Thematischer Schwerpunkt dieser Ausgabe ist die kontinuierliche Überwachung von Servern, Clients und anderen Geräten im Netzwerk: mit dem IPMI-Plugin, dem ... (mehr)

Der Aufbau eines Plugin

Jedes Korrelations-Plugin enthält eine Datei namens »setup.py« , die für die Installation des Plugin verantwortlich ist. Listing 1 zeigt den Inhalt der Datei. Um ein eigenes Plugin zu erstellen, braucht der Admin lediglich die Namen »PortscanGeoinfoPlugin« und »portscangeoinfoplugin« anzupassen, optional korrigiert er auch die Felder »description« , »author« und »version« . Im Beispiel liegt der Code des Plugin im Ordner »portscangeoinfoplugin« . Hier akzeptiert das Skript auch Platzhalter: Wer in das Setupskript die Zeile

Listing 1

setup.py

 

 

einfügt, verweist auf das Plugin »My_plug- in« im Verzeichnis »Directory« , »python setup.py build« und »python setup.py install« installieren es schließlich.

Jetzt sind noch folgende Zeilen in die Datei »/etc/prelude-correlator/prelude-correlator.conf« einzufügen, um das Plugin beim Start des Korrelators zu aktivieren:

 

Im so gewählten Plugin-Ordner liegen die Dateien »init.py« und »main.py« (Listing 2). Die Datei »init.py« enthält nur eine Zeile mit dem Namen des Plugin:

 

Das Plugin Portscangeoinfo zeigt die großen Möglichkeiten, die die Korrelator-Engine von Prelude bietet: Die Popen-Funktion bindet Konsolenprogramme und deren Ausgaben ein.

Volle Netzwerkkontrolle

Mit Hilfe der beschriebenen Kombination von NIDS und HIDS als Sensoren von Prelude lassen sich alle Informationen des Netzwerks, darunter auch die von Syslog-fähigen Endgeräten, über ein zentrales Webinterface analysieren. Egal ob Windows-Rechner, Cisc-Router oder der Linux-Server, alle Maschinen im Rechenzentrum lassen sich damit in die zentrale Überwachung integrieren.

Wer dann noch mit individuellen Plugins die Informationen gesammelt in übersichtlichen Korrelationsalarmen in Prewikka darstellen lässt, macht es jedem Angreifer schwer, lange unbemerkt zu bleiben.

Der Autor

David Rupprechter ist IT-Techniker beim führenden österreichischen Systemintegrator und befasst sich auf http://www.dotlike.net mit IT-Sicherheit, Netzwerktechnik, Programmierung und Linux.

comments powered by Disqus
Mehr zum Thema

Das SIEM Prelude

IT-Sicherheitssysteme bestehen klassischerweise aus mehreren Komponenten. Ein umfangreiches Security-Information- und -Event-Management-System darf dabei nicht fehlen. Die Open-Source-Software Prelude fällt in diese Kategorie. Dieser Artikel schaut sich die Funktionsweise des Systems an und hilft dabei, einen Einstieg zu finden.

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite