mcnewbie
Goto Top

Was ist sinnvoll zu loggen?

Hallo zusammen,

ich bin im Moment auf der Suche nach einem zentralen LogMangement, dabei habe ich auch schon eine einige gefudnen(Graylog, Wazuh, ELK usw....)dabei ist bei mir auch die Frage aufgekommen, was denn Sinnvoll wäre zu loggen?
Die Anfallende Datenmenge wäre einmal egal, grundsätzlich ist eine solide Datenbasis anzustreben.

Reine User Infos(Anmeldungen, gescheiteret Anmeldungen usw....)?
Veränderungen an Dateien, Ordner, RegWerten?

Wie sind Eure Erfahrungen in der Sache?


Gruß
McNewbie

Content-Key: 53981464798

Url: https://administrator.de/contentid/53981464798

Printed on: March 1, 2024 at 16:03 o'clock

Member: radiogugu
radiogugu Feb 13, 2024 at 09:41:06 (UTC)
Goto Top
Morschen.

Was soll denn das Ziel sein?

Persönliches Interesse, Zertifizierungs-Anforderung erfüllen, Unterstützung der Forensik oder Anweisung der GF?

Falls vorhanden muss ein Betriebsrat hier eventuell involviert werden, vor allem wenn Anmeldungen geloggt werden soll.

Prinzipiell ist es sinnvoll Vieles zu loggen. Wir lassen unter anderem Eventlog Einträge zu fehlerhaften User Logins (in Abstimmung mit Betriebsrat) der Domain Controller in Graylog einlaufen.

Auch die Firewall und die VM-Hosts melden an den Syslog Server. Unsere Fileserver lassen wir ebenfalls mittels Agent ihre Eventlogs übermitteln.

Gruß
Marc
Member: mcNewbie
mcNewbie Feb 13, 2024 at 09:49:10 (UTC)
Goto Top
HI Mark,


unterstützung der Forensik ist auf alle Fälle ein großer Teil davon. Zertifizierung ist erstmal nicht die erste Prio.

Ich bin auch der Meinung das möglichst viel geloggt werden soll, welche Daten man sich dann rauszieht ist dann eine andere Sache.
Nur bei der Menge der Daten die man Loggen kann, ist schon auf den ersten Blick nicht ohne und wird auch schnell unübersichtlich!

Deswegen auch die Frage ob es, was denn sinnvoll wäre. Gerne auch einmal mit weniger Starten und dann eben größer werden.

Die Sache mit dem BR wird schon angegangen, dass ist Sache meines Chefs :P
Member: SlainteMhath
SlainteMhath Feb 13, 2024 at 10:06:20 (UTC)
Goto Top
Moin,

neben den Eventlogs der Server würde ich zu Forensik-Zwecken auch die Logs der Firewall, der AV Software und auch aller Switche und Router mit aufnehmen.

lg,
Slainte
Member: ThePinky777
ThePinky777 Feb 13, 2024, updated at Feb 14, 2024 at 10:36:05 (UTC)
Goto Top
Eventlogs aller Domain Controler, z.B. zum analysieren welche objekte durch wen und wann und von wo editiert/erstellt/gelöscht wurden. Virtualisierungsumgebungen, z.B. VMware per Syslog.
USV, Firewall, Switche.
Windows Server z.B. Eventlog der RDP Verbindungen (sieht man Account, IP des Verbinders)
Member: Coreknabe
Coreknabe Feb 13, 2024 at 10:55:36 (UTC)
Goto Top
Moin,

was geloggt werden sollte, haben die Kollegen ja schon aufgeführt.

Aber gerade im Bereich der Forensik auf Rechtssicherheit achten (Beweisführung!). Teils erschwert die DSGVO das ganz ordentlich.

https://dr-dsgvo.de/webseiten-logfiles-welche-speicherdauer-ist-zulaessi ....

https://www.e-recht24.de/dsg/12725-server-log-dateien.html

Gruß
Member: Lochkartenstanzer
Lochkartenstanzer Feb 13, 2024 updated at 11:40:46 (UTC)
Goto Top
Moin,

Beachte: Loggen lohnt sich nur, wenn die Logs auch ausgewertet werden. Wenn man immer nur logt und keine Erkenntnisse aus den Logs gewinnt, kann man sich das auch sparen.

lks
Member: Dani
Dani Feb 13, 2024 at 22:15:01 (UTC)
Goto Top
Moin,
Ich bin auch der Meinung das möglichst viel geloggt werden soll, welche Daten man sich dann rauszieht ist dann eine andere Sache.
Nur bei der Menge der Daten die man Loggen kann, ist schon auf den ersten Blick nicht ohne und wird auch schnell unübersichtlich!
Da wieder sprichst du dir in zwei Sätzen selber. Du willst alles haben, aber es soll nicht unübersichtlich werden. Da bin ich mal gespannt, wie das gehen soll. Unabhängig davon ist die Auswertung natürlich wichtig. Aber das muss je nachdem Interaktionen und Co nach sich ziehen. Es nutzt dir nichts, wenn am Weekend ein vermutlicher Angriff statt findet, das aber keine mitbekommt und vor allem nicht eingreift.

Eventlogs aller Domain Controler, z.B. zum analysieren welche objekte durch wen und wann und von wo editiert/erstellt/gelöscht wurden. Virtualisierungsumgebungen, z.B. VMware per Syslog. USV, Firewall, Switche.
Ich würde nicht nur Hardware, Infrastruktur, etc. sondern auch die Applikationen einbeziehen. Da wirst du dich wundern, was da einem Tag an GB zusammen kommen. Spätestens wenn es um die Speicherkapazität, die Anzahl der Aufbewahrungsdauer der Daten und Sicherung geht, wirst du nicht mehr alles loggen wollen.


Gruß,
Dani
Member: MayBeSec
MayBeSec Feb 14, 2024 at 09:58:40 (UTC)
Goto Top
Welche Informationen zu loggen sind hängt doch ganz wesentlich von den Zielen ab, die damit erreicht werden sollen.

Daraus abgeleitet ergeben sich für die unterschiedlichen Ziele ggf. auch unterschiedliche Informationen, die dafür erhoben werden müssen und aus welchen Quellen diese zu beziehen sind.

Klassischer Weise würde man von Gefährdungen und Schwachstellen ausgehen und festlegen, welche Daten erforderlich sind um zu erkennen, dass diese ausgenutzt wird oder werden soll. Dabei ist die gesamte Kette der beteiligten Systeme/Anwendungen/Hardware/User etc. zu berücksichtigen.

Ein Betrugsversuch erfordert ggf. andere Logging-Daten als ein Angriff auf priviligierte Accounts.

Ich würde dir daher empfehlen deine Fragen zum Logging danach auszurichten und einen entsprechenden Plan zu erarbeiten.