Bei unserem zweiten Teil der Blogserie zum Thema SIEM dreht sich alles um ELK. Und nein, dies hat dabei nichts mit dem zitierten Film rund um Bill Murray zu tun.
Teil 1 verpasst? Dann bitte hier entlang zu SIEM – Teil 1: Wer, was und wieso überhaupt?
Was ist ELK und was ist der ELK-Stack?
ELK steht nicht für nur ein Produkt, sondern umfasst einen „Stapel“ oder eben auch „Stack“ aus drei Produkten:
Abbildung 2: Quelle „Opensource.com“
Elasticsearch
Ohne Daten, keine Analyse. Elasticsearch stellt den Datenspeicher und die Suchmaschine.
Logstash
Mit Logstash werden die Logevents verwaltet, verarbeitet und aufbereitet.
Abbildung 3: Pattern zum Auslesen von Loginformationen aus einer Firewall für Logstash
Kibana
Kibana ist letztendlich das Produkt, dass der Endanwender am häufigsten Verwenden wird. Hiermit werden die Daten analysiert und grafisch aufbereitet.
Abbildung 4: Grafische Aufbereitung in Kibana
Warum legen wir den Fokus auf den ELK Stack?
Wie in Teil 1 beschrieben, gibt es auf dem Markt verschiedene Softwareprodukte für SIEM. Auch wir haben uns unterschiedliche Produkte angesehen. Letztendlich haben wir uns aus folgenden Gründen entschieden, unseren Fokus auf den ELK Stack zu legen:
- Open Source
- Lizenz für Basisversion nicht notwendig
- Intuitive Oberfläche
- Skalierbar in der Größe und Breite
Abbildung 5: Quelle https://www.elastic.co/de/subscriptions (Stand 24.06.2020)
Das Interesse an den Produkten (hier nur mal als Beispiel mittels Google Trends) ist dabei in den letzten Jahren sehr stabil geblieben (einzig an Weihnachten gibt es jedes Jahr schönere Dinge 😉).
Abbildung 6: Google Suchtrend
Wie oben beschrieben ist die Basisversion grundsätzlich kostenlos. Doch es gibt auch Gold, Platinum und Enterprise-Versionen. Neben erweitertem Support ist es das X-Pack, welches aus erweiterten Security, Altering, Monitoring, Reporting und Graph-Featuren besteht, das den größten Unterscheid darstellt. Dies ist den kostenpflichten Versionen vorbehalten. Einen kompletten Versionsvergleich gibt es hier: https://www.elastic.co/de/subscriptions.
Alternative Distribution „Amazon OpenDistro“
Anfang 2019 hat Amazon begonnen eine eigene Distribution, basierend auf dem ELK Stack zu entwickeln. Im Juli 2019 wurde dann die erste Version v.1.0 veröffentlicht. Interessant ist dabei vor allem, dass viele Funktionen aus dem kostenpflichtigen X-Pack hier in einem angepassten Kibana kostenfrei (Apache Licence Version 2.0) zur Verfügung gestellt werden. Dabei wird dies fortlaufend weiterentwickelt und ist generell zu dem ELK Stack kompatibel.
Dies ist daher die Version, die wir von S&L bisher bei unseren Kunden empfohlen haben und derzeit einsetzen.