Kollektoren

Enginsight stellt eine vielfältige Palette von Kollektorentypen zur Verfügung, die eine umfassende Datenerfassung ermöglichen. Innerhalb des Enginsight-Systems sind insgesamt drei Haupttypen von Kollektoren vorhanden: Empfangskollektoren, Beziehungskollektoren und Integrierte Kollektoren. Diese unterschiedlichen Kollektoren agieren als Pulsar Agents, die sich aktiv auf die Mission begeben, wertvolle Daten zu sammeln und so umfassende Einblicke in die Systemlandschaft zu gewährleisten.

Allgemeine Kollektoren

Die allgemeinen Kollektoren fungieren als primäre Datensammelpunkte im Enginsight SIEM. Sie öffnen Ports und empfangen externe Protokolle über diese Ports. Dabei ist es unerheblich, wo sich der Agent im Netzwerk befindet – selbst in isolierten Netzwerken ohne externen Zugriff. Die entscheidende Voraussetzung ist lediglich, dass die Firewall den Datentransfer zu diesen Ports erlaubt und der Agent die Befugnis hat, diese Daten an die API zu senden.

Event Relais

Damit der, als Event Relays agierende, Agent in der Lage ist Daten von der Firewall zu empfangen, müssen Sie Ihm erlauben einen Port zu öffnen. Gehen Sie hierfür auf Hosts, klicken Sie auf den betreffenden Host, um in die Detailansicht zu gelangen. Gehen Sie nun in der linken Sidebar unter Sonstiges auf Einstellungen, klappen Sie die erweiterten Einstellungen auf und setzen Sie anschließend einen Haken bei Auswertung von Systemlogs erlauben.

Vergeben Sie einen eindeutigen Namen und verfassen Sie eine kurze Beschreibung. Legen Sie anschließend einen Host fest, welcher als Empfangskollektor dienen soll. Standardmäßig ist die "Bind-Adresse" auf 0.0.0.0. gesetzt, um Daten aus dem internen und externen Netz zu empfangen. Auch die Ausrichtung auf eine interne IP-Adresse ist möglich, um externe IPs in der Betrachtung außen vor zu lassen, geben Sie zu diesem Zweck eine gewünschte IP ein. Wählen Sie unter "Protokoll" zwischen UDP und TCP aus. Unter "Format" geben Sie an mit welchem Syslog-Format die eingehenden Daten geparst werden sollen.

Die Angaben Ihres Event Relais müssen zwingend mit denen Ihrer angebundenen Firewall übereinstimmen. Stellen Sie diese innerhalb der Firewall-Einstellungen ein. Können Sie die Daten nicht manuell an der Firewall einstellen, nutzen Sie bitte standardmäßig:

Port: 514

Format: RFC3164

Beinhaltet Ihr Netzwerk mehrere RFC-Formate, so ist es auch möglich mehrere Event Relais über unterschiedliche Ports auf einem Agent zu installieren. Beachten Sie dabei zwingend, dass in diesem Fall unterschiedliche Ports genutzt werden müssen, um die Funktion der betroffenen Event Relais nicht negativ zu beeinflussen!

Klicken Sie abschließend auf Kollektor hinzufügen, um Ihr erstelltes Event Relais zu speichern.

Der Datentransfer zwischen Event Relais und API läuft unter GZIP Level 9, was zu einer Daten-Kompressionsrate von ca. 20 zu 1 führt um Ihre Ressourcen zu schonen.

ESET Event Relais

Beachten Sie, dass Sie für ESET manuell Templates festlegen müssen. Gehen Sie dafür der folgenden Anleitung nach.

Gehen Sie über Eset Protect Management über „More“ auf „Settings“. Hier fügen Sie unter Syslog Server die entsprechenden Werte ein.

Wechseln Sie nun in Ihre Notifications. Und legen Sie für jeden Event Typen separate Benachrichtigungen an.

Unter „Basic“ gehen Sie dafür wie im folgenden Schema vor. Stellen Sie sicher, dass die Benachrichtigungen aktiviert sind und vergeben Sie Namen (diese sind frei wählbar und dienen lediglich der Übersicht). In der oberen Zeile ist der Event-Typ definiert, in der 2. Zeile das Syslog Event:

Wechseln Sie zu „Configuration“ und wählen Sie unter Category den zutreffenden Event Typen aus.

Wechseln Sie nun in „Distribution“ und erlauben Sie das Senden von Syslogs.

Geben Sie bei dem Unterpunkt „Content“ anschließend das entsprechende Template für die Benachrichtigung ein. Gehen Sie dabei nach folgenden Schema (Event Typ (Zeile 1) und das Syslog Template (volle Zeile 2)) vor.

Scan:
4 - "${computer_name}"|"${severity}"|"${timestamp}"|"${scanned_targets}"|"${scanned}"|"${infected}"|"${cleaned}"|"${status}"|"${completion}"|"${scanner}"|"${user}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

HIPS:
6 - "${computer_name}"|"${severity}"|"${timestamp}"|"${application}"|"${operation}"|"${target}"|"${action}"|"${rule_name}"|"${occurrences}"|"${user}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

ESET INSPECT alert:
8 - "${computer_name}"|"${severity}"|"${timestamp}"|"${process_name}"|"${user}"|"${rule_name}"|"${occurrences}"|"${ei_console_link}"|"${hash}"|"${detection_handled}"|"${severity_score}"|"${computer_severity_score}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

Firewall detection:
7 - "${computer_name}"|"${severity}"|"${timestamp}"|"${firewall_event}"|"${ip_address}"|"${src_address_type}"|"${src_port}"|"${tgt_address}"|"${tgt_address_type}"|"${tgt_port}"|"${protocol}"|"${inbound_comm}"|"${user}"|"${process_name}"|"${rule_name}"|"${detection_name}"|"${occurrences}"|"${detection_handled}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

Computer identity recovered:
9 - "${timestamp}"|"${source_computer_name}"|"${target_computer_name}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

Computer first connected:
10 - "${timestamp}"|"${computer_name}"|"${is_hardware_detection_enabled}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

Antivirus detection:
1 - "${computer_name}"|"${severity}"|"${timestamp}"|"${detection_type}"|"${detection_name}"|"${scanner}"|"${virus_db}"|"${object_type}"|"${object_uri}"|"${action_performed}"|"${action_error}"|"${detection_handled}"|"${restart_required}"|"${user}"|"${process_name}"|"${circumstances}"|"${first_seen_time}"|"${hash}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

Blocked File:
2 - "${computer_name}"|"${severity}"|"${timestamp}"|"${object_uri}"|"${description}"|"${cause}"|"${action}"|"${process_name}"|"${user}"|"${hash}"|"${first_seen_time}"|"${detection_handled}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

Computer cloning question created:
3 - "${timestamp}"|"${source_computer_name}"|"${target_computer_name}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

New MSP customer found:
5 - "${timestamp}"|"${msp_customer_name}"|"${msp_company_name}"|"${notification_name}"

Protokolldateien

Nutzen Sie die Protokolldateien, um relevante Sicherheitsinformationen aus den Protokolldateien verschiedener Systeme zu isolieren, welche nicht in der Lage sind selbständig über Event Relays zu senden.

Erstellen Sie über Kollektor hinzufügen einen neuen Kollektor. Vergeben Sie einen eindeutigen Namen und eine kurze Beschreibung. Per default ist bereits festgelegt, dass der Kollektor Logs senden soll. Möchten Sie dies nicht, so deaktivieren Sie die Funktion per Klick auf die Schaltfläche.

Definieren Sie anschließend eine Host-Zuordnung. Entscheiden Sie hier zwischen:

Referenz: Legen Sie anschließend mindestens einen Host fest, von welchem die Logs erfasst werden sollen.
oder Tags: Legen Sie anschließend mindestens einen Tag fest, von welcher zutreffen soll.

Abschließend definieren mindestens einen Extraktoren für Ihre Protokolldateien, legen die betroffenen Dateipfade an und fügen Ihren Kollektor durch Klick auf die betreffende Schaltfläche hinzu.

API Kollektoren

Diese Kollektoren extrahieren Daten aus verbundenen Cloud-Anwendungen, übermitteln diese aktiv an das SIEM und erweitern dadurch den Umfang der Gesamtdatenerfassung.

Microsoft Office 365 Kollektor erstellen

Stellen Sie sicher, dass das Sammeln von Logs in Ihrem Microsoft 365 Tenant aktiviert ist. Folgen Sie der folgenden Anleitung, um dies zu erlauben.

Beachten Sie, dass bei nachträglicher Aktivierung mit einer Wartezeit zu rechnen ist, bis die Logs zur Verfügung stehen.

Um Ihre Office-Logs mit dem Enginsight SIEM zu verbinden, müssen Sie zunächst einen API-Key in Ihrer Microsoft Office-Anwendung erstellen. Befolgen Sie dazu die folgende Anleitung.
Nachdem Sie Ihren Schlüssel erstellt haben, müssen die Berechtigungen unter Microsoft Azure wie folgt festgelegt werden:

Setzen Sie die Berechtigungen exakt wie angegeben, um eine einwandfreie Funktion des Kolektors zu gewährleisten.

Erstellen Sie abschließend einen Collector in Ihrem SIEM. Vergeben Sie einen eindeutigen Namen und eine kurze Beschreibung für den Collector. Legen Sie dann fest, ob der Collector Logs senden kann. Wählen Sie im Dropdown-Menü unter dem Punkt "Host" einen Host aus. Geben Sie einen oder mehrere zu überwachende "Kanäle" an und ergänzen Sie die "Tenant-ID" sowie die "Client-ID". Nachdem Sie sich abschließend für die "Authentifizierungsmethode" (Secret oder Zertifikat) entschieden haben, können Sie die vorgenommenen Änderungen speichern und den Collector hinzufügen, indem Sie auf die Schaltfläche "Änderungen speichern" klicken.

Ihre Client-ID/Tenant-ID finden Sie in Microsoft Azure unter: "App-Registrierung"-"Alle Anwendungen", klicken Sie anschließend auf den entsprechenden Eintrag. Entnehmen Sie dieser Ansicht nun die Client-ID und fügen Sie diese entsprechend bei der Einrichtung Ihres Kollektors ein.

Confluence (Atlassian) Kollektor

Gehen Sie über den Administratoren Account in die Atlassian Verwaltung. Klicken Sie auf Ihr Kürzel in der rechten oberen Ecke, um im aufgehenden Menü die Option "Konto verwalten" auswählen zu können. Wählen Sie nun in der Navigationsleiste den Reiter "Einstellungen" aus. Einmal in der Ansicht angekommen, können Sie nun ganz einfach durch drücken der Schaltfläche einen neuen API-Schlüssel erstellen.

Erstellen Sie nachfolgend einen Kollektor im Enginsight SIEM, wählen Sie einen betreffenden Host aus und fügen Sie die entsprechende Tenant-ID ein. Durch speichern Ihrer EInstellungen fügen Sie den Kollektor hinzu.

Host Kollektoren

Die Integrierten Kollektoren erfassen mithilfe der bereits installierten Agents Logs direkt vom Betriebssystem. Dadurch wird eine nahtlose Datenerfassung ermöglicht, die direkt auf die vorhandenen Ressourcen zugreift und eine umfassende Übersicht über die Systemaktivitäten gewährleistet.

Host Kollektoren erstellen

Vergeben Sie einen einschlägigen Namen und eine kurze Beschreibung. Legen Sie mit der Schaltfläche darunter fest, ob der Kollektor selbstständig in der Lage sein soll Logs zu senden. Unter "Host-Zuordnung" können Sie nun Tags festlegen und darunter alle Tags aufzählen, die für diesen Kollektor zählen sollen oder aber Sie entscheiden sich für "Referenz" und können dann explizite Hosts angeben, für welche der Kollektor gilt.

Windows-Ereignisprotokoll Kollektor erstellen

Wählen Sie aus den Standardkanälen aus, welche Sie überwachen möchten. Fügen Sie mit nur wenigen Klicks weitere Kanäle über die Schaltfläche hinzu.

Exchange Logs integrieren

Integrieren Sie ganz einfach Exchange Logs. Suchen Sie hierfür den Protokollnamen (über Ihre Windows-Ereignisanzeige) des gewünschten Channels, kopieren Sie den exakten Namen und fügen Sie diesen unter "weitere Kanäle" hinzu.

macOS Unified Logs Kollektor erstellen

Wählen Sie auch hier unter logLevels.de aus den Standardkanälen aus. Beachten Sie bitte den Hinweis, dass unifiedLogs ein erhebliches Datenaufkommen zur Folge haben und wir darum nachdrücklich darauf Hinweisen standardmäßig Fault zu aktivieren.

Linux Syslog Kollektor erstellen

Wählen Sie das Modul "Sysmon" aus. Dabei handelt es sich um ein Microsoft-Tool, das als Wrapper fungiert und eine Vielzahl von Ereignissen, die für die weitere Analyse möglicherweise irrelevant sind, für das SIEM zusammenführt und in ein einheitliches Dateiformat komprimiert. Dies optimiert den Umgang mit solchen Protokollen erheblich und ermöglicht eine schnellere Reaktion. Um diesen Schritt zu bestätigen, müssen Sie den Lizenzbedingungen von Drittanbietern zustimmen.

Beachten Sie bei der Installation von Sysmon , dass es von einer Drittquelle (Microsoft) geladen wird. Falls Sie Proxy-Setups verwenden, vergessen Sie nicht, diese URL zu whitelisten.

PreviousExtraktoren NextAlarme

Last updated 2 months ago