WebsiteLoginKostenloser TestzugangCommunity

SIEM

Nutzen Sie unser SIEM, um Informationen über die Sicherheitslage Ihres IT-Netzwerks zu sammeln und zu analysieren

Sichern Sie Ihre Daten mit unserem leistungsstarken SIEM: Kontaktieren Sie unsere Experten über [email protected], um schnellstmöglich durchzustarten und erhalten Sie Unterstützung bei Ihrer Installation!

Aufbau

Vorbereitung

Bitte nutzen Sie für die Installation das bereitgestellte ISO mit Auswahl der Component Server Option. Damit sind alle für den SIEM-Betrieb benötigten Komponenten berücksichtigt.

  1. Für die Installation des SIEMs benötigen Sie folgende Komponenten

Komponente
Anforderung

1x SIEM Management Server

4CPU, 8GB RAM, 200GB Disk (SSD empfohlen)

1X SIEM Index Server

4CPU, 8GB RAM, 200GB Disk (SSD empfohlen)

Dieses Setup ist ausschließlich für einen Workload von 10 GB Pro Tag ausgelegt! Falls Sie höhere Anforderungen haben, lassen Sie sich gern von uns individuell beraten.

  1. Weiterhin müssen folgende Firewall Regeln freigegeben werden:

    1. NGS APP Server -> SIEM Management Server - TCP/Port 443

    2. SIEM Management Server - TCP/Port 8983 ->SIEM Index Server

    3. INDEX-Server -> SIEM-Management TCP/2181

  2. Erstellen Sie auf allen VMs einen Swap, sollten Sie diesen bisher nicht haben.

  3. Erstellen Sie eine URL für Ihren SIEM Server z.B.: ngs-siem.ihre-domain.de. Für diese muss ein Zertifikat im PEM Format vorliegen. Nutzen Sie ein selbst signiertes Zertifikat beachten Sie bitte diese Anleitung.

    Bitte verändern Sie nicht die unten bereitgestellten Docker Konfigurationen, da diese aufeinander abgestimmt sind.

Installation SIEM Management Server

Der SIEM Management Server empfängt die Logs über die API und sendet diese an den SIEM Index Server weiter, wo sie vearbeitet werden.

Hierfür werden folgende Komponenten installiert:

  • nginx

  • docker-ce

  • docker-ce-cli

  • containerd.io

  • docker-buildx-plugin

  • docker-compose-plugin

  • Enginsight Loggernaut

Docker installieren

  1. Regulieren Sie den Speicherbedarf der Docker Logs, in dem Sie diese wie folgt auf 100 Mb beschränken:

    Fügen Sie folgendes ein:

    Starten Sie anschließend Ihren Docker Dienst neu:

  2. Erstellen Sie einen Ordner für Docker und navigieren Sie in diesen

  3. Passen Sie die docker-compose.yml an

  4. Ergänzen Sie folgende Konfiguration:

Die <IPvomSIEMManagementServer> entspricht der internen IP Adresse des SIEM-Management Servers. Diese muss sowohl von dem Management Server, als auch von den anderen SIEM Index Server(n) erreichbar sein.

  1. Legen Sie die Verzeichnisse an, die in der docker-compose definiert sind:

  2. Starten Sie den Docker Container.

  3. Prüfen Sie, ob Ihr Docker Container läuft.

nginx installieren

  1. Installieren Sie nginx

  2. Erstellen Sie Benutzername und Passwort für die Authentifizierung am SIEM Management Server.

    Hierbei werden Benutzername und Passwort automatisch generiert. (BasicAuth)

    Sie erhalten folgenden Output:

    Speichern Sie den Code ab, da Sie diesen später für die Anpassung des App Servers benötigen.

  3. Passen Sie die nginx Konfiguration an.

    Hierfür öffnen Sie die Konfiguration:

    und passen diese wie folgt an:

  1. Überprüfen Sie die nginx Konfiguration:

  2. Starten Sie den nginx neu, um die Konfiguration zu übernehmen:

Installation SIEM Index Server

Docker installieren

  1. Regulieren Sie den Speicherbedarf der Docker Logs, in dem Sie diese wie folgt auf 100 Mb beschränken:

    Folgendes einfügen:

    Docker Dienst neustarten:

  2. Erstellen Sie einen Ordner für Docker und navigieren Sie in diesen:

  3. Passen Sie die docker-compose.yml an:

    Fügen und ergänzen Sie folgende Konfiguration:

    • <IP_VOM_SIEM_INDEXSERVER> entspricht der IP, des SIEM Index Servers.

    • <IP_VOM_SIEM_MANAGEMENTSERVER> entspricht der IP des SIEM Management Servers.

    • <40%_RAM_IN_GB> (Startgröße des Heaps (-Xms)) geben Sie 40%Ihres gesamten RAMs gerundet in Gigabyte als Initialspeicherwert an.

    • <50%_RAM_IN_GB> (Maximalgröße des Heaps (-Xmx)) geben Sie 40%Ihres gesamten RAMs gerundet in Gigabyte als Maximalspeicherwert an.

  4. Legen Sie Verzeichnisse an und vergeben Sie Rechte, um darauf zuzugreifen:

    Die Verwendung des Nutzers 8983 aus dem Docker-Container ist korrekt und bedeutsam. Führen Sie diesen Schritt zwingend durch, um die Installation erfolgreich durchführen zu können.

  5. Starten Sie den Docker Container:

  6. Überprüfen Sie, ob der Port ausschließlich für die interne Adresse offen ist. Hier für können Sie dienet-toolsinstallieren (sudo apt install net-tools).

    Das Ergebnis sollte wie folgt aussehen:

    Achten Sie darauf, dass unter Host die richtige IP Adresse erscheint.

    Sollten Sie einen zuzsätzlichen Indexserver installieren wollen, passen Sie bitte die Konfiguration, wie in Schritt 3 unter nginx installieren erklärt, an.

Anpassung APP Server

Passen Sie die Konfiguration des Enginsight APP Servers und den Zugriff an, um mit Ihrem SIEM Management Server zu kommunizieren.

  1. Wechseln Sie in die Konfigurationsdatei:

  2. Fügen Sie in die Konfiguration folgenden Abschnitt ein:

    Füllen Sie "basicAuth" mit Ihren Credentials aus, die Sie im Proxy hinterlegt haben.

    Bei der URL tragen Sie die URL des SIEMs Servers ein oder dessen IP Adresse.

    numShards geben die absolute Anzahl der Shards an und sind für das parallele Abarbeiten der Anfragen zuständig. Hier sollten mindestens 2 angegeben werden. Bei größeren Instanzen empfiehlt es sich, etwa die Hälfte der verfügbaren CPU-Kerne als Wert zu wählen. Bei einem Server mit 8 Kernen wären das entsprechend 4. Der replicationFactor ist für die Replication verantwortlich. Die Daten werden auf mehreren Servern verteilt. Der Vorteil ist, dass die anderen Index Server bei einem Ausfall eingreifen können. Jedoch steigt der Verbauch des Speichers. Sie können, wenn gewünscht, die Anzahl Ihrer Index Server für die Replikation eintragen. Alternativ lassen Sie das auf 1.

    Die organisation entspricht der Organsisations ID, welche die Verwaltung der SIEM Cluster übernimmt. Wählen Sie dafür eine Organisation (wir empfehlen Ihre "Hauptorga").

  3. Fügen Sie in der Konfiguration unter "api" noch "url": "IHRE_API_URL ", hinzu. Sodass Ihre Konfiguration wie folgt aussieht:

  4. Wechseln Sie ins Enginsight Verzeichnis und starten Sie die setup.sh

  5. Regulieren Sie den Speicherbedarf der Docker Logs, in dem Sie diese wie folgt auf 100 Mb beschränken:

    Fügen Sie folgendes ein:

    Starten Sie anschließend den Docker Dienst neu:

  6. Stellen Sie einen Access Key für den SIEM Management Server aus.

Loggernaut installieren

Der Loggernaut dient dazu die Logs entgegen zu nehmen und zu verarbeiten

  1. Loggen Sie sich auf Ihrem SIEM Management Server ein

  2. Installieren Sie den Loggernaut wie folgt:

    Der Login mittels Username und Passwort erfolgt über Basic Authentification.

  3. Wechseln Sie in die Enginsight Instanz und klicken Sie in den Reiter "SIEM". Die Oberfläche baut eine Verbindung zu den Servern auf, das kann einige Sekunden dauern.

BETA - Installation SIEM KI

Um die Funktionalitäten in der SIEM KI verwenden zu können, bedarf es einiger Konfigurationen.

Hierbei handelt es sich um eine Betafunktionalität. Bitte beachten Sie, dass es bei Vorhersagen der Metriken und der daraus resultierenden Anomalie-Erkennung vereinzelt zu Fehlern kommen kann.

  1. Betroffene Komponenten updaten.

    1. ui-m1

    2. server-m2

    3. loggernaut-m47

      Die aktuellen Versionen der einzelnen Komponenten finden Sie immer hier:

      https://github.com/enginsight/enterprise/blob/master/docker-compose.yml

  2. Experimentellen ML Modus im Loggernaut aktivieren.

    Passen Sie dazu die Konfigurationsdatei unter /opt/enginsight/loggernaut/config.json an, indem sie folgende Zeile auf Root Ebene hinzufügen:

    Starten Sie den Loggernaut danach neu um die Konfiguration zu übernehmen.

  3. Docker installieren.

  4. Regulieren Sie den Speicherbedarf der Docker Logs, Beschränken Sie diese wie folgt auf 100 Mb:

    Folgendes einfügen:

    Docker Dienst neustarten:

  5. Docker Compose anlegen.

    Folgendes muss in der docker-compose.yml enthalten sein:

    Sollte das Machine Learning auf der selben Machine wie der Loggernaut laufen und zu große CPU Last erzeugen, sodass der Loggernaut den Logdurchsatz nicht mehr händeln kann, empfehlen wir die CPU-Shares des Containers zu reduzieren, damit andere Prozesse eine höhere Priorität haben.

    Hierfür ist diese Anpassung an der docker-compose.yml notwendig:

  6. Anpassungen an Nginx Config vom Management Server für Websocket Support.

    Passen Sie folgende Datei an: /etc/nginx/sites-available/default

    Überprüfen Sie die Config auf Fehler:

    Starten Sie nginx neu um die Config zu übernehmen:

  7. Stellen Sie sicher, dass Sie über root-Rechte verfügen. Sollte dies nicht der Fall sein, melden Sie sich als Superuser an.

  8. Stellen Sie sicher, dass die aktuelle Version von Docker und Docker Compose installiert ist. Die aktuellen Versionsnummern finden Sie hier: Docker Engine, Docker Compose. Je nach verwendeter Installation kann der Befehl für Docker Compose variieren:

    oder

    Installieren Sie Docker nicht über Snap oder bei der Installation des Betriebssystems, sondern installieren Sie Docker ausschließlich aus den Paketquellen der offiziellen Anleitung.

  9. Loggen Sie sich bei Docker ein.

    Die Zugangsdaten erhalten Sie von uns.

    Wenn es bei der Authentifizierung zu Problemen kommt, überprüfen Sie, ob ein aktueller gpg2 Key vorliegt und generieren Sie ihn gegebenenfalls automatisch:

    apt install gnupg2

    gpg2 --gen-key

  10. Starten Sie den Container mit den eben durchgeführten Anpassungen.

  11. Starten Sie abschließend die update.sh, um Konfigurationsfehler auszuschließen.

Mögliche Probleme:

Sollte Ihnen die Plattform anzeigen, dass sie keine Verbindung herstellen konnte, prüfen Sie bitte folgende Punkte:

  1. Kann der APP Server den SIEM Management Server erreichen? Testen Sie dies mittels curl. Hierbei muss Status Code 200 zurückkommen

  2. Kann der SIEM Server den APP Server erreichen?

  3. Wurden alle Firewall Freigaben aus dem Punkt Vorbereitung gesetzt?

Selbstsignierte Zertifikate:

Sollten Sie für Ihre SIEM URL ein selbstsigniertes Zertifikat oder eine Windows PKI nutzen, müssen Sie das root Zertifikat zunächst auf dem SIEM Management sowie auf dem App Server trusten. Weiterhin benötigt es eine Anpassung in der docker-compose.yml des App Servers.

  1. Trusten Sie Ihr Zertifikat. Kopieren Sie ihr root Zertifikat auf dem SIEM Management nach /usr/local/share/ca-certificates/ und updaten Sie den CA Store sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt sudo update-ca-certificates

ca.crt bitte durch den Namen Ihres Root Zertifikats ersetzen.

  1. Wiederholen Sie dies für den App Server.

  2. Passen Sie die docker-compose.yml auf dem App Server an. Navigieren Sie in den Ordner /opt/enginsight/enterprise auf dem App Server und öffnen Sie die Datei mittels:

    Ergänzen Sie unter environment: und volumes: folgendes:

Der Pfad /etc/nginx/cert.pem:/etc/ssl/cert.pem teilt sich wie folgt auf:

Links: Pfad der Chain auf dem Server Rechts: Pfad im Docker Container

Traicer Fehlerbehebung

Falls Sie selbstsignierte Zertifikate verwenden oder im Traicer-Log ein Fehler wie der Folgende auftritt, müssen Sie die Zertifikate explizit an den Traicer-Container übergeben.

Befolgen Sie hierfür die weiteren Schritte:

  1. Anpassung der docker-compose.yml

    Ergänzen Sie die docker-compose.yml, um das Zertifikat in den Container zu mounten und die notwendige Umgebungsvariable zu setzen. Ein Beispiel für die Konfiguration des Traicer-Dienstes:

    Erläuterung:

    • <path/to/your/certificate.pem>: Ersetzen Sie dies durch den Pfad zu Ihrem Zertifikat.

    • EXTRA_CA_CERTS: Diese Umgebungsvariable gibt an, wo sich die zusätzlichen Zertifikate im Container befinden.

    • ADDRESS ohne doppeltes https://: Stellen Sie sicher, dass der Wert korrekt ist. Ein häufiger Fehler ist: Falsch: wss://https://<url>/v1/traicer Richtig: wss://<url>/v1/traicer.

  2. Container neu starten

    Führen Sie nach der Anpassung den folgenden Befehl aus, um die Änderungen anzuwenden:

Fügen Sie die ersten Logs hinzu:

Sie werden zu Beginn feststellen, dass das SIEM sich bereits mit Logs füllt. Diese kommen standardmäßig aus dem IDS, IPS, FIM, etc. Die Quellen können Sie unter SIEM -> Data Lake -> ngs.source einsehen.

Logs vom Agent

Um die Logs, wie Syslog (Linux), EventLog (Windows) und Unified Logs (MacOs) zu erhalten, müssen Sie dies zunächst im Policy Manager erlauben. Navigieren Sie hierfür zu Hosts -> Policy Manager und erstellen Sie eine neue Policy namens SIEM.

Bestimmen Sie mittels Tags, welcher Host Logs schicken darf und aktivieren Sie unter Erweiterte Einstellungen "Auswertung von Systemlogs erlauben".

Navigieren Sie nun zurück in den Reiter SIEM. Unter Integrierte Kollektoren finden Sie die einzelnen Betriebssysteme. Hier können Sie oben rechts einen neuen Kollektor hinzufügen.

Vergeben Sie einen Namen für das jeweilige Betriebssystem was geloggt werden soll. Aktivieren Sie das Logging und ordnen Sie es einem Tag zu. Im Anschluss können Sie die Kanäle auswählen, über die die Logs gesammelt werden sollen.

Anbindung von Geräten, ohne Agent (z.B. Firewall)

Sie können an das SIEM auch Geräte anbinden, welche keinen Agent installiert haben. Hierfür definieren Sie einen Agent, welcher die Logs einsammeln soll. Navigieren Sie dafür in das SIEM -> Event Relais.

Wählen Sie einen Namen, mit der Sie eindeutig Ihren Kollektor identifizieren können. Aktivieren Sie erneut das Logging und definieren Sie unter Host einen Client oder Server, welcher die Logs von dem Gerät (z.B.) Firewall entgegen nehmen soll. Wählen Sie zudem das Format aus und entscheiden Sie, über welchen Port und welchem Protokoll die Daten gesendet werden sollen.

Es ist möglich mehrere Kollektoren zu konfigurieren. Das ist vor allem bei mehreren Netzen sinnvoll, um keine neuen Firewall Regeln konfigurieren zu müssen, da pro Netz ein Kollektor genutzt werden kann.

VorherigeLoad BalancingNächsteDeinstallation

Zuletzt aktualisiert

War das hilfreich?