SEAL SIEM Monster – Funktionsüberblick

vPierre Automation, AWS (Amazon Web Services), Cloud, Cloud Computing, Compliance, DevOps, DevSecOps, Microsoft Azure, SEAL Kit, SEAL SIEM Monster, Sicherheit / Security, vSphere

HIGH LEVEL-ÜBERBLICK

Die SEAL SIEM Monster-Architektur basiert auf Ereignissen, die von Endpunkten innerhalb der Organisation ausgeliefert, in die Warteschlange gestellt und verarbeitet werden. Warnmeldungen basieren auf Regeln, die nur mit Open-Source-Produkten gespeichert und anschließend visualisiert werden. Datenquellen können beliebige Geräte sein. Alles, was eine Warnung, ein Syslog oder einen Agenten erzeugt, kann erfasst, korrekt formatiert und zur Analyse an Security Information and Event Management (SIEM) gesendet werden. Dazu gehören Netz-Anwendungen, Windows/Linux-Server, Anwendungen, Sicherheits-Anwendungen und SCADA. Die Ereignisse werden gefiltert und gespeichert. OSINT weist den Bediener auf bekannte Angriffs-IPs und -Muster aus der ganzen Welt hin. Die SEAL SIEM Monster-, 411- und OSSEC-Regeln werden Verstöße oder Nichteinhaltung von Vorschriften und Warnungen erkennen.

HIGH LEVEL STACK IN AWS

HIGH LEVEL OPEN SOURCE-KOMPONENTEN

SEAL SIEM MONSTER HIGH LEVEL ARCHITEKTUR ENDPUNKT AN SEAL SIEM MONSTER

SEAL SIEM MONSTER LOG FLOW

SEAL SIEM MONSTER NFS MOUNTS

SEAL SIEM MONSTER COMMERCIAL EDITION ÜBERBLICK

SEAL SIEM MONSTER ALS SERVICE EDITION MIT SEAL HYDRA EDITION

SEAL SIEM MONSTER HIGH LEVEL ARCHITEKTUR-DOCKER

CORE OS

SEAL SIEM Monster hat CoreOS als Standardbetriebssystem für den SEAL SIEM Monster Build ausgewählt. Selbstverständlich können Sie Ihr eigenes Betriebssystem wählen. SEAL SIEM Monster hat in den letzten 18 Monaten Betriebssysteme und Containersysteme getestet, um das richtige Betriebssystem in Bezug auf Leistung und Stabilität zu finden. CoreOS hat diese Kriterien erfüllt.

CoreOS ist ein leichtes Linux-Betriebssystem, das für Cluster-Bereitstellungen konzipiert wurde und Automatisierung, Sicherheit und Skalierbarkeit für Ihre wichtigsten Anwendungen bietet. CoreOS Container Linux (nun bei Red Hat) ist das führende Container-Betriebssystem, das mit einem minimalen betrieblichen Aufwand in großem Umfang verwaltet und betrieben werden kann. Anwendungen mit Container Linux werden in Containern ausgeführt und bieten entwicklerfreundliche Tools zum Bereitstellen von Software. Container Linux kann auf nahezu jeder Plattform ausgeführt werden, egal ob physische, virtuelle oder private/öffentliche Cloud. Aus diesem Grund haben wir uns für diese Plattform entschieden. Sie war ideal für VMware-, Bare-Metal- oder Multi-Cloud-Anbieter wie AWS und Azure.

Die momentan genutzte Version für Deployments ist CoreOS stable 1576.5.0 (CPU-Offenlegung des Kernelspeichers für den Benutzerprozess (CVE-2017-5754, Meltdown) mit NFS-Unterstützung.

CONTAINER

Container sind der Schlüssel zum modernen Rechenzentrum. Für Entwickler war es nie einfacher, neue Anwendungsversionen zu versenden. Container lassen sich leicht in Ihre CI/CD-Pipeline einbinden, um mit einem Prüfprotokoll automatisiert zu bauen, zu testen und bereitzustellen.

Hybridinfrastruktur erfordert Container – Container sind das konsistente, tragbare Objekt, das sicher zwischen Umgebungen transportiert werden kann. Die Tools, die dies erreichen, sind Open Source und werden von Standards gesteuert, sodass Sie eine wirklich herstellerneutrale Lösung erhalten.

Die Container-Engine-Docker sind sofort einsatzbereit, um Ihre Anwendungen auszuführen. Durch den kontinuierlichen Aktualisierungsstrom werden Docker automatisch und kontinuierlich mit dem Betriebssystem aktualisiert.

SEAL SIEM MONSTER HIGH LEVEL POOLING

Bei den mit (Container Pool) gekennzeichneten Elementen handelt es sich um Containerdienste, die automatisch innerhalb des Clusters bereitgestellt werden, bis die verfügbaren Ressourcen verfügbar sind. Dies ist so konzipiert, damit ein Server bei einer zu geringen Auslastung Dienste verschieben kann, um die Arbeitslast zu verteilen. Kraken und Tiamat erlauben es nicht, dass sich Container in den Pool bewegen. Jeder Server verfügt über eine Reihe von Standardinstallationsdiensten in grün markiert. Diese sind für die Erstellung einschließlich NFS-Mount-Punkten und Rancher-Agents unerlässlich. Die mit (gepinnt) gekennzeichneten Elemente sind Dienste, die für die feste Bereitstellung bestimmt sind.

ÜBERBLICK ÜBER DIE FUNKTIONSARCHITEKTUR – SOFTWARE STACK

Die Lösung musste vollständig skalierbar, Open Source und ausnahmslos kostenlos sein. SEAL SIEM Monster können Sie ohne Datenbeschränkungen kostenlos und für so viele Knoten/Cluster verwenden, wie Sie benötigen.

Zweck Beschreibung
Protokollabruf Filebeat, Syslog, NXlog, OSSEC
Prozess RabbitMQ, Logstash, Kustodian
Intrusion Detection OSSEC mit Wazuh Fork
Regeln, Lagerung, Alarmierung Logstash, Elasticsearch, 411, Kustodian. OSSEC Wazuh Fork
Sicherheit SearchGuard, Firewalls & Lockdowns
Audit und Entdeckung Open AudIT von Opmantek
Threat Intelligence Mine Meld, Open Source Feed-Aggregation
Visualisierung Kibana, Slack, Dradis IDE
Sicherungsskripte, Wartung Von Kustodian erstellte AWS Glacier Backups, Archivierung und Wiederherstellung
Scannen nach Sicherheitslücken Verwenden Sie OpenVAS oder verwenden Sie Ihren eigenen kommerziellen Scanner, einschließlich Dradis IDE
Ticketing 411/FIR-Vorfallreaktion

REGELSÄTZE

Es wurden vorkonfigurierte Alarm-Regelsätze erstellt, die Sie verwenden können. Außerdem sind integrierte Regeln aus der Community enthalten. Wenn Sie beispielsweise wissen möchten, wann ein Benutzer der Domänenadministratorgruppe hinzugefügt wird, wird eine Warnung ausgegeben, oder wenn eine PCI-DSS-Umgebung offenes Telnet in der Umgebung einer Karteninhaberdaten-Umgebung erkannt hat.

Musterregelsätze als Beispiele

Regelname Beschreibung
Einloggen Ein Benutzer meldet sich innerhalb von 60 Minuten zehn Mal oder öfter falsch an
Trojaner Ein Trojaner-Virus bricht bei mehr als x Ereignissen pro Stunde aus
DDOS Ein Webserver erleidet einen Denial-of-Service-Angriff, wenn die Ereignisrate einen festgelegten Grenzwert überschreitet
Benutzersperre Die Rate der Benutzersperrungen liegt über einem festgelegten Grenzwert, was auf einen Brute-Force-Angriff hindeutet
Benutzerrechte erhöhen Ein Benutzer fügt einen anderen Benutzer einer Domänenadministrator- oder Administratorgruppe hinzu.
Seltsame Netzaktivität Anomale Netzaktivitätserkennung außerhalb der erwarteten Muster
E-Mail-Inbox beeinträchtigt Ein Benutzer meldet sich bei OWA von mehreren IPs in verschiedenen Ländern an
Redundantes Personal Eine überflüssige Mitarbeitergruppe, in der Sie IP abrufen können, wenn diese Ihr Unternehmen innerhalb von 4 Wochen verlassen.
Benutzerdefinierte Benachrichtigungen Alles kann in eine Benachrichtigung über eine E-Mail, eine Dashboard-Benachrichtigung oder eine SMS umgewandelt werden
E-Mail Benutzer, die das Wort „Vertraulich“, „Top Secret“, „privat“ an einen Absender einer externen Organisation oder ihr eigenes persönliches Hotmail/Gmail-Konto verwenden, verstoßen gegen die Unternehmensrichtlinien

SEAL SIEM MONSTER FUNCTIONAL TECH/METRICS ÜBERBLICK

Die folgenden Messgrößen sind die typische Unternehmensgröße von 10.000 bis 20.000 Plätzen mit 3000+ überwachten Endpunkten als Basis ausgelegt.

Das Sizing basiert auf einer Ereignisrate von 50 Millionen Ereignissen pro Stunde, die mit einem Zeitrahmen von 30 Tagen für offene Indizes nach oben skalierbar ist. Datenspeichervolumen basierend auf 6-monatigen Daten, die vor Ort/wöchentliche Snapshots und Datenarchiv in AWS Glacier/S3 verwaltet werden.

Equipment:

  • Serverinstanzen Redundanter ES-Cluster bestehend aus
  • 3x Orchestration Server – AWS-Typ T2.large, 2-Kern-CPU. (Makara)
  • 1x ES Nicht-Datenmasterberechtigt, OSSEC-Server – AWS-Typ M4.2Xlarge, 8-Kern-CPU, 32 GB Speicher (Proteus)
  • 1x Alerting/Kibana/Reporting/OSINT-Knoten AWS-Typ M4.2Xlarge, 8-Kern-CPU, 32 GB Speicher (Capricorn)
  • 4x ES-Datenknoten – AWS-Typ M4.4Xlarge, 16-Kern-CPU, 64 GB Speicher (Kraken x2, Tiamat x2)
  • 4x Logstash/RabbitMQ/SearchHead Server – AWS Typ M4.2Xlarge, 8-Kern-CPU, 32GB Speicher

Beispiel von Überwachungsaspekten:

  • Sicherheitsereignisprotokolle für mehrere Domänencontroller
  • Externe Websites IIS & Apache
  • Exchange-OWA und Nachrichtenverfolgung
  • Mehrere CISCO-Geräte
  • IPS-Geräte
  • VPN-Konzentratoren
  • Daten zur internen Sicherheitsanfälligkeitsanalyse
  • Bluecoat Proxy
  • Ironport Firewalls
  • McAfee ePO Orchestrator
  • OSSEC HIDS-Daten
  • Jedes Gerät, auf dem ein Protokoll, ein Syslog-SNMP oder ein Agent installiert ist.

Alerting – Ereignisse und Metriken – Beispiel:

  • Administratoraktionen
  • Anmeldefehler
  • Anomale Aktivität – Spikes/Flatlines
  • Brute Force-Angriffe
  • Mehrere Anmeldequellen-IPs
  • E-Mail-Phishing und Virenangriffe
  • Denial of Service-Angriffe
  • Hacking-Versuche für Webanwendungen
  • Honeypot-Aktivität
  • HIDS
  • Virusausbrüche
  • Heartbeat

Visualisierung: Beispiel von Dashboards für die Ereignisvisualisierung

  • SOC-Dashboard mit Ausfällen relevanter DC-Sicherheitsereignisse
  • Microsoft Exchange-Dashboards 2007, 2010-2013 für die Protokollierung
  • Exchange-OWA-Aktivität
  • Externe Website-Dashboards für IIS und Apache
  • CISCO
  • IPS
  • Antivirus
  • OSSEC HIDS
  • Bluecoat Proxy
  • Threat Intelligence OSINT
  • Syslog
  • Daten zur Sicherheitsanfälligkeit
  • Alles, was protokolliert wird, können Sie visualisieren

nächster Artikel: Virtuelle Hardware