131870
Goto Top

SIEM-Software - Wie loggt ihr?

Guten Abend zusammen,

ich betreue für mein Unternehmen eine kleine Server Landschaft, welche nach ISO 27001 und weiteren ISOs zertifiziert ist bzw. zertifiziert werden muss.

Eine zentrale Anforderung ist das Logging und Monitoring.

Für Hardware haben wir PRTG im Einsatz, der uns über die Zustände der Server und anderer Hardware informiert.
Nun steht als Anforderung im Raum, ein verwertbares Logging durchzuführen.
Darunter fallen sollen:
-diverse Server Events
-Login Events (Wer, wann, von wo)
- sonstige Events

Nach meiner Vorstellung hätte ich natürlich gerne eine Eier legende Wollmilchsau.
Ich hätte gerne folgende Informationen:
- Wer hat sich wann, auf welchem Rechner eingeloggt
- Wer nutzt gerade VPN
- Welche Dateien werden gerade von wem geschrieben/gelesen

Wie genau bzw. mit welcher Software kann ich das am Besten realisieren? Natürlich muss ich meine Geräte entsprechend einstellen, dass sie diese Informationen preisgeben. Aber jeder der sich den Event-Log eines Servers mal angeschaut hat weiß, es geht auch übersichtlicher.

Diverse Recherchen haben ergeben, dass es entsprechende Software gibt, welche sogar KI-basiert verhaltensweisen analysiert und entsprechend z.b. mit einer Benachrichtigung reagiert.


Was will ich von Euch:
- Wie realisiert Ihr das Logging? Was genau loggt ihr mit?
- Nutzt ihr Software dafür und wenn ja welche?


Freue mich auf Eure Rückmeldungen.


P.S. Am liebsten wäre mir natürlich Softwareempfehlungen, welche in einer Windows Umgebung funktionieren.

Viele Grüße und vielen Dank für Eure Unterstützung.

Content-ID: 578135

Url: https://administrator.de/contentid/578135

Ausgedruckt am: 24.11.2024 um 05:11 Uhr

BernhardMeierrose
BernhardMeierrose 10.06.2020 um 21:59:54 Uhr
Goto Top
Moin,

Deine Anforderungen springen ein wenig zwischen Logging und Live-Monitoring. Aber grundsätzlich ist der ELK-Stack sicherlich kein schlechter Ansatz, also ElasticSearch und Kibana. Darauf baut auch die Security-Onion-Appliance auf, das geht dann schon starkt in Richtung der eierlegenden...

Gruß
Bernhard
SeaStorm
SeaStorm 10.06.2020 um 22:11:01 Uhr
Goto Top
Hi

werde dir erst mal klar darüber was du willst.

SIEM und Zentrales Logging sind zwei verschiedene Dinge.
Zentrales Logging ist schon ein echtes Monster, das ordentlich umzusetzen.
SIEM ist aber gleich noch ein paar Klassen komplexer. Wenn du da nicht für wirklich viel Geld Dienstleistung einkaufst, dann brauchst du da jemanden der sich da (fast) in Vollzeit mit beschäftigt.

Ansonsten: Greylog, ELK-Stack, Plunk sind die wohl meistgenutzten Logserver