131870
10.06.2020
1020
2
0
SIEM-Software - Wie loggt ihr?
Guten Abend zusammen,
ich betreue für mein Unternehmen eine kleine Server Landschaft, welche nach ISO 27001 und weiteren ISOs zertifiziert ist bzw. zertifiziert werden muss.
Eine zentrale Anforderung ist das Logging und Monitoring.
Für Hardware haben wir PRTG im Einsatz, der uns über die Zustände der Server und anderer Hardware informiert.
Nun steht als Anforderung im Raum, ein verwertbares Logging durchzuführen.
Darunter fallen sollen:
-diverse Server Events
-Login Events (Wer, wann, von wo)
- sonstige Events
Nach meiner Vorstellung hätte ich natürlich gerne eine Eier legende Wollmilchsau.
Ich hätte gerne folgende Informationen:
- Wer hat sich wann, auf welchem Rechner eingeloggt
- Wer nutzt gerade VPN
- Welche Dateien werden gerade von wem geschrieben/gelesen
Wie genau bzw. mit welcher Software kann ich das am Besten realisieren? Natürlich muss ich meine Geräte entsprechend einstellen, dass sie diese Informationen preisgeben. Aber jeder der sich den Event-Log eines Servers mal angeschaut hat weiß, es geht auch übersichtlicher.
Diverse Recherchen haben ergeben, dass es entsprechende Software gibt, welche sogar KI-basiert verhaltensweisen analysiert und entsprechend z.b. mit einer Benachrichtigung reagiert.
Was will ich von Euch:
- Wie realisiert Ihr das Logging? Was genau loggt ihr mit?
- Nutzt ihr Software dafür und wenn ja welche?
Freue mich auf Eure Rückmeldungen.
P.S. Am liebsten wäre mir natürlich Softwareempfehlungen, welche in einer Windows Umgebung funktionieren.
Viele Grüße und vielen Dank für Eure Unterstützung.
ich betreue für mein Unternehmen eine kleine Server Landschaft, welche nach ISO 27001 und weiteren ISOs zertifiziert ist bzw. zertifiziert werden muss.
Eine zentrale Anforderung ist das Logging und Monitoring.
Für Hardware haben wir PRTG im Einsatz, der uns über die Zustände der Server und anderer Hardware informiert.
Nun steht als Anforderung im Raum, ein verwertbares Logging durchzuführen.
Darunter fallen sollen:
-diverse Server Events
-Login Events (Wer, wann, von wo)
- sonstige Events
Nach meiner Vorstellung hätte ich natürlich gerne eine Eier legende Wollmilchsau.
Ich hätte gerne folgende Informationen:
- Wer hat sich wann, auf welchem Rechner eingeloggt
- Wer nutzt gerade VPN
- Welche Dateien werden gerade von wem geschrieben/gelesen
Wie genau bzw. mit welcher Software kann ich das am Besten realisieren? Natürlich muss ich meine Geräte entsprechend einstellen, dass sie diese Informationen preisgeben. Aber jeder der sich den Event-Log eines Servers mal angeschaut hat weiß, es geht auch übersichtlicher.
Diverse Recherchen haben ergeben, dass es entsprechende Software gibt, welche sogar KI-basiert verhaltensweisen analysiert und entsprechend z.b. mit einer Benachrichtigung reagiert.
Was will ich von Euch:
- Wie realisiert Ihr das Logging? Was genau loggt ihr mit?
- Nutzt ihr Software dafür und wenn ja welche?
Freue mich auf Eure Rückmeldungen.
P.S. Am liebsten wäre mir natürlich Softwareempfehlungen, welche in einer Windows Umgebung funktionieren.
Viele Grüße und vielen Dank für Eure Unterstützung.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 578135
Url: https://administrator.de/contentid/578135
Ausgedruckt am: 24.11.2024 um 05:11 Uhr
2 Kommentare
Neuester Kommentar
Moin,
Deine Anforderungen springen ein wenig zwischen Logging und Live-Monitoring. Aber grundsätzlich ist der ELK-Stack sicherlich kein schlechter Ansatz, also ElasticSearch und Kibana. Darauf baut auch die Security-Onion-Appliance auf, das geht dann schon starkt in Richtung der eierlegenden...
Gruß
Bernhard
Deine Anforderungen springen ein wenig zwischen Logging und Live-Monitoring. Aber grundsätzlich ist der ELK-Stack sicherlich kein schlechter Ansatz, also ElasticSearch und Kibana. Darauf baut auch die Security-Onion-Appliance auf, das geht dann schon starkt in Richtung der eierlegenden...
Gruß
Bernhard
Hi
werde dir erst mal klar darüber was du willst.
SIEM und Zentrales Logging sind zwei verschiedene Dinge.
Zentrales Logging ist schon ein echtes Monster, das ordentlich umzusetzen.
SIEM ist aber gleich noch ein paar Klassen komplexer. Wenn du da nicht für wirklich viel Geld Dienstleistung einkaufst, dann brauchst du da jemanden der sich da (fast) in Vollzeit mit beschäftigt.
Ansonsten: Greylog, ELK-Stack, Plunk sind die wohl meistgenutzten Logserver
werde dir erst mal klar darüber was du willst.
SIEM und Zentrales Logging sind zwei verschiedene Dinge.
Zentrales Logging ist schon ein echtes Monster, das ordentlich umzusetzen.
SIEM ist aber gleich noch ein paar Klassen komplexer. Wenn du da nicht für wirklich viel Geld Dienstleistung einkaufst, dann brauchst du da jemanden der sich da (fast) in Vollzeit mit beschäftigt.
Ansonsten: Greylog, ELK-Stack, Plunk sind die wohl meistgenutzten Logserver