Kollektoren

Enginsight stellt eine vielfältige Palette von Kollektorentypen zur Verfügung, die eine umfassende Datenerfassung ermöglichen. Innerhalb des Enginsight-Systems sind insgesamt drei Haupttypen von Kollektoren vorhanden: Empfangskollektoren, Beziehungskollektoren und Integrierte Kollektoren. Diese unterschiedlichen Kollektoren agieren als Pulsar Agents, die sich aktiv auf die Mission begeben, wertvolle Daten zu sammeln und so umfassende Einblicke in die Systemlandschaft zu gewährleisten.

Allgemeine Kollektoren

Die allgemeinen Kollektoren fungieren als primäre Datensammelpunkte im Enginsight SIEM. Sie öffnen Ports und empfangen externe Protokolle über diese Ports. Dabei ist es unerheblich, wo sich der Agent im Netzwerk befindet – selbst in isolierten Netzwerken ohne externen Zugriff. Die entscheidende Voraussetzung ist lediglich, dass die Firewall den Datentransfer zu diesen Ports erlaubt und der Agent die Befugnis hat, diese Daten an die API zu senden.

Event Relais

Vergeben Sie einen eindeutigen Namen und verfassen Sie eine kurze Beschreibung. Legen Sie anschließend einen Host fest, welcher als Empfangskollektor dienen soll. Standardmäßig ist die "Bind-Adresse" auf 0.0.0.0. gesetzt, um Daten aus dem internen und externen Netz zu empfangen. Auch die Ausrichtung auf eine interne IP-Adresse ist möglich, um externe IPs in der Betrachtung außen vor zu lassen, geben Sie zu diesem Zweck eine gewünschte IP ein. Wählen Sie unter "Protokoll" zwischen UDP und TCP aus. Unter "Format" geben Sie an mit welchem Syslog-Format die eingehenden Daten geparst werden sollen.

Klicken Sie abschließend auf Kollektor hinzufügen, um Ihr erstelltes Event Relais zu speichern.

ESET Event Relais

1. Gehen Sie über Eset Protect Management über „More“ auf „Settings“. Hier fügen Sie unter Syslog Server die entsprechenden Werte ein.

1. Wechseln Sie nun in Ihre Notifications. Und legen Sie für jeden Event Typen separate Benachrichtigungen an.

1. Unter „Basic“ gehen Sie dafür wie im folgenden Schema vor. Stellen Sie sicher, dass die Benachrichtigungen aktiviert sind und vergeben Sie Namen (diese sind frei wählbar und dienen lediglich der Übersicht). In der oberen Zeile ist der Event-Typ definiert, in der 2. Zeile das Syslog Event:

1. Wechseln Sie zu „Configuration“ und wählen Sie unter Category den zutreffenden Event Typen aus.

1. Wechseln Sie nun in „Distribution“ und erlauben Sie das Senden von Syslogs.

1. Geben Sie bei dem Unterpunkt „Content“ anschließend das entsprechende Template für die Benachrichtigung ein. Gehen Sie dabei nach folgenden Schema (Event Typ (Zeile 1) und das Syslog Template (volle Zeile 2)) vor.

Scan:
4 - "${computer_name}"|"${severity}"|"${timestamp}"|"${scanned_targets}"|"${scanned}"|"${infected}"|"${cleaned}"|"${status}"|"${completion}"|"${scanner}"|"${user}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

HIPS:
6 - "${computer_name}"|"${severity}"|"${timestamp}"|"${application}"|"${operation}"|"${target}"|"${action}"|"${rule_name}"|"${occurrences}"|"${user}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

ESET INSPECT alert:
8 - "${computer_name}"|"${severity}"|"${timestamp}"|"${process_name}"|"${user}"|"${rule_name}"|"${occurrences}"|"${ei_console_link}"|"${hash}"|"${detection_handled}"|"${severity_score}"|"${computer_severity_score}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

Firewall detection:
7 - "${computer_name}"|"${severity}"|"${timestamp}"|"${firewall_event}"|"${ip_address}"|"${src_address_type}"|"${src_port}"|"${tgt_address}"|"${tgt_address_type}"|"${tgt_port}"|"${protocol}"|"${inbound_comm}"|"${user}"|"${process_name}"|"${rule_name}"|"${detection_name}"|"${occurrences}"|"${detection_handled}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

Computer identity recovered:
9 - "${timestamp}"|"${source_computer_name}"|"${target_computer_name}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

Computer first connected:
10 - "${timestamp}"|"${computer_name}"|"${is_hardware_detection_enabled}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

Antivirus detection:
1 - "${computer_name}"|"${severity}"|"${timestamp}"|"${detection_type}"|"${detection_name}"|"${scanner}"|"${virus_db}"|"${object_type}"|"${object_uri}"|"${action_performed}"|"${action_error}"|"${detection_handled}"|"${restart_required}"|"${user}"|"${process_name}"|"${circumstances}"|"${first_seen_time}"|"${hash}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

Blocked File:
2 - "${computer_name}"|"${severity}"|"${timestamp}"|"${object_uri}"|"${description}"|"${cause}"|"${action}"|"${process_name}"|"${user}"|"${hash}"|"${first_seen_time}"|"${detection_handled}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

Computer cloning question created:
3 - "${timestamp}"|"${source_computer_name}"|"${target_computer_name}"|"${computer_sg_parent}"|"${computer_sg_hierarchy}"|"${notification_name}"

New MSP customer found:
5 - "${timestamp}"|"${msp_customer_name}"|"${msp_company_name}"|"${notification_name}"

Protokolldateien

Nutzen Sie die Protokolldateien, um relevante Sicherheitsinformationen aus den Protokolldateien verschiedener Systeme zu isolieren, welche nicht in der Lage sind selbständig über Event Relays zu senden.

Erstellen Sie über Kollektor hinzufügen einen neuen Kollektor. Vergeben Sie einen eindeutigen Namen und eine kurze Beschreibung. Per default ist bereits festgelegt, dass der Kollektor Logs senden soll. Möchten Sie dies nicht, so deaktivieren Sie die Funktion per Klick auf die Schaltfläche.

Definieren Sie anschließend eine Host-Zuordnung. Entscheiden Sie hier zwischen:

• Referenz: Legen Sie anschließend mindestens einen Host fest, von welchem die Logs erfasst werden sollen.

• oder Tags: Legen Sie anschließend mindestens einen Tag fest, von welcher zutreffen soll.

Abschließend definieren mindestens einen Extraktoren für Ihre Protokolldateien, legen die betroffenen Dateipfade an und fügen Ihren Kollektor durch Klick auf die betreffende Schaltfläche hinzu.

API Kollektoren

Diese Kollektoren extrahieren Daten aus verbundenen Cloud-Anwendungen, übermitteln diese aktiv an das SIEM und erweitern dadurch den Umfang der Gesamtdatenerfassung.

Microsoft Office 365

1. Um Ihre Office-Logs mit dem Enginsight SIEM zu verbinden, müssen Sie zunächst einen API-Key in Ihrer Microsoft Office-Anwendung erstellen. Befolgen Sie dazu die folgende Anleitung.

2. Nachdem Sie Ihren Schlüssel erstellt haben, müssen die Berechtigungen unter Microsoft Azure wie folgt festgelegt werden:

1. Erstellen Sie abschließend einen Collector in Ihrem SIEM. Vergeben Sie einen eindeutigen Namen und eine kurze Beschreibung für den Collector. Legen Sie dann fest, ob der Collector Logs senden kann. Wählen Sie im Dropdown-Menü unter dem Punkt "Host" einen Host aus. Geben Sie einen oder mehrere zu überwachende "Kanäle" an und ergänzen Sie die "Tenant-ID" sowie die "Client-ID". Nachdem Sie sich abschließend für die "Authentifizierungsmethode" (Secret oder Zertifikat) entschieden haben, können Sie die vorgenommenen Änderungen speichern und den Collector hinzufügen, indem Sie auf die Schaltfläche "Änderungen speichern" klicken.

Confluence (Atlassian)

Gehen Sie über den Administratoren Account in die Atlassian Verwaltung. Klicken Sie auf Ihr Kürzel in der rechten oberen Ecke, um im aufgehenden Menü die Option "Konto verwalten" auswählen zu können. Wählen Sie nun in der Navigationsleiste den Reiter "Einstellungen" aus. Einmal in der Ansicht angekommen, können Sie nun ganz einfach durch drücken der Schaltfläche einen neuen API-Schlüssel erstellen.

Erstellen Sie nachfolgend einen Kollektor im Enginsight SIEM, wählen Sie einen betreffenden Host aus und fügen Sie die entsprechende Tenant-ID ein. Durch speichern Ihrer EInstellungen fügen Sie den Kollektor hinzu.

Bitdefender GravityZone

Konfiguration in Bitdefender

1. Öffnen Sie die Einstellungen Ihrer Bitdefender-Anwendung.

2. Navigieren Sie zum Menüpunkt "API Key" und aktivieren Sie den "Event Push Service API".

3. Folgen Sie den Anweisungen, um einen API Key zu erstellen.

Detaillierte Anweisungen finden Sie hier: Bitdefender Public API Anleitung.

Konfiguration in der Enginsight Plattform

1. Wechseln Sie in die Enginsight-Anwendung und rufen Sie den Menüpunkt: „SIEM“ auf. Wählen Sie den API-Kollektor "Bitdefender GravityZone" aus der API Kollektoren Liste und klicken Sie oben rechts auf „Kollektor hinzufügen“.

2. Name und Beschreibung Vergeben Sie einen eindeutigen Namen sowie eine Beschreibung für Ihren neuen Bitdefender neuen Kollektor.

3. Logs senden des Kollektors Die Option zum Senden von Logs durch den Kollektor in der Enginsight-Anwendung ist per default aktiviert und wird benötigt, um Bitdefender GravityZone Logs in Ihr SIEM zu integrieren.

4. API-Endpunkt Tragen Sie hier die passende URL Ihrer Bitdefender-Anwendung ein: Global: https://cloud.gravityzone.bitdefender.com Europa: https://cloudgz.gravityzone.bitdefender.com

1. API Schlüssel Geben Sie den zuvor in Bitdefender erstellten API-Key im entsprechenden Feld unter API-Schlüssel in der Enginsight-Anwendung ein.

2. Eventtypen wählen Wählen Sie unter Eventtypen die spezifischen Ereignisse aus, die über den Kollektor an Ihr SIEM gesendet werden sollen. Standardmäßig sind alle Eventtypen ausgewählt. Entfernen Sie bei Bedarf nicht benötigte Events aus der Liste.

Hosteinstellungen

1. Host Wählen Sie unter Host aus der Dropdown-Liste den Host aus, der als Kollektor fungieren soll.

1. Bind-Adresse Die Bind-Adresse legt die IP-Adresse und den Port des Hosts fest, über die er die Pushevents von Bitdefender empfängt. Achten Sie darauf, dass die Bind-Adresse korrekt konfiguriert ist und der Host über das Netzwerk erreichbar ist.

2. Lokaler „Bind mit HTTPS“ Standardmäßig ist diese Option deaktiviert. Sie wird jedoch benötigt, wenn Bitdefender die Logs direkt an den Host senden soll.

   1. "Lokaler "Bind" mit HTTPS“ aktiviert

      1. Aktivieren Sie die Schaltfläche: „Lokaler „Bind“ mit HTTPS“

      2. Fügen Sie ein, für die Bind URL gültiges Zertifikat ein.

      3. Geben Sie den privaten Schlüssel an.

   2. "Lokaler "Bind" mit HTTPS" deaktiviert Folgen Sie den weiteren Anweisungen.

1. Bind-URL (HTTPS) Die Bind-URL legt die vollständige URL (inklusive HTTPS) fest, über die der Host die verschlüsselten Pushevents von Bitdefender empfängt. Stellen Sie sicher, dass die URL korrekt formatiert ist und HTTPS verwendet wird, da Bitdefender nur verschlüsselte Verbindungen akzeptiert.

2. Zertifikatsprüfung überspringen Sollten Sie keine direkte IP einfügen können oder lediglich ein Zertifikat für eine neue Domain, so überspringen Sie bitte die Zertifikatsprüfung mit dem entsprechenden Feld. Bei der Nutzung von Self-signed Zertifikaten ist es ebenfalls notwendig, die Zertifikatsprüfung zu überspringen.

3. Basic Auth Benutzername und Passwort eingeben Geben Sie einen Benutzernamen und ein Passwort für die Basic Authentifizierung ein. Diese Authentifizierung wird nur von Bitdefender benötigt.

4. Konfiguration speichern Speichern Sie die Konfiguration des Kollektors durch einen Klick auf Änderungen speichern.

Host Kollektoren

Die Integrierten Kollektoren erfassen mithilfe der bereits installierten Agents Logs direkt vom Betriebssystem. Dadurch wird eine nahtlose Datenerfassung ermöglicht, die direkt auf die vorhandenen Ressourcen zugreift und eine umfassende Übersicht über die Systemaktivitäten gewährleistet.

Host Kollektoren erstellen

Vergeben Sie einen einschlägigen Namen und eine kurze Beschreibung. Legen Sie mit der Schaltfläche darunter fest, ob der Kollektor selbstständig in der Lage sein soll Logs zu senden. Unter "Host-Zuordnung" können Sie nun Tags festlegen und darunter alle Tags aufzählen, die für diesen Kollektor zählen sollen oder aber Sie entscheiden sich für "Referenz" und können dann explizite Hosts angeben, für welche der Kollektor gilt.

Windows-Ereignisprotokoll Kollektor erstellen

Wählen Sie aus den Standardkanälen aus, welche Sie überwachen möchten. Fügen Sie mit nur wenigen Klicks weitere Kanäle über die Schaltfläche hinzu.

Exchange Logs integrieren

Integrieren Sie ganz einfach Exchange Logs. Suchen Sie hierfür den Protokollnamen (über Ihre Windows-Ereignisanzeige) des gewünschten Channels, kopieren Sie den exakten Namen und fügen Sie diesen unter "weitere Kanäle" hinzu.

macOS Unified Logs Kollektor erstellen

Wählen Sie auch hier unter logLevels.de aus den Standardkanälen aus. Beachten Sie bitte den Hinweis, dass unifiedLogs ein erhebliches Datenaufkommen zur Folge haben und wir darum nachdrücklich darauf Hinweisen standardmäßig Fault zu aktivieren.

Linux Syslog Kollektor erstellen

Wählen Sie das Modul "Sysmon" aus. Dabei handelt es sich um ein Microsoft-Tool, das als Wrapper fungiert und eine Vielzahl von Ereignissen, die für die weitere Analyse möglicherweise irrelevant sind, für das SIEM zusammenführt und in ein einheitliches Dateiformat komprimiert. Dies optimiert den Umgang mit solchen Protokollen erheblich und ermöglicht eine schnellere Reaktion. Um diesen Schritt zu bestätigen, müssen Sie den Lizenzbedingungen von Drittanbietern zustimmen.

Appache httpd Kollektor erstellen

Standardmäßig schreibt der Apache HTTP Server seine Logs in lokale Dateien. Um die Logs jedoch effizient mit Pulsar zu sammeln und zu verarbeiten, müssen die Logs über Syslog weitergeleitet werden. Diese Anleitung beschreibt, wie Sie Apache so konfigurieren, dass die Logs im geeigneten Format bereitgestellt werden und einfach geparst werden können.

1. Öffnen Sie die Konfigurationsdatei des Apache HTTP Servers mit einem geeigneten Texteditor:

• Debian-basiert: /etc/apache2/apache2.conf

• RHEL-basiert: /etc/httpd/conf/httpd.conf

1. Fügen Sie die folgenden Einträge hinzu oder passen Sie bestehende an:

LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %O" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

• vhost_combined: Enthält virtuelle Hosts, Referrer, und User-Agent.

• combined: Enthält Referrer und User-Agent.

• common: Einfachstes Format, ohne Referrer und User-Agent.

• referer/agent: Spezialisierte Formate für einzelne Felder.

1. GlobalLog für Access Logs:

GlobalLog "|/usr/bin/logger -t httpd -p local0.info" vhost_combined

• httpd: Wird als syslog.app_name verwendet (nicht ändern).

• local0.info: Syslog-Facility und -Severity für die Logs.

• vhost_combined: LogFormat, das vom Parser unterstützt wird.

1. ErrorLog für Fehlerprotokolle:

ErrorLogFormat "[%{u}t] [%-m:%l] [pid %P:tid %T] %7F: %E: [client\ %a] %M"
LogLevel notice
ErrorLog "|/usr/bin/logger -t httpd -p local0.info"

• LogLevel: Definiert die Severity-Stufen (z.B. debug, info, notice, warn, error). Empfehlung: notice.

1. Änderungen speichern Speichern und schließen Sie die Konfigurationsdatei.

2. Apache neu starten Damit die Änderungen wirksam werden, muss der Apache HTTP Server neu gestartet werden:

• Debian-basiert:

sudo systemctl restart apache2

• RHEL-basiert:

sudo systemctl restart httpd

1. Funktionsweise überprüfen

• Stellen Sie sicher, dass die Logs in /var/log/syslog oder /var/log/messages erscheinen, je nach Betriebssystemkonfiguration.

• Prüfen Sie, ob Access Logs und Error Logs korrekt im angegebenen Format weitergeleitet werden.