöst Frage von ITAzubi2Microsoft Office18 Kommentare

Moin moin, ich bin frischer IT Azubi und soll auf ein neues Notebook mit Win 10 Office 2010 Starter ...

Webbrowser
Websites als site.mht abspeichern wie im "guten" alten IE
Frage von DerWoWussteWebbrowser15 Kommentare

Servus. Eine kleine, niedliche Frage für den Freitagnachmittag: Wer wie ich öfter Anleitungen von Websites abspeichern möchte, kennt das ...

Switche und Hubs
Aruba VSF-2930F DHCP Problem
Frage von fbe280tSwitche und Hubs15 Kommentare

Hallo Ihr da draußen, wir haben drei Aruba VSF-2930F zu einem virtuellen Switch zusammengefügt und haben dort mehrere V-Lans ...

JavaScript
Subtraktion in Javascript für ausfüllbares PDF
gelöst Frage von imebroJavaScript15 Kommentare

Hallo liebe User, ich habe ein Adobe PDF-Dokument in ein ausfüllbares PDF-Dokument umgewandelt. Grds. funktioniert alles sehr gut. Auch ...

Administrator Magazin
10 | 2020 Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten Lokationen aus anmelden. Daher sind hier neue Konzepte für das Berechtigungs- und Identitätsmanagement gefragt, die einerseits die Sicherheit erhöhen und andererseits Nutzern die nötige Flexibilität ...
Best VPN