Den Schutz vor Angreifern und Malware hat sich IT-Administrator im März auf die Fahnen geschrieben. So lesen Sie in der Ausgabe, mit welchen Handgriffen Sie ... (mehr)

Loganalyse

Mit Prelude-LML kommt nun der erste Prelude-Agent zum Einsatz. Er ist in der Lage, eine Vielzahl unterschiedlicher Logdateien auszuwerten und ein­zelne Meldungen als IDMEF-Events an den Prelude-Manager zu senden. Prelude-LML kann dabei sowohl die lokalen Logdateien verarbeiten wie auch selbst als Syslog-Server auftreten und so Logmeldungen von anderen Systemen empfangen. Hierzu zählen beispielsweise andere Linux- und Unix-Systeme, Router, Switche und Firewalls. Eine genaue Übersicht der mit Prelude-LML kompatiblen Komponenten findet sich unter [7]. Die jeweiligen Formate der einzelnen Logdateien und wie sie zu verarbeiten sind, lässt sich Prelude-LML über die Konfigurationsdatei "/etc/prelude-lml/prelude-lml.conf" beibringen.

Das Paket installieren Sie mit »yum install prelude-lml« aus dem Prelude Software Respository und melden den Agenten anschließend bei Prelude an. Hierzu starten Sie auf dem Management-System wieder den Registrierungsdienst:

# prelude-admin registration-server prelude-manager

In einem anderen Terminal oder dem Host, auf dem der Agent installiert wurde, schließen Sie dann die Registrierung mit dem soeben erzeugten Passwort des Registrierungsdienstes ab:

# prelude-admin register "prelude-lml" "idmef:w" 127.0.0.1 --uid 0 --gid 0

Hat das geklappt, aktivieren Sie den Service mit »service prelude-lml start« . Beim Aufruf der Prewikka-Webanwendung sollten nun erste Meldungen zu sehen sein (Bild 4).

Bild 4: Prewikka zeigt Meldungen aus verschiedenen Logdateien an.

Netzwerk-Sensor Snort

Um über verdächtige Aktivitäten im Netzwerk informiert zu werden, lässt sich das bekannte Netzwerk-Intrusion-Detection-System Snort als Prelude-Agent konfigurieren. Snort ist eine Art Sniffer, der den Netzwerk-Verkehr auf verdächtige Pakete hin überprüft. Solche Pakete identifiziert Snort anhand von Signaturen. Aktuelle Signaturdateien sind über eine kostenpflichtige Subskription zu beziehen [8], wobei auch kostenfreie Signaturen angeboten werden, die aber meist weniger aktuell sind. Wir gehen an dieser Stelle davon aus, dass eine Snort-Installation bereits vorhanden ist. Zur Integration in Prelude führen Sie in der Konfigurationsdatei "/etc/snort/snort.conf" ein neues Output Target auf:

output alert_prelude: profile=snort

Danach startet erneut das bereits bekannte Spiel: Melden Sie den neuen Sensor mit Hilfe des Registrierungsdienstes auf dem Prelude-Management-System an, und schon ist er als Prelude-Agent einsatzbereit. Nach der Änderung der Snort-Konfigurationsdatei müssen Sie das IDS neu starten, bevor es Meldungen an Prelude sendet.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2018

Microsite