SIEMs - Die Zukunft der IT-Security?

Dezember 26, 2024

Updated on Dezember 26, 2024

Wieder mal neigt sich ein Jahr dem Ende zu. Und was für ein Jahr! 2024 habe ich mich sehr viel mit den Themen SIEM und SoC beschäftigt. Bis letztes Jahr hatte ich noch nie - bewusst - von SIEMs gehört, ich habe auch das Gefühl, dass dieses Thema in der IT noch nicht so irre verbreitet ist, besonders natürlich bei den kleinen Dienstleisterfirmen.

Was ist so ein SIEM? Ich bin der Meinung, dass lässt sich nicht so 100% abgrenzen, aber im Kern geht es darum, Ereignislogs zu sammeln und auszuwerten. Das ist eine spannende Sache, normalerweise schaut man ja höchstens mal im Fehlerfall in das Windows-Ereignislog bzw. syslog oder Anwendungsprotokolle. Im Arbeitsalltag wird niemals jemand auf die Idee kommen, die Logs von Server zu durchsuchen, ob beispielsweise ein neuer Administrator angelegt wurde oder ähnliches. Bei einem Angriff sind solche Informationen mehr als nur Gold wert. Gut, wenn es ein Angriff so "von jetzt auf gleich" ist, hat man damit auch nur eine Retrospektive. Aber viele Angriffe sind lange geplant, zwielichtige Akteure verstecken sich teilweise Monate oder sogar 1-2 Jahre in Netzwerken, boykottieren Datensicherungen und schlagen erst dann zu.

Diese Angriffe sollten mit einem SIEM gekontert werden. Ich konnte mich dieses Jahr relativ viel mit Graylog beschäftigen, da bin ich in ein Projekt mit einem wirklich sehr interessanten Kunden gekommen. Außerdem habe ich Konzepte aufbauend auf Wazuh entwickelt, das fand ich so spannend, dass ich selbst in meiner Freizeit einiges aufgebaut und entwickelt habe. Wazuh ist irre mächtig und gleichzeitig für umme nutzbar. Bietet sich also auch für kleine Kunden an. Und für kleine Dienstleister kann das eine große Chance darstellen!

Wazuh bringt einiges an Regeln zur Erkennung von wichtigen Ereignissen mit. Für kleine Netzwerke reicht das fast schon aus. Definitiv kann ich aber empfehlen, aus dem Wazuh-Blog die Regeln für Angriffe gegen das AD (falls vorhanden) zu implementieren: How to detect Active Directory attacks with Wazuh. Kleine Warnung: da muss man noch einige Regeln dazustricken, um nicht zu viele false positives zu generieren. Und wer richtig tief in dieses Kaninchenloch abtauchen möchte, dem empfehle ich die Dokumentation von Microsoft: Appendix L: Events to Monitor. In meinem Github pflege ich detaillierte Decoder und Regeln zur Anbindung von Sophos-Firewalls: JoernSchoenyan/Sophos-Wazuh-SOC. Und ganz aktuell habe ich mir die Aufgabe vorgenommen, meinen Webserver mit Wazuh abzusichern. Webseiten werden tagtäglich auf Sicherheitslücken abgescannt, erkennbar an vielen 404er Statuscodes in den Logs. Bruteforceartig wird auf Dateien geprüft, zum Beispiel aus veralteten Wordpress-Plugins. Diese 404er verarbeite ich mit Wazuh und nutze die Active Responses, um die Firewall gegen solche Scans dichtzumachen: JoernSchoenyan/Wazuh-404-ActiveResponse.

Schwachstellenmanagement kann Wazuh auch übernehmen, da bin ich aber nicht total von überzeugt. Ob das wirklich in ein SIEM gehört - kann man sich drüber streiten. Alternativ kann man aber auch das Netzwerk mittels Greenbone Vulnerability Manager abscannen. Viele wollen das auch miteinander kombinieren und die Schwachstellen quasi als Events in Wazuh schieben, aber in meinen Augen sind das KEINE EVENTS. Ich habe einen anderen Ansatz für unsere Projekte gewählt und habe ein Pythonscript entwickelt, welches GVM steuert und die Schwachstellen ausliest um sie einzeln als Ticket zu erstellen. So lassen sich die Schwachstellen nachvollziehen und keines fällt hinten runter. Vielleicht kann ich in Zukunft mal etwas davon teilen, grundsätzlich kann das aber jeder Entwickler in wenigen Stunden zusammenstöppeln.

2025 darf ich mich ausgiebig mit Splunk beschäftigen, da freue ich mich schon sehr drauf. Übergangsweise habe ich mir einen kurzen Kurs auf Udemy gekauft, um die Wartezeit zu überbrücken. Den werde ich mir die Tage noch antun... das nächste Jahr wird auch wieder richtig spannend!

Fazit: ja, SIEMs werden in Zukunft wirklich wichtig. In Zeiten höchster Internetkriminalität sollte eine Verarbeitung der Systemereignisse zum Standard werden. Gerne auch mit gratis nutzbarer Software wie Wazuh. Trotzdem möchte ich hier aber betonen, dass man hier keine kostenlose Betreuung von seinem IT-Dienstleister erwarten darf. Im Gegensatz zu einem "fire and forget" Virenscanner kann man hier richtig Zeit investieren und muss dies auch tun, die Lernkurve ist verhältnismäßig steil, insbesondere wenn es um stark angepasste Setups geht. Hier können Managed Service Provider sich von ihren Marktbegleitern abheben und einen ganz besonderen Baustein anbieten.