Schlagwort-Archive: SIEM

Enrichment

SIEM: Enrichment – Implementierung des Realen Namen aus dem AD

Enrichment

Die funktion des Enrichment erlaubt es dem System, Events mit Daten anzureichern die in den ursprünglichen Logs nicht enthalten sind. Als Beispiel kann man hier die Benutzernamen nennen, den meistens sind diese kryptisch und daher ist es schwer zu erkennen, wer hinter der kryptischen bezeichnung steht. Wenn hier die Funktion der Anreicherung genutzt wird, wird der Benutzername durch den Klarnamen ersetzt.
Weitere Enrichment Informationen können die E-Mail Adresse, die Telefonnummer, oder der Ort des Computers und vieles mehr sein.

Als Beispiel möchte ich das oben beschrieben aufgreifen.

Konfiguration

Um das Enrichment konfigurieren zu können, wird die IP-Adresse, ein LDAP-User sowie das Passwort benötigt.

1. Oben rechts auf die Systemeigenschaften / System Properties klicken
2. Im neuen Fenster auf der linken Seite auf Data Enrichment klicken und mit Add ein neues Data Enrichment erstellen.
3.  Im neuen Fester „Main“ wird dann als:

  • Enrichment Name: Real_Name_from_User_ID
  • Enable: Yes
  • Lookup Type: String
  • Enrichment Type: String
  • Pull Frequency: Daily At Specified Time
    • Daily Trigger Time: Zu der Zeit an der die Daten abgerufen werden sollen

4. Im nächsten Tab „Source“:

  • Type: LDAP
  • IP-Adresse: IP-Adresse des AD Server
  • Username: Domain\user_id
  • Passwort: Das Passwort eben

5. Im nächsten Tab „Query“:

  • Lookup Attribute: sAMAccountName
  • Enrichment Attribute: displayName
  • Query:
    • (objectClass=person)

6. Im nächsten Tab „Destination“:

  • Auf Add klicken
  • den Reciver auswählen
  • Lookup Field: Source User
  • Enrichment Field: Contact_Name
  • OK

Enrichment

 

 

 

 

 

 

7. Klick Finish

 

Watchlist_user$

SIEM: Watchlist – Filtern von Usernames mit einem $-Zeichen

Windows User und Maschinenaccounts

Wenn die Log-Daten aus Windows gelesen werden, kann es sein das im Log ein User mit einem $-Zeichen erscheint. Dieser User ist ein Maschinenaccount und kann in der regele ignoriert werden. Daher gibt es die Möglichkeit nach diesen Maschinenaccounts zu suchen und zu Filtern.

Watchlist Filter for Maschinaccounts

Zu erst muss natürlich eine neue Watchlist erstellt werden. Dazu wird oben rechts auf das Systemmenü geklickt. Anschließen im neu geöffneten Festner gibt es einen Menüpunkt mit dem Namen Watchlist. Hier kann über Add eine neue Watchlist hinzugefügt werden.

Als Namen für die neue Watchliste geben wir folgene Namenskonvention „dy“ für dynamisch, „_d“ dür täglich, „_Zahl“ für die Uhrzeit und dann einen frei wählbaren Namen für die Watchlist. Wir nehmen hier Maschineaccount.

Das ganze sieht dann so aus:

  • Name: dy_d_24_Maschineaccount

Da wir hier eine dynamische Watchlist brauchen muss der Type auf dynamisch gestellt werden, die Daten in der Watchlist haben kein Verfallsdatum.

Im Source Tab setzten wir den Datentype auf ESM-String und geben als Query folgendes ein:

.*\$\s*$

Das ist regex und bedeutet das alle User mit einem $ am schluss in diese Watchlist geschrieben werden sollen.

Im Values Tab setzen wir den Type auf Destination User. Mit Run Now kann die Watchliste zu beginn mit Daten gefüllt werden. Der ESM sucht nun in allen ESM-Strings nach Usern mit einem $-Zeichen und schreibt sie in die Watchliste.

 

SIEM

SIEM: Use Case – Erkennung von möglichen Brute Force Attacken

SIEM – Security Information und Event Management

Ein SIEM ist eine zentrale stelle für LOG-Daten, dass heißt das SIEM System holt sich in einen bestimmten Interval die Log-Daten ab oder die Log-Daten werden zum SIEM-System geschickt. Das SIEM-System kann hieraus gefahren aufzeigen, Attacken ableiten und Schwachstellen aufzeigen.

Use Case – Erkennung von möglichen Brute Force Attacken

Mit der evolution der immer schnelleren möglichkeiten ein Passwort zu knacken, ist es für ein Unternehmen nötig, so eine Attacke schnellst möglich zu erkennen. Ein wichtiger Punkt, um solche Attacken erkennen zu können ist ein Domain Controller und sein Eventlog und natürlich die Option das fehlerhafte Anmeldeversuche mitgeloggt werden. Unter „Start“ -> „Verwalten“ -> „Lokale Sicherheitsrichtline“ Ist die Option dafür, hier muss einmal die Richtline für Anmeldeversuche überwachen und Objektzugriffsversuche über wachen auf „Erfolgreich und Fehler“ gestellt werden.

Lokale SicherheitsrichtlineSobald diese Einstellungen gemacht und gespeichert sind, werden im Eventlog alle Anmeldeversuche, egal ob Erfolgreich oder nicht, mitgeloggt.

Im Beispiel für das SIEM von McAfee erkennt nun das System anhand der Eventlogs mittels Correlation Rule ob ein User / Script versucht sich häufig über einen User mit verschiedenen Passwörtern zugang zu verschaffen.

SIEM

SIEM – Security Information und Event Manangement

Security Information und Event Management (SIEM)

Ein SIEM System ist eine unschlagbare Waffe für Forensik und Alarmierung aber auch die revisionssichere Archivierung ist ein großer Punkt solcher Lösungen.

Die gängisten Systeme bieten neben dem Speichern von Logs noch die Möglichkeit diese Logs auszuwerten und dann gegebenfalls zu handeln indem der zuständige Mitarbeiter per Mail oder SMS angeschrieben wird.

Dazu bediet sich ein SIEM System der Korrelation und der Normalisation der Log-Dateien der verschiedenen System. Darunter fallen Server (Windows oder Linux), Switche, Router, und Firewalls sowie andere Applikationen.

Wichtig hierbei ist das Revisionssicher nachgewiesen werden kann was und wo passiert ist. Somit hat die zuständige Abteilung einen wichtigen Handhaltspunkt, um evtl. Lücken zu schliessen und Bedrohungen zu beseitigen.