SEAL SIEM Monster – Virtuelle Hardware

vPierre Automation, AWS (Amazon Web Services), Sin categorizar, Cloud Computing, Compliance, DevOps, DevSecOps, Microsoft Azure, SEAL Kit, SEAL SIEM Monster, Sicherheit / Security, vSphere

SEAL SIEM MONSTER AWS VIRTUELLE SERVER – UNTERNEHMEN

Server insgesamt: 5

Server 1: Proteus (Logstash-SyslogNG-RabbitMQ-OSSEC/Wazuh) SEAL SIEM Monster Empfohlene Serverspezifikationen – Frontend
Build Cloud AWS M4.2XLarge
CPU 8 Kerne
Speicher 32 GB RAM
Speicherplatz SSD
Betriebssystem CoreOS

 

EMPFEHLUNGEN ZUM SPEICHERPLATZ

Bei Verwendung von Amazon AWS-Speicher oder lokalem Speicher sind die Kosten zu vernachlässigen. Das Datenvolumen variiert natürlich von Client zu Client, abhängig davon, wie viele Agenten Ihre Daten übertragen werden. Als Richtlinie wird hier jedoch ein guter Weg zur Verwaltung Ihrer Datenanforderungen beschrieben. Basierend auf der Prämisse, dass Security Information and Event Management (SIEM) 100 GB pro Monat speichern und benötigten Platz um 100 GB pro Monat erhöhen wird, entspricht dies etwa 1,2 TB pro Jahr – bei AWS S3-Speicherkosten weniger als 500 USD pro Jahr. Sie werden feststellen, dass Sie Ihre Daten zu jeder Zeit nach 6 Monaten, 1 Jahr und 2 Jahren vom schnellen S3-Speicher auf den Amazon Glacier-Speicher kostenlos verschieben können. So können Sie Ihre Daten jederzeit archivieren. Sie können weiterhin auf die Daten zugreifen (gegen Gebühr), aber Sie entfernen die Last aus der Elastic-Datenbank. Das Datenvolumen könnte um 1 TB pro Monat wachsen, obwohl die Kosten für die Sicherung der Daten sehr gering sind. Wenn Ihre Daten das 10-100-fache dieser Größe sind, multiplizieren Sie sie einfach, um sich einen Leitfaden zu geben.

S3 Speicherung S3 Kosten Glacier Speicherung Glacier Kosten Gesamt Monat
Monat 1 100 3,30 0,00 0 3,30
Monat 2 200 6,60 0,00 0 6,60
Monat 3 300 9,90 0,00 0 9,90
Monat 4 400 13,20 0,00 0 13,20
Monat 5 500 16,50 0,00 0 16,50
Monat 6 600 19,80 0,00 0 19,80
Monat 7 700 23,10 0,00 0 23,10
Monat 8 800 26,40 0,00 0 26,40
Monat 9 900 29,70 0,00 0 29,70
Monat 10 1000 33,00 0,00 0 33,00
Monat 11 1100 36,30 0,00 0 36,30
Monat 12 1200 39,60 0,00 0 39,60

ENDBENUTZERAGENTEN

Windows Endpoint Host: Auf einem Microsoft-Host müssen NX-Log und OSSEC Agent installiert werden. Dadurch werden Ereignisprotokolle und OSSEC HIDS-Ereignisse erfasst und zur Protokollanalyse über TCP/UDP verschlüsselt an Proteus gesendet.

Linux Endpoint Host: Auf einem Linux-Host muss Filebeat installiert werden. Dadurch werden Ereignisprotokolle erfasst und zur Protokollanalyse über SSL an Proteus gesendet.

Agentless Endpoint Hosts (SYSLOG): Auf einem Netzgerät/Drucker/SCADA-Gerät ohne Agenten weisen Sie die SYSLOG-Konfiguration des Hosts auf Proteus. Proteus führt SYSLOG-NG aus und erfasst alle Syslogs und fügt sie in die Logstash-Stream-Prozedur ein. Die Daten werden dann nach Alerting/Analyse abgefragt und relevante Daten werden zur Langzeitspeicherung an Kraken/Tiamat zurückgegeben.

 

nächster Artikel: Funktionsserver