+49 (0)261 – 9 27 36 – 0 info@sul.de
[ivory-search id="214639" title="DIVI Header Search Form"]

In drei Blogartikeln haben wir bereits Einiges aus der Theorie, aber nur ein paar kleinere Einblicke in die praktische Anwendung gegeben. Heute möchten wir darauf eingehen, wie SIEM bei unserem Kunden, der Masa Group, umgesetzt wird. Doch zunächst:

 

Wer ist denn eigentlich die Masa Group?

 

Masa ist ein mittelständisches Unternehmen mit Wurzeln in Deutschland, das sich auf die Planung und Herstellung von Anlagen und Maschinen für die Baustoffindustrie spezialisiert hat. Unter dem Dach der Marke Masa sind Produktionsstandorte in Deutschland und Vertriebsgesellschaften in aller Welt angesiedelt. (Quelle: https://www.masa-group.com/de/unternehmen/uber-uns/)

Wir freuen uns berichten zu können, dass wir von S&L schon einige Jahre, in sehr vielfältigen Themen und Projekten, mit der Masa arbeiten dürfen.

 

Aus der „Not“ entstanden, mit Weitblick in die Zukunft

In Zeiten immer steigender Anforderungen, der schieren Anzahl von IT-Systemen und der weiter zunehmenden Verzahnung und übergreifenden Funktionen, wird es immer schwieriger den Überblick über die eigene Infrastruktur zu behalten. In der Presse erfährt man zudem immer mehr über Vorfälle bzw. Angriffe der IT-Systeme verschiedenster Unternehmen. Wirklich sicher ist hier niemand.

Neben der Absicherung der eigenen Infrastruktur, muss man aber auch auf den Worst-Case vorbereitet sein und Ereignisse nachvollziehen können. Teils gibt es hier auch rechtliche Vorgaben, die wir hier jedoch nicht im Einzelnen durchgehen möchten.

Bisher haben die Masa Mitarbeiter durch eine manuelle Sichtkontrolle, auf den einzelnen Systemen, Aktionen bei Bedarf nachvollziehen können. Diese mussten dann manuell miteinander in Beziehung gesetzt werden. Aufgrund der zahlreichen Logdateien und der verschiedenen Systeme ist dies kaum zu bewerkstelligen. Entweder geht hierdurch viel wertvolle Zeit verloren, oder Ereignisse fallen durch das Radar.

Konsequent wurde der Entschluss gefasst, Ausschau nach einem zentralen System zu halten, um die Events aller Systeme zentral auswerten zu können.

 

Der Auswahlprozess für ELK

Es wurde beschlossen, dass zukünftig die gesamten Protokolldaten der Infrastruktur der Masa zentral durchsucht, analysiert, aufbereitet, erweitert, indiziert und visualisiert werden sollen.

Von Anfang an war dabei wichtig, dass alle kritischen Daten On-Premise, d.h. auf den lokalen Systemen, verbleiben.

Nach Abwägung diverser Optionen haben wir uns gemeinsam zum Einsatz des ELK Stacks, konkret für Amazon OpenDistro, entschieden.

Selbstverständlich könnten die Daten auf Wunsch auch anderweitig ausgelagert werden (Onlinespeicher, externe Speichermedien, …). Alternativ könnte auch die gesamte ELK Infrastruktur in der Cloud gehostet werden.

Gut, dass man hier vielfältige Optionen hat und somit verschiedene Szenarien abdecken kann.

Das Produkt war gefunden, nun ging es an das „Eingemachte“.

 

Was wurde bisher unternommen?

Innerhalb der ersten Meetings wurden die Anforderungen konkretisiert. Des Weiteren wurde eine Bestandsaufnahme angefertigt.

  • Welche Probleme hatte man in der Vergangenheit?
  • Welche Geräte sowie Hersteller sind im Einsatz?
  • Welche konkreten Anforderungen bestehen?

Hierbei mussten wir zwischen den Anforderungen technischer Natur und den gesetzlichen Vorgaben unterscheiden.

Im weiteren Verlauf wurde eine Liste aller relevanten Systeme erstellt. Für die Systeme wurde ein Regelwerk geschaffen und unter anderem festgehalten, wie lange die protokollierten Daten der betroffenen Systeme vorgehalten werden sollen oder sogar müssen.

Entsprechend einer hohen Priorität, wurden daraufhin alle Logs der Netzwerkinfrastruktur (Firewall, Switche, …), sowie der Authentifizierungsdienste (Radius, Domain Controller, …) gesammelt.

Dies ergab dabei, geräteübergreifend nach einigen Tagen, bereits mehrere Millionen Logeinträge.

Bei der nachfolgenden Auswertung galt es nun zu ermitteln, welche Einträge keinen relevanten Informationsgehalt haben und somit künftig aussortiert werden können. Wichtige Einträge wurden somit sichergestellt und im Anschluss aufbereitet, sowie mit weiteren nützlichen Daten verknüpft.

Während der Umsetzung haben wir uns immer wieder mit dem Kunden gemeinsam über Anpassungen abgestimmt, um ein bestmögliches Ergebnis zu erzielen. Grundsätzlich gilt, ein ELK System ist nie fertig. Man schafft eine Basis, die durch immer neue Anforderungen erweitert oder angepasst werden muss. So kann es je Anwendungsfall sinnvoll werden, vorhandene Daten auf immer neuen Wegen auszuwerten oder mit Daten anderer Herkunft zu kombinieren.

 

Ein Bild sagt mehr als tausend Worte

Genug der vielen Worte, in den folgenden Screenshots sind ein paar Beispiele der bisherigen Ergebnisse, visualisiert in Kibana, abgebildet:

Abbildung 1: Kibana Dashboard - Sophos UTM

Abbildung 1: Kibana Dashboard Sophos UTM

 

Abbildung 2: Kibana Dashboard - Gruppenänderungen

Abbildung 2: Kibana Dashboard Gruppenänderungen

 

Abbildung 3: Kibana Dashboard - Fehlgeschlagene Windows Logins

Abbildung 3: Kibana Dashboard Fehlgeschlagene Windows Logins

 

Abbildung 4: Kibana Dashboard - Sophos UTM Webproxy

Abbildung 4: Kibana Dashboard Sophos UTM Webproxy

 

Abbildung 5: Kibana Dashboard - Sophos UTM Firewall

Abbildung 5: Kibana Dashboard Sophos UTM Firewall

Zukunftsausblick:

In der nächsten Zeit werden weitere Systeme, aktuell unter anderem die SQL-Server, integriert. Zudem werden wir ein Benachrichtigungskonzept umsetzen, um bei Eintritt hoch priorisierter Events automatisch zu informieren.

 

Was sagt die Masa Group?

„SIEM ist ein Thema was sicherlich in jeder IT-Abteilung schon mal auf dem Tisch war und bei den meisten nach genauerem hinschauen wegen der extremen finanziellen und ressourcenseitig zu erwartenden Aufwänden zunächst wieder in die Schublade wandert.

Dies war bei uns nicht anders, viele Standardsysteme am Markt passen nicht zu den Anforderungen oder sind einfach gesagt eine „Nummer zu groß“. Um so mehr waren wir daran interessiert, gemeinsam mit unserem langjährigen Partner S&L ein System aufzubauen, welches die Anforderungen erfüllt und trotzdem Luft nach oben hat.

So konnten wir gemeinsam das ELK-System mit leben füllen und haben nun die Möglichkeit in Echtzeit wie auch rückwirkend die Logs verschiedenster Systeme zu einem spezifischen Zeitpunkt innerhalb dieses Systems zu sichten und zu analysieren.

Die weitere Herausforderung wird nun sein, die Infrastruktur der Niederlassungen und Schwesterunternehmen mit anzubinden und gleichzeitig ein vernünftiges Maß an Datenmengen und Haltezeiten zu erreichen.

Eine Verbindung vom ELK mit den anderen Systemen der S&L, wie z.B. der ControlSeries und der MoSo ist ein weiteres Ziel für die nächsten Monate, um die Verwaltung weiter zu vereinfachen.“

Christian Miltz
Leiter IT & Organisation
Masa GmbH

SUPPORT
X
X