SEAL SIEM Monster – Funktionsserver

vPierre Automation, AWS (Amazon Web Services), Cloud, Cloud Computing, Compliance, DevOps, DevSecOps, Microsoft Azure, SEAL Kit, SEAL SIEM Monster, Sicherheit / Security, vSphere

SEAL SIEM Monster basiert auf 5 Servern, einige Docker-Container sind an bestimmte Hosts gebunden und die anderen sind frei zwischen den Servern, um die Last zu verteilen. Die Tabellen in jedem Monster, die in 6.2 beginnen, enthalten die gepinnten Container, die sich niemals von diesem Host entfernen. Im Folgenden befinden sich die gepoolten Container jedoch auf jedem Host und können Ressourcen freigeben. Nur Makara, Capricorn und Proteus sind Hosts, auf denen sich Container bewegen können. Kraken/Tiamat-Container sind allesamt fest.

Zum Beispiel muss die SEAL SIEM Monster-Website für die DNS-Auflösung auf Makara bleiben, aber Container wie 411 oder Grafana können zwischen Makara, Capricorn und Proteus wechseln.

Gepoolte Container Funktion
Dradis Vulnerability Management
411 Alerts Event Management Stream/Alerting Echtzeitwarnungen
Inzidenzantwort FIR Ticketing-System für Vorfälle und Ermittlungen
Prometheus + Alert Manager Alert Management
Grafana Alert-Visualisierung
Berichterstattung Skedler-Berichterstellungstool
RabbitMQ Messaging-Warteschlange
MongoDB Datenbank für Webserver
Kibana Visualisierungstool über einen Browser (Dashboards)
Google Mail-Relay Google Mail Relay-Option für E-Mail-Benachrichtigungen
MineMeld Open Source Threat Intelligence
ElastAlert Warnsystem für die Integration in SMS/Email/Slack etc.
Open AudIT Open Source Auditing-Tool
MYSQL MySQL-Datenbank für 411

DETAILTABELLE DER SOFTWAREFUNKTIONEN

Software Funktion
Dradis Ein Reporting- und Collaboration-Tool, das das gesamte von Ihnen generierte Wissen in Bezug auf das Schwachstellen-Management in Echtzeit erfasst und nutzt.
411 Alerts 411 ist eine Open Source-Protokollierungs- und Ereignisverwaltungs-Engine. Dank der umfangreichen Stream- und Pipeline-Funktionen und der intuitiven grafischen Benutzeroberfläche können Warnungen vom Endbenutzer einfach konfiguriert werden. Die mitgelieferten Slack & Pagerduty-Plugins bieten Benachrichtigungen für private Kanäle, die leicht auf einem Smartphone oder Tablet angezeigt werden können.
Inzidenzantwort FIR FIR ist ein Tracking-System für Fehlerverfolgung, Helpdesk-Ticketing, Kundenservice, Workflow-Prozesse, Änderungsmanagement und Netzbetrieb. FIR wurde in SEAL SIEM Monster aufgenommen, um Vorfallreaktionen gegenüber anderen Sicherheitsanalysten aufzuzeichnen, zu melden und zu eskalieren
Prometheus + Alert Manager Prometheus ist ein Open Source-System zur Überwachung und Alarmierung von Systemen. Prometheus bietet ein mehrdimensionales Datenmodell mit Zeitreihendaten, die anhand des Metriknamens und der Dashboard-Grafik identifiziert werden.
Grafana Das Visualisierungstool Grafana ermöglicht Ihnen das Abfragen, Visualisieren, Warnen und Verstehen Ihrer Metriken, unabhängig davon, wo sie gespeichert sind.
Berichterstattung Das Skedler-Tool bietet PDF/XLS-Style-Berichte im Premium Build
RabbitMQ RabbitMQ wird als Puffer-Trichter-Header verwendet, der den schnellen und ordnungsgemäßen Datenfluss aus Tausenden von Endpunktquellen ermöglicht und das in einer geordneten Rate speichert und in das SIEM einfließt.
MongoDB Die MongoDB-Datenbank stellt die SEAL SIEM Monster-Benutzergruppen bereit
Kibana Kibana ist die Datenvisualisierungs-Engine von Elasticsearch, mit der Sie mit allen Ihren Daten in Elasticsearch über benutzerdefinierte Dashboards nativ interagieren können. Die dynamischen Dashboard-Bereiche von Kibana sind speicherbar, gemeinsam nutzbar und exportierbar, sodass Änderungen an Abfragen in Elasticsearch in Echtzeit angezeigt werden. Sie können die Datenanalyse in der Kibana-Benutzeroberfläche mit Hilfe von vorgefertigten Dashboards durchführen oder diese Dashboards in Echtzeit für die sofortige Datenanalyse aktualisieren.
Google Mail-Relay Mit dieser Option können E-Mails außerhalb der Organisation weitergeleitet werden.
MineMeld SEAL SIEM Monster bietet OSINT-Bedrohungsdaten (Open-Source Intelligence) zur Erfassung von Bedrohungen aus PA Minemeld-Feed-Aggregation und Unterstützung für BRO NIDS und SNORT. OSINT-Daten werden an das SIEM gesendet und von Sicherheitsanalytikern für die Vorhersage von Ereigniskontextangriffen, für Prävention und für Detektivkontrollen mit Echtzeitvisualisierung und Alarmierung verwendet
ElastAlert ElastAlert ist ein sekundäres Alert-System, das Elasticsearch mit konfigurierten Regeln abfragt. Es fragt Elasticsearch in Abhängigkeit vom Regeltyp regelmäßig ab, wodurch festgelegt wird, wann eine Übereinstimmung in Elasticsearch gefunden wird. Wenn eine Übereinstimmung auftritt, werden eine oder mehrere Warnungen ausgegeben, die auf Grundlage der Übereinstimmung Maßnahmen ergreifen. Dies wird durch einen Satz von Regeln konfiguriert, von denen jede eine Abfrage, einen Regeltyp und einen Satz von Alarmen definiert.
Open AudIT Ein Open Source-Tool für die Prüfung, Asset Management zur Priorisierung von Assets durch Opmantek.
MYSQL MySQL wird für die Konfiguration und Warnmeldungen des Alert-Tools 411 bereitgestellt.

MAKARA

Makaras Hauptfunktion ist die Rancher-Orchestrierung, das Web-Application-Front-End, die Analyse und Verarbeitung von NFS-Server- und Ereignisprotokollen aus der RabbitMQ-Nachrichtenwarteschlange, bevor der Elastic-Knoten von ES (ElasticSearch) Client 1 übergeben wird.

NAMENSURSPRÜNGE MAKARA

Makara ist ein Meerestier in der hinduistischen Kultur. Es wird im Allgemeinen als halbes terrestrisches Tier im vorderen Teil (Hirsch, Reh, Krokodil oder Elefant) und als halbes Wassertier im hinteren Teil dargestellt (normalerweise ein Fisch- oder Robbenschwanz, obwohl manchmal ein Pfau oder sogar ein Blumenschwanz dargestellt ist). Makara nimmt in ganz Asien viele verschiedene Formen an. In der hinduistischen Astrologie entspricht Makara dem Zeichen des Steinbocks, dem zehnten der zwölf Symbole des Tierkreises.

SOFTWARE-ÜBERSICHT GEPINNTE CONTAINER

Makara Funktion
Rancher Server Installation und Orchestrierung
Rancher Agent Rancher-Verbindung
Logstash Indexer Protokollabrufverarbeitung
Webserver-Frontend SEAL SIEM Monster Frontend Anwendung
Cadvisor + Nodevisor Docker Monitor- und Hostmetrics
Container Volume Mounts SEAL SIEM Monster-Datenspeicher für alle Serverkonfigurationen

DETAILTABELLE DER SOFTWAREFUNKTIONEN

Software Funktion
Rancher Server Rancher bietet Installationsmechanismus und Kubernetes Orchestration für nicht gepinnte Container, um sich auf Servern zu bewegen, um die Last auf bestimmten Servern zu minimieren.
Logstash Indexer Logstash hilft, Protokolle und andere zeitbasierte Ereignisdaten aus einem beliebigen System zu übernehmen und an einem einzigen Ort für die weitere Transformation und Verarbeitung zu speichern. Logstash löscht die Protokolle und analysiert alle Datenquellen in einem leicht lesbaren JSON-Format.
Cadvisor + Nodevisor Cadvisor überwacht die Nutzung und Leistung von Docker-Containern. Nodevisor überwacht Host-Metriken, z. B. Speicherplatz, CPU.
Container Volume Mounts NFS-Speicherort für alle SEAL SIEM Monster-Datenkonfigurationen zur einfachen Sicherung.
Rancher Agent Der Rancher Orchestration Agent wird von Makara kontrolliert.

PROTEUS SERVER

Die Proteus-Funktion in SEAL SIEM Monster besteht darin, eingehende Endpunktdaten einzulesen und zu verarbeiten, an den RabbitMQ-Nachrichtenbroker weiterzuleiten und das Hosting für die gepoolten Apps bereitzustellen.

NAMENSURSPRUNG PROTEUS

In der griechischen Mythologie ist Proteus ein früher Meeresgott oder ein Gott der Flüsse und ozeanischer Gewässer. Einige bezeichnen ihn als eine Domäne, die ihn als Gott des „schwer fassbaren Meereswandels“ bezeichnet, was auf die sich ständig ändernde Natur des Meeres oder die flüssige Wasserqualität im Allgemeinen schließen lässt. Er kann die Zukunft vorhersagen, aber in einem Mythem, der mehreren Kulturen vertraut ist, wird er seine Form ändern, um es nicht tun zu müssen; Er wird nur jemandem antworten, der ihn als Tier fangen kann. Aus diesem Merkmal von Proteus stammt das Adjektiv Protean mit der allgemeinen Bedeutung von „vielseitig“, „mutierbar“ und „fähig, viele Formen anzunehmen“. „Protean“ steht für Flexibilität, Vielseitigkeit und Anpassungsfähigkeit.

SOFTWARE-ÜBERSICHT GEPINNTE CONTAINER

Proteus Funktion
ES-Client-Knoten 1 Open Source, verteilte Echtzeit-Such- und Analyse-Engine
Logstash Collector Protokollabruf und -verarbeitung
SYSLOG – NG SYSLOG-Engine für eingehende Protokolle
OSSEC – WAZUH HIDS, Regelsätze, PCI-DSS, CIS-Benchmarks, forensische Analyse
Cadvisor + Nodevisor Cadvisor überwacht die Nutzung und Leistung von Docker-Containern. Nodevisor überwacht Host-Metriken, z. B. Speicherplatz, CPU.
NFS-Mount NFS-Mount zum Remote-Speichern von Containerdaten
Rancher Agent Rancher-Verbindung

DETAILTABELLE DER SOFTWAREFUNKTIONEN

Software Funktion
ES-Client 1 Elasticsearch läuft auf Proteus Client Node 1
Logstash Collector Logstash hilft, Protokolle und andere zeitbasierte Ereignisdaten aus einem beliebigen System zu übernehmen und an einem einzigen Ort für die weitere Transformation und Verarbeitung zu speichern. Logstash löscht die Protokolle und analysiert alle Datenquellen in einem leicht lesbaren JSON-Format.
SYSLOG – NG SYSLOG-NG ermöglicht die Datenaufnahme von Syslog-Geräten wie Routern und Firewalls.
OSSEC – WAZUH Host Intrusion Detection Server Aufnahme von Clients für SIEM-Korrelation und -Warnung.
Cadvisor + Nodevisor Cadvisor überwacht die Nutzung und Leistung von Docker-Containern. Nodevisor überwacht Host-Metriken, z. B. Speicherplatz, CPU.
NFS-Mount NFS-Mount zum Speichern von Konfigurations- und Serverdaten auf Makara
Rancher Agent Der Rancher Orchestration Agent wird von Makara kontrolliert.

PROTEUS UND ENDBENUTZERAGENTEN

Proteus empfängt Protokolle von allen Windows-, Linux-, Anwendungs- und Hardwarekomponenten, die Syslogs bereitstellen. Agenten bieten TLS/SSL-Verschlüsselung mithilfe gekaufter Zertifikate oder interner selbstsignierter Zertifikate oder Eigentumstitel im OVA-Image. Durch die Verwendung dieser Verschlüsselung und anderer Methoden ist das Produkt Elastic Shield nicht erforderlich, sodass der Support kostenlos ist.

Vorkonfigurierte Nxlog-Agenten mit SSL-Zertifikaten werden für Windows-Hosts verwendet, um Protokolle zu sammeln und an Proteus TCP-Ports 3520-3529 zu senden

Auf Linux-Hosts werden vorkonfigurierte Filebeat-Agenten mit SSL-Zertifikaten zum Sammeln von Protokollen und zum Senden an Proteus TCP-Ports 3520-3529 verwendet

Hosts, die keinen Agenten wie Netzgeräte unterstützen, können so konfiguriert werden, dass sie alle Warnmeldungen SYSLOGs (0,1,2,3,4+), UDP-Ports 514/1516 und TCP 1516,55000, an Proteus senden, auf dem Syslog-ng installiert ist um diese Protokolle zu sammeln.

CAPRICORN SERVER

Capricorn-Funktion in SEAL SIEM Monster ist ein Elastic Client Node 2 sowie Hosting für alle gepoolten Apps.

NAMENSURSPRUNG CAPRICORN

Die Babylonier verbanden das Tierkreiszeichen und das Sternbild mit dem mythologischen Tier, einer Art Meerjungziege. Sie nannten es den Ziegenfisch. Hier ist ein Merkmal der Ziege, das in unserem Verständnis dieses Zeichens besondere Aufmerksamkeit verdient. Der Name „Capricorn“ lenkt unsere Aufmerksamkeit auf ihn und stammt von der lateinischen Kapriole („Ziege“) und dem Cornu („Horn“) – wörtlich „dem Ziegenhorn“. In der Antike waren Hörner Symbole für Könige, Kraft und Macht sowie Fruchtbarkeit und Überfluss. Cornucopia in der Mythologie war die Ziege Amalthea, die den Säugling Jupiter mit ihrer Milch ernährte, obwohl der Begriff heute als „reiches Horn“ oder „Füllhorn“ verwendet wird, das Wohlstand und Wachstum symbolisiert. Die Ziege ist eine der drei gehörnten Kreaturen im Tierkreis; Dies waren auch die Kreaturen, die in alten religiösen Festen gefeiert und als Opfer verwendet wurden, um die Macht der Götter zu gewinnen. Die Verwendung der Ziege als „Sündenbock“ im biblischen Ritual der Versöhnung (die Sterngeschichte des Steinbocks) hat dazu geführt, dass sich Ziegengottheiten als Ikonen der bösen okkulten Kräfte und nicht als neutrale Symbole irdischer Fruchtbarkeit und gebündelter Kraft etablierten, wie im Altertum üblich.

SOFTWARE-ÜBERSICHT GEPINNTE CONTAINER

Capricorn Funktion
ES-Client 2 Open Source, verteilte Echtzeit-Such- und Analyse-Engine
ES Master Open Source, verteilte Echtzeit-Such- und Analyse-Engine
NGINX NGINX bietet HTTPS-Dienste sowie Reverse-Proxy
SearchGuard Elastic Security
SearchGuard Admin Admin für Searchguard
Cadvisor + Nodevisor Cadvisor überwacht die Nutzung und Leistung von Docker-Containern. Nodevisor überwacht Host-Metriken, z. B. Speicherplatz, CPU.
NFS-Mount NFS-Mount zum Remote-Speichern von Containerdaten
Rancher Agent Rancher-Verbindung

DETAILTABELLE DER SOFTWAREFUNKTIONEN

Software Funktion
ES-Client 2 Elasticsearch läuft auf Capricorn Client Node 2
ES- Master Der Elasticsearch Master-Knoten läuft auf Capricorn
SearchGuard SearchGuard ist ein Elasticsearch-Plugin, das Verschlüsselung, Authentifizierung und Autorisierung bietet. Es baut auf Search Guard SSL auf und bietet zusätzlich nutzbare auth/auth-Module. Search Guard ist eine Alternative zu ES Shield und bietet alle grundlegenden Sicherheitsfunktionen kostenlos. Wenn Sie Unternehmensfunktionen benötigen, bieten wir ein sehr flexibles Lizenzmodell und Support. Auf Ihre Bedürfnisse zugeschnitten, wenn keines unserer Pakete passt.
SearchGuard Admin Docker-Container namens ES_master, der Searchguard Admin bereitstellt
Cadvisor + Nodevisor Cadvisor überwacht die Nutzung und Leistung von Docker-Containern. Nodevisor überwacht Host-Metriken, z. B. Speicherplatz, CPU.
NFS-Mount NFS-Mount zum Speichern von Konfigurations- und Serverdaten auf Makara
Rancher Agent Der Rancher Orchestration Agent wird von Makara kontrolliert.

KRAKEN

Die Hauptfunktion von Kraken ist der Cluster Node 1 Elastic, der alle Ihre langfristigen SIEM-Daten in der Datenbank speichert. Wenn ein Benutzer eine Kibana-Suche durchführt. „Alle Benutzer, die das Wort vertraulich in einer E-Mail verwendet haben, die an eine externe E-Mail-Domäne gesendet wird.“ Die Elasticsearch-Datenbank wird die Einträge suchen und dem Benutzer die Suche in Kibana anzeigen. Der Cluster-Knoten 2 mit dem Namen Tiamat ist identisch und bietet Redundanz für Kraken. Den Zustand und die Kontrolle des Clusters übernimmt Proteus. Bei einem Hardwarefehler kann ein Clusterknoten offline gebracht und durch einen anderen ersetzt werden.

NAMENSHERKUNFT KRAKEN

Der Kraken ist ein legendäres Seemonster von riesiger Größe, das vor den Küsten Norwegens und Grönlands leben soll. Mehrere Autoren haben im Laufe der Jahre postuliert, dass die Legende aus Sichtungen von riesigen Tintenfischen entstand, die bis zu 12 bis 15 Meter (40 bis 50 Fuß) lang werden können, obwohl die Kreatur in den ursprünglichen Geschichten nicht mit Tentakeln beschrieben wurde, sondern eher einem Wal oder einer Krabbe ähnelte. Die schiere Größe und das furchterregende Aussehen, das dem Kraken zugeschrieben wird, hat ihn zu einem oft genannten, in Meeren lebenden Monster in verschiedenen fiktionalen Werken gemacht.

SOFTWARE-ÜBERSICHT GEPINNTE CONTAINER

Kraken Funktion
Elastic Search – ES-Datenknoten 1 Open Source, verteilte Echtzeit-Such- und Analyse-Engine Version 5.5.2
SearchGuard Elastic Security
Cadvisor + Nodevisor Cadvisor überwacht die Nutzung und Leistung von Docker-Containern. Nodevisor überwacht Host-Metriken, z. B. Speicherplatz, CPU.
NFS-Mount NFS-Mount zum Remote-Speichern von Containerdaten
Rancher Agent Rancher-Verbindung

DETAILTABELLE DER SOFTWAREFUNKTIONEN

Software Funktion
Elastic Search Elasticsearch ist eine flexible und leistungsstarke Open-Source-Such- und Analyse-Engine in Echtzeit. Elasticsearch wurde von Grund auf für den Einsatz in verteilten Umgebungen konzipiert, in denen Zuverlässigkeit und Skalierbarkeit unerlässlich sind. Mit Elasticsearch können Sie problemlos über die Volltextsuche hinausgehen.
SearchGuard SearchGuard ist ein Elasticsearch-Plugin, das Verschlüsselung, Authentifizierung und Autorisierung bietet. Es baut auf Search Guard SSL auf und bietet zusätzlich nutzbare auth/auth-Module. Search Guard ist eine Alternative zu ES Shield und bietet alle grundlegenden Sicherheitsfunktionen kostenlos. Wenn Sie Unternehmensfunktionen benötigen, bieten wir ein sehr flexibles Lizenzmodell und Support. Auf Ihre Bedürfnisse zugeschnitten, wenn keines unserer Pakete passt.
Cadvisor + Nodevisor Cadvisor überwacht die Nutzung und Leistung von Docker-Containern. Nodevisor überwacht Host-Metriken, z. B. Speicherplatz, CPU.
NFS-Mount NFS-Mount zum Speichern von Konfigurations- und Serverdaten auf Makara
Rancher Agent Der Rancher Orchestration Agent wird von Makara kontrolliert.

TIAMAT

Die Hauptfunktion von Tiamat ist der Cluster Node 2 Elastic, der alle Ihre langfristigen SIEM-Daten in der Datenbank speichert. Wenn ein Benutzer eine Kibana-Suche durchführt. „Alle Benutzer, die das Wort vertraulich in einer E-Mail verwendet haben, die an eine externe E-Mail-Domäne gesendet wird.“ Die Elasticsearch-Datenbank wird die Einträge suchen und dem Benutzer die Suche in Kibana anzeigen. Der Cluster-Knoten 1 mit dem Namen Kraken ist identisch und bietet Redundanz für Tiamat. Den Zustand und die Kontrolle des Clusters übernimmt Makara. Bei einem Hardwarefehler kann ein Clusterknoten offline gebracht und durch einen anderen ersetzt werden.

NAMENSHERKUNFT TIAMAT

Tiamat ist eine Urgöttin des Ozeans und paart sich mit Abzû (dem Gott des Süßwassers), um jüngere Götter hervorzubringen. Sie ist das Symbol des Chaos der Urschöpfung, dargestellt als Frau, sie stellt die Schönheit des Weiblichen dar, dargestellt als das Glitzernde. Es wird vorgeschlagen, dass der Mythos von Tiamat zwei Teile hat, den ersten, in dem Tiamat ein Schöpfer ist Göttin, durch eine „heilige Ehe“ zwischen Salz und Süßwasser, die den Kosmos durch aufeinander folgende Generationen friedlich schafft. Im zweiten „Chaoskampf“ gilt Tiamat als die monströse Verkörperung des Urchaos. Einige Quellen identifizieren sie mit Bildern einer Seeschlange oder eines Drachen.

SOFTWARE-ÜBERSICHT GEPINNTE CONTAINER

TIAMAT Funktion
Elastic Search – ES-Datenknoten 2 Open Source, verteilte Echtzeit-Such- und Analyse-Engine Version 5.5.2
SearchGuard Elastic Security
Cadvisor + Nodevisor Cadvisor überwacht die Nutzung und Leistung von Docker-Containern. Nodevisor überwacht Host-Metriken, z. B. Speicherplatz, CPU.
NFS-Mount NFS-Mount zum Remote-Speichern von Containerdaten
Rancher Agent Rancher-Verbindung

DETAILTABELLE DER SOFTWAREFUNKTIONEN

Software Funktion
Elastic Search Elasticsearch ist eine flexible und leistungsstarke Open-Source-Such- und Analyse-Engine in Echtzeit. Elasticsearch wurde von Grund auf für den Einsatz in verteilten Umgebungen konzipiert, in denen Zuverlässigkeit und Skalierbarkeit unerlässlich sind. Mit Elasticsearch können Sie problemlos über die Volltextsuche hinausgehen.
SearchGuard SearchGuard ist ein Elasticsearch-Plugin, das Verschlüsselung, Authentifizierung und Autorisierung bietet. Es baut auf Search Guard SSL auf und bietet zusätzlich nutzbare auth/auth-Module. Search Guard ist eine Alternative zu ES Shield und bietet alle grundlegenden Sicherheitsfunktionen kostenlos. Wenn Sie Unternehmensfunktionen benötigen, bieten wir ein sehr flexibles Lizenzmodell und Support. Auf Ihre Bedürfnisse zugeschnitten, wenn keines unserer Pakete passt.
Cadvisor + Nodevisor Cadvisor überwacht die Nutzung und Leistung von Docker-Containern. Nodevisor überwacht Host-Metriken, z. B. Speicherplatz, CPU.
NFS-Mount NFS-Mount zum Speichern von Konfigurations- und Serverdaten auf Makara
Rancher Agent Der Rancher Orchestration Agent wird von Makara kontrolliert.

IKUTURSO

Die Rolle von Ikuturso ist ein Netzsensor, der von SIEM entfernt in einer DMZ oder einem Netzrand platziert ist und BRO, LOGSTASH, RabbitMQ und Suricata mit der Fähigkeit verwendet, bekannten Verkehr mit Threat Intelligence zu blockieren. Es bietet auch forensische Funktionen für bekannte Angriffe mit eingehender Prüfung von Anwendungen und Netzpaketen.

NAMENSHERKUNFT IKU TURSO

Iku Turso ist ein berühmtes Monster in der finnischen Mythologie. Iku Turso wurde als böses Seeungeheuer beschrieben und stammt aus dem 16. Jahrhundert. Iku Turso wurde als viele verschiedene Dinge beschrieben, symbolisierte jedoch hauptsächlich Tod und das Böse. Auf Finnisch wird das Wort für Oktopus (merituras) nach Iku Turso benannt, und im 2. Weltkrieg nannten die Finnen eines ihrer U-Boote Iku Turso.

Das Erscheinungsbild von Iku Turso wird auf vielfältige Weise beschrieben. Einige sagen, er ist tausendköpfig oder tausendhörnig oder er sei der, der am Rand lebt. In der finnischen Mythologie ist er als Ochse des Todes, Kriegsgott und Dämon der Krankheiten bekannt. Er wird in gewisser Weise als Krieger angesehen, aber insgesamt symbolisiert er das Böse. Er soll aus dem hohen Norden des Landes Pohjola stammen, das (laut finnischer Mythologie) für immer kalt ist und das Herz allen Übels ist.

ÜBERSICHTSTABELLE DER SOFTWAREFUNKTIONEN

Ikuturso Funktion
SURICATA Netzpaketanalyse
BRO IDS Paketprüfungs-Netz-Tool
RabbitMQ Messaging-Warteschlangendienst
Logstash Collector Protokollabruf und -verarbeitung

DETAILTABELLE DER SOFTWAREFUNKTIONEN

Software Funktion
SURICATA Netzpaketanalyse
BRO Bro ist ein leistungsfähiges Netzanalyse-Framework, das standortspezifische Überwachungsrichtlinien bereitstellt, die nicht auf bestimmten Netzsignaturen basieren. Es bietet Forensics-Funktionen mit vollständiger Netzprotokollierung.

.

RabbitMQ Messaging-Warteschlangendienst
Logstash Collector Protokollabruf und -verarbeitung

HYDRA (KOMMERZIELLE OPTION VON AWS)

Hydra wird von SEAL SIEM Monster als Server verwendet, der Protokolle bei einem Kunden sammelt, der SIEM als Service benötigt. Anstatt, dass alle Endpunkte des Kunden Protokolle direkt in den AMAZON VPC-Tunnel senden, sammelt Hydra alle Protokolle, um eine korrekte Warteschlange zu gewährleisten, und speichert die SIEM-Protokolle im Falle eines Cloud-Ausfalls, bis sie wieder online ist. Anschließend leitet Hydra das SIEM-Ereignis an Amazon AWS an Proteus/Capricorn und Kraken/Tiamat weiter.

NAMENSURSPRUNG HYDRA

Die Hydra oder Hydra von Lerna, die häufig nur als Hydra bezeichnet wird, war in der griechischen und römischen Mythologie ein Seeschlangen-Monster. Ihre Heimat war der See von Lerna im Argolid, in dem sich auch der Mythos der Danaiden befand. Lerna war angeblich ein Eingang zur Unterwelt, und die Archäologie hat es als heilige Stätte etabliert, die älter als der mykenische Argos ist. Im kanonischen Hydra-Mythos wird das Monster von Herakles mit Schwert und Feuer als das zweite seiner zwölf Mühen getötet. Nach Hesiod war die Hydra die Nachkommenschaft von Typhon und Echidna. Sie besaß viele Köpfe, deren genaue Anzahl je nach Quelle variiert. Spätere Versionen der Hydra-Geschichte fügen dem Monster eine Regenerationsfunktion hinzu: Für jeden abgeschlagenen Kopf würde die Hydra einen oder mehrere Köpfe nachwachsen lassen. Die Hydra hatte einen giftigen Atem und Blut, das so virulent war, dass sogar der Geruch tödlich war.

ÜBERSICHTSTABELLE DER SOFTWAREFUNKTIONEN

Hydra Funktion
Logstash Protokollabrufverarbeitung
RabbitMQ Message-Warteschlange
OpenVPN OpenVPN-Client-Software
OSSEC WAZUH OSSEC WAZUH HIDS Software
SYSLOG-NG Sammeln von Syslogs von proprietären Geräten

DETAILTABELLE DER SOFTWAREFUNKTIONEN

Software Funktion
Logstash Logstash hilft, Protokolle und andere zeitbasierte Ereignisdaten aus einem beliebigen System zu übernehmen und an einem einzigen Ort für die weitere Transformation und Verarbeitung zu speichern. Logstash löscht die Protokolle und analysiert alle Datenquellen in einem leicht lesbaren JSON-Format.
RabbitMQ RabbitMQ wird als Puffer-Trichter-Header verwendet, der den schnellen und ordnungsgemäßen Datenfluss aus Tausenden von Endpunktquellen ermöglicht und das in einer geordneten Rate speichert und in das SIEM einfließt.
OpenVPN OpenVPN-Client-Software zum Ermöglichen des verschlüsselten Datenverkehrs zwischen Datencentern oder AWS/AZURE-Infrastruktur, wenn Direct Connect nicht vorhanden ist.
OSSEC WAZUH OSSEC WAZUH HIDS Software
SYSLOG-NG Sammeln von Systemprotokollen von proprietären Geräten.

nächster Artikel: Hauptkomponenten ELK (Elasticsearch, Logstash, Kibana)