Kollektoren
Last updated
Last updated
Enginsight stellt eine vielfältige Palette von Kollektorentypen zur Verfügung, die eine umfassende Datenerfassung ermöglichen. Innerhalb des Enginsight-Systems sind insgesamt drei Haupttypen von Kollektoren vorhanden: Empfangskollektoren, Beziehungskollektoren und Integrierte Kollektoren. Diese unterschiedlichen Kollektoren agieren als Pulsar Agents, die sich aktiv auf die Mission begeben, wertvolle Daten zu sammeln und so umfassende Einblicke in die Systemlandschaft zu gewährleisten.
Die allgemeinen Kollektoren fungieren als primäre Datensammelpunkte im Enginsight SIEM. Sie öffnen Ports und empfangen externe Protokolle über diese Ports. Dabei ist es unerheblich, wo sich der Agent im Netzwerk befindet – selbst in isolierten Netzwerken ohne externen Zugriff. Die entscheidende Voraussetzung ist lediglich, dass die Firewall den Datentransfer zu diesen Ports erlaubt und der Agent die Befugnis hat, diese Daten an die API zu senden.
Damit der, als Event Relay agierende, Agent in der Lage ist Daten von der Firewall zu empfangen, müssen Sie Ihm erlauben einen Port zu öffnen. Gehen Sie hierfür auf "Hosts", klicken Sie auf den betreffenden Host, um in die Detailansicht zu gelangen. Gehen Sie nun in der linken Sidebar unter Sonstiges auf "Einstellungen", klappen Sie die "erweiterten Einstellungen" auf und setzen Sie anschließend einen Haken bei "SIEM Kollektor".
Vergeben Sie einen eindeutigen Namen und verfassen Sie eine kurze Beschreibung. Legen Sie anschließend einen Host fest, welcher als Empfangskollektor dienen soll. Standardmäßig ist die "Bind-Adresse" auf 0.0.0.0. gesetzt, um Daten aus dem internen und externen Netz zu empfangen. Auch die Ausrichtung auf eine interne IP-Adresse ist möglich, um externe IPs in der Betrachtung außen vor zu lassen, geben Sie zu diesem Zweck eine gewünschte IP ein. Wählen Sie unter "Protokoll" zwischen UDP und TCP aus. Unter "Format" geben Sie an mit welchem Syslog-Format die eingehenden Daten geparst werden sollen.
Die Angaben Ihres Event Relais müssen zwingend mit denen Ihrer angebundenen Firewall übereinstimmen. Stellen Sie diese innerhalb der Firewall-Einstellungen ein. Können Sie die Daten nicht manuell an der Firewall einstellen, nutzen Sie bitte standardmäßig:
Port: 514
Format: RFC3164
Beinhaltet Ihr Netzwerk mehrere RFC-Formate, so ist es auch möglich mehrere Event Relais über unterschiedliche Ports auf einem Agent zu installieren. Beachten Sie dabei zwingend, dass in diesem Fall unterschiedliche Ports genutzt werden müssen, um die Funktion der betroffenen Event Relais nicht negativ zu beeinflussen!
Klicken Sie abschließend auf Kollektor hinzufügen, um Ihr erstelltes Event Relais zu speichern.
Der Datentransfer zwischen Event Relais und API läuft unter GZIP Level 9, was zu einer Daten-Kompressionsrate von ca. 20 zu 1 führt um Ihre Ressourcen zu schonen.
Beachten Sie, dass Sie für ESET manuell Templates festlegen müssen. Gehen Sie dafür der folgenden Anleitung nach.
Gehen Sie über Eset Protect Management über „More“ auf „Settings“. Hier fügen Sie unter Syslog Server die entsprechenden Werte ein.
Wechseln Sie nun in Ihre Notifications. Und legen Sie für jeden Event Typen separate Benachrichtigungen an.
Unter „Basic“ gehen Sie dafür wie im folgenden Schema vor. Stellen Sie sicher, dass die Benachrichtigungen aktiviert sind und vergeben Sie Namen (diese sind frei wählbar und dienen lediglich der Übersicht). In der oberen Zeile ist der Event-Typ definiert, in der 2. Zeile das Syslog Event:
Wechseln Sie zu „Configuration“ und wählen Sie unter Category den zutreffenden Event Typen aus.
Wechseln Sie nun in „Distribution“ und erlauben Sie das Senden von Syslogs.
Geben Sie bei dem Unterpunkt „Content“ anschließend das entsprechende Template für die Benachrichtigung ein. Gehen Sie dabei nach folgenden Schema (Event Typ (Zeile 1) und das Syslog Template (volle Zeile 2)) vor.
Nutzen Sie die Protokolldateien, um relevante Sicherheitsinformationen aus den Protokolldateien verschiedener Systeme zu isolieren, welche nicht in der Lage sind selbständig über Event Relays zu senden.
Erstellen Sie über Kollektor hinzufügen einen neuen Kollektor. Vergeben Sie einen eindeutigen Namen und eine kurze Beschreibung. Per default ist bereits festgelegt, dass der Kollektor Logs senden soll. Möchten Sie dies nicht, so deaktivieren Sie die Funktion per Klick auf die Schaltfläche.
Definieren Sie anschließend eine Host-Zuordnung. Entscheiden Sie hier zwischen:
Referenz: Legen Sie anschließend mindestens einen Host fest, von welchem die Logs erfasst werden sollen.
oder Tags: Legen Sie anschließend mindestens einen Tag fest, von welcher zutreffen soll.
Abschließend definieren mindestens einen Extraktoren für Ihre Protokolldateien, legen die betroffenen Dateipfade an und fügen Ihren Kollektor durch Klick auf die betreffende Schaltfläche hinzu.
Diese Kollektoren extrahieren Daten aus verbundenen Cloud-Anwendungen, übermitteln diese aktiv an das SIEM und erweitern dadurch den Umfang der Gesamtdatenerfassung.
Stellen Sie sicher, dass das Sammeln von Logs in Ihrem Microsoft 365 Tenant aktiviert ist. Folgen Sie der folgenden Anleitung, um dies zu erlauben.
Beachten Sie, dass bei nachträglicher Aktivierung mit einer Wartezeit zu rechnen ist, bis die Logs zur Verfügung stehen.
Um Ihre Office-Logs mit dem Enginsight SIEM zu verbinden, müssen Sie zunächst einen API-Key in Ihrer Microsoft Office-Anwendung erstellen. Befolgen Sie dazu die folgende Anleitung.
Nachdem Sie Ihren Schlüssel erstellt haben, müssen die Berechtigungen unter Microsoft Azure wie folgt festgelegt werden:
Setzen Sie die Berechtigungen exakt wie angegeben, um eine einwandfreie Funktion des Kolektors zu gewährleisten.
Erstellen Sie abschließend einen Collector in Ihrem SIEM. Vergeben Sie einen eindeutigen Namen und eine kurze Beschreibung für den Collector. Legen Sie dann fest, ob der Collector Logs senden kann. Wählen Sie im Dropdown-Menü unter dem Punkt "Host" einen Host aus. Geben Sie einen oder mehrere zu überwachende "Kanäle" an und ergänzen Sie die "Tenant-ID" sowie die "Client-ID". Nachdem Sie sich abschließend für die "Authentifizierungsmethode" (Secret oder Zertifikat) entschieden haben, können Sie die vorgenommenen Änderungen speichern und den Collector hinzufügen, indem Sie auf die Schaltfläche "Änderungen speichern" klicken.
Ihre Client-ID/Tenant-ID finden Sie in Microsoft Azure unter: "App-Registrierung"-"Alle Anwendungen", klicken Sie anschließend auf den entsprechenden Eintrag. Entnehmen Sie dieser Ansicht nun die Client-ID und fügen Sie diese entsprechend bei der Einrichtung Ihres Kollektors ein.
Gehen Sie über den Administratoren Account in die Atlassian Verwaltung. Klicken Sie auf Ihr Kürzel in der rechten oberen Ecke, um im aufgehenden Menü die Option "Konto verwalten" auswählen zu können. Wählen Sie nun in der Navigationsleiste den Reiter "Einstellungen" aus. Einmal in der Ansicht angekommen, können Sie nun ganz einfach durch drücken der Schaltfläche einen neuen API-Schlüssel erstellen.
Erstellen Sie nachfolgend einen Kollektor im Enginsight SIEM, wählen Sie einen betreffenden Host aus und fügen Sie die entsprechende Tenant-ID ein. Durch speichern Ihrer EInstellungen fügen Sie den Kollektor hinzu.
Öffnen Sie die Einstellungen Ihrer Bitdefender-Anwendung.
Navigieren Sie zum Menüpunkt "API Key" und aktivieren Sie den "Event Push Service API".
Folgen Sie den Anweisungen, um einen API Key zu erstellen.
Detaillierte Anweisungen finden Sie hier: Bitdefender Public API Anleitung.
Wechseln Sie in die Enginsight-Anwendung und rufen Sie den Menüpunkt: „SIEM“ auf. Wählen Sie den API-Kollektor "Bitdefender GravityZone" aus der API Kollektoren Liste und klicken Sie oben rechts auf „Kollektor hinzufügen“.
Name und Beschreibung Vergeben Sie einen eindeutigen Namen sowie eine Beschreibung für Ihren neuen Bitdefender neuen Kollektor.
Logs senden des Kollektors Die Option zum Senden von Logs durch den Kollektor in der Enginsight-Anwendung ist per default aktiviert und wird benötigt, um Bitdefender GravityZone Logs in Ihr SIEM zu integrieren.
API-Endpunkt Tragen Sie hier die passende URL Ihrer Bitdefender-Anwendung ein: Global: https://cloud.gravityzone.bitdefender.com Europa: https://cloudgz.gravityzone.bitdefender.com
Stellen Sie sicher, dass die URL mit https:// beginnt, da Bitdefender nur Verbindungen über HTTPS akzeptiert.
API Schlüssel Geben Sie den zuvor in Bitdefender erstellten API-Key im entsprechenden Feld unter API-Schlüssel in der Enginsight-Anwendung ein.
Eventtypen wählen Wählen Sie unter Eventtypen die spezifischen Ereignisse aus, die über den Kollektor an Ihr SIEM gesendet werden sollen. Standardmäßig sind alle Eventtypen ausgewählt. Entfernen Sie bei Bedarf nicht benötigte Events aus der Liste.
Host Wählen Sie unter Host aus der Dropdown-Liste den Host aus, der als Kollektor fungieren soll.
Stellen Sie sicher, dass der ausgewählte Host über das Internet erreichbar ist und durch entsprechende Policies oder Host-Einstellungen als SIEM-Kollektor agieren kann.
Bind-Adresse Die Bind-Adresse legt die IP-Adresse und den Port des Hosts fest, über die er die Pushevents von Bitdefender empfängt. Achten Sie darauf, dass die Bind-Adresse korrekt konfiguriert ist und der Host über das Netzwerk erreichbar ist.
Lokaler „Bind mit HTTPS“ Standardmäßig ist diese Option deaktiviert. Sie wird jedoch benötigt, wenn Bitdefender die Logs direkt an den Host senden soll.
"Lokaler "Bind" mit HTTPS“ aktiviert
Aktivieren Sie die Schaltfläche: „Lokaler „Bind“ mit HTTPS“
Fügen Sie ein, für die Bind URL gültiges Zertifikat ein.
Geben Sie den privaten Schlüssel an.
"Lokaler "Bind" mit HTTPS" deaktiviert Folgen Sie den weiteren Anweisungen.
Wenn Sie einen Proxy zwischen Bitdefender und dem Host verwenden, der die Kommunikation weiterleitet, kann die Option „Lokaler Bind mit HTTPS“ deaktiviert bleiben. Der Proxy sichert dann die Kommunikation zwischen Bitdefender und sich selbst ab. Die Verbindung zwischen Proxy und Host kann dann unverschlüsselt (ohne HTTPS) erfolgen, wenn dies in Ihrer Infrastruktur zulässig ist.
Achten Sie darauf, dass der Proxy richtig konfiguriert ist, um die Kommunikation sicher zu übertragen und den Traffic korrekt weiterzuleiten.
Bind-URL (HTTPS) Die Bind-URL legt die vollständige URL (inklusive HTTPS) fest, über die der Host die verschlüsselten Pushevents von Bitdefender empfängt. Stellen Sie sicher, dass die URL korrekt formatiert ist und HTTPS verwendet wird, da Bitdefender nur verschlüsselte Verbindungen akzeptiert.
Zertifikatsprüfung überspringen Sollten Sie keine direkte IP einfügen können oder lediglich ein Zertifikat für eine neue Domain, so überspringen Sie bitte die Zertifikatsprüfung mit dem entsprechenden Feld. Bei der Nutzung von Self-signed Zertifikaten ist es ebenfalls notwendig, die Zertifikatsprüfung zu überspringen.
Basic Auth Benutzername und Passwort eingeben Geben Sie einen Benutzernamen und ein Passwort für die Basic Authentifizierung ein. Diese Authentifizierung wird nur von Bitdefender benötigt.
Konfiguration speichern Speichern Sie die Konfiguration des Kollektors durch einen Klick auf Änderungen speichern.
Die Integrierten Kollektoren erfassen mithilfe der bereits installierten Agents Logs direkt vom Betriebssystem. Dadurch wird eine nahtlose Datenerfassung ermöglicht, die direkt auf die vorhandenen Ressourcen zugreift und eine umfassende Übersicht über die Systemaktivitäten gewährleistet.
Vergeben Sie einen einschlägigen Namen und eine kurze Beschreibung. Legen Sie mit der Schaltfläche darunter fest, ob der Kollektor selbstständig in der Lage sein soll Logs zu senden. Unter "Host-Zuordnung" können Sie nun Tags festlegen und darunter alle Tags aufzählen, die für diesen Kollektor zählen sollen oder aber Sie entscheiden sich für "Referenz" und können dann explizite Hosts angeben, für welche der Kollektor gilt.
Wählen Sie aus den Standardkanälen aus, welche Sie überwachen möchten. Fügen Sie mit nur wenigen Klicks weitere Kanäle über die Schaltfläche hinzu.
Integrieren Sie ganz einfach Exchange Logs. Suchen Sie hierfür den Protokollnamen (über Ihre Windows-Ereignisanzeige) des gewünschten Channels, kopieren Sie den exakten Namen und fügen Sie diesen unter "weitere Kanäle" hinzu.
Wählen Sie auch hier unter logLevels.de aus den Standardkanälen aus. Beachten Sie bitte den Hinweis, dass unifiedLogs ein erhebliches Datenaufkommen zur Folge haben und wir darum nachdrücklich darauf Hinweisen standardmäßig Fault zu aktivieren.
Wählen Sie das Modul "Sysmon" aus. Dabei handelt es sich um ein Microsoft-Tool, das als Wrapper fungiert und eine Vielzahl von Ereignissen, die für die weitere Analyse möglicherweise irrelevant sind, für das SIEM zusammenführt und in ein einheitliches Dateiformat komprimiert. Dies optimiert den Umgang mit solchen Protokollen erheblich und ermöglicht eine schnellere Reaktion. Um diesen Schritt zu bestätigen, müssen Sie den Lizenzbedingungen von Drittanbietern zustimmen.
Beachten Sie bei der Installation von Sysmon , dass es von einer Drittquelle (Microsoft) geladen wird. Falls Sie Proxy-Setups verwenden, vergessen Sie nicht, diese URL zu whitelisten.
Standardmäßig schreibt der Apache HTTP Server seine Logs in lokale Dateien. Um die Logs jedoch effizient mit Pulsar zu sammeln und zu verarbeiten, müssen die Logs über Syslog weitergeleitet werden. Diese Anleitung beschreibt, wie Sie Apache so konfigurieren, dass die Logs im geeigneten Format bereitgestellt werden und einfach geparst werden können.
Öffnen Sie die Konfigurationsdatei des Apache HTTP Servers mit einem geeigneten Texteditor:
Debian-basiert: /etc/apache2/apache2.conf
RHEL-basiert: /etc/httpd/conf/httpd.conf
Fügen Sie die folgenden Einträge hinzu oder passen Sie bestehende an:
vhost_combined: Enthält virtuelle Hosts, Referrer, und User-Agent.
combined: Enthält Referrer und User-Agent.
common: Einfachstes Format, ohne Referrer und User-Agent.
referer/agent: Spezialisierte Formate für einzelne Felder.
GlobalLog für Access Logs:
httpd
: Wird als syslog.app_name
verwendet (nicht ändern).
local0.info
: Syslog-Facility und -Severity für die Logs.
vhost_combined
: LogFormat, das vom Parser unterstützt wird.
ErrorLog für Fehlerprotokolle:
LogLevel: Definiert die Severity-Stufen (z.B. debug
, info
, notice
, warn
, error
). Empfehlung: notice
.
Änderungen speichern Speichern und schließen Sie die Konfigurationsdatei.
Apache neu starten Damit die Änderungen wirksam werden, muss der Apache HTTP Server neu gestartet werden:
Debian-basiert:
RHEL-basiert:
Funktionsweise überprüfen
Stellen Sie sicher, dass die Logs in /var/log/syslog
oder /var/log/messages
erscheinen, je nach Betriebssystemkonfiguration.
Prüfen Sie, ob Access Logs und Error Logs korrekt im angegebenen Format weitergeleitet werden.