Entlastung

Die Zahl der zur Überwachung konfigurierten Events und die Frequenz, in der sie abgefragt werden, tragen zur Last auf dem zentralen Splunk-System bei. Wählen Sie nur die Events aus, die Sie auch wirklich brauchen, und fangen Sie lieber mit weniger an als mit zu viel. Wählen Sie als Beispiel einmal »Users | Successful User Logins« (Abbildung 1). Das ist auch eine gute Audit-Übung, denn ein Angreifer kann durchaus mal einen existierenden Account verwenden, was in diesem Fall bei der Überwachung hoffentlich auffiele.

Abbildung 1: Erfolgreiche Logins auf einem per Splunk überwachten Unix-System.

Der Snare-Agent für Windows [5] ist ein Programm der Intersect Alliance, das sich für heterogene Umgebungen eignet. Snare konvertiert Windows-Events ins Syslog-Format, um sie auf entsprechenden Unix-Servern zentral zu sammeln. Mehr Informationen dazu gibt die Intersect-Alliance-Website.

Es gibt für Windows zwei Versionen des Snare-Agenten. Die Unterscheidung ist wichtig und hat mit der verwendeten Windows-Version zu tun. Das für Windows XP oder Windows 2003 gedachte Snare interagiert mit dem darunterliegenden Windows-Eventlog, überträgt die Logdaten an Syslog und ist auch für 64-Bit-Varianten von Windows verfügbar. Snare für Vista bietet grundsätzlich die gleichen Dienste für Windows 2008, Vista und Windows 7. Allerdings hat sich das Eventlog-Subsystem in diesen Windows-Versionen grundlegend geändert. Achten Sie deshalb darauf, die richtige Snare-Version zu verwenden.

Der Snare-Agent verwaltet die Security-, Application- und System-Logs, darüber hinaus auch die neuen DNS-, File-Replication- und Active-Directory-Logs. Wer die kostenpflichtige Snare-Anwendung mit Support wählt, darf damit beliebige Windows-Eventlogs verarbeiten.

OSSEC

Bei OSSEC handelt es sich um ein Host-basiertes Intrusion-Detection-System, das Logdaten analysiert, Datei-Änderungen sowie die Einhaltung von Policies überwacht, Rootkits sucht, den Administrator in Echtzeit alarmiert und Gegenmaßnahmen einleitet. OSSEC läuft auf den meisten Betriebssystemen einschließlich Linux, Mac OS X, Solaris, HP-UX, AIX und Windows.

Auf den zu überwachenden Systemen laufen Agenten, die ihre Daten an einen OSSEC-Server schicken, der wiederum an einen Splunk-Server berichtet. Splunk macht es Administratoren leicht, OSSEC-Events zu verwalten. Am einfachsten ist es, die Splunk- und OSSEC-Server auf dem gleichen Rechner zu betreiben.

Zur Installation von OSSEC laden Sie das Paket herunter, entpacken es und führen mit Root-Rechten »./install.sh« aus. Wenn Sie es auf dem Splunk-Server installieren, wählen Sie die Installationsoption »server« . Schalten Sie auf etwaigen Firewalls UDP-Port 1514 frei, damit sich Agenten verbinden können. Führen Sie schließlich »/var/ossec/bin/ossec-control start« aus, um das IDS zu starten.

Client-Agenten installieren Sie auf Unix-Systemen genauso, wählen aber im zweiten Schritt »agent« aus. Auf Windows-Rechnern geschieht die Installation einfach per Mausklick. Um einen Windows-Agenten mit dem Server zu verbinden, absolvieren Sie auf dem Server die folgenden Schritte:

• Führen Sie »/var/ossec/bin/manage_agents« aus.
• Wählen Sie »A« zum Hinzufügen eines Agenten, geben Sie für ihn einen Namen, die IP-Adresse und eine ID ein.
• Kehren Sie ins Menü zurück und wählen »E« , um einen Schlüssel zu erzeugen. Speichern Sie den Schlüssel in einer Datei oder der Zwischenablage.
• Geben Sie auf dem Windows-Rechner die IP-Adresse des Servers und den vorher gespeicherten Schlüssel ein und starten den Agenten.
• Auf dem Server können Sie nun im Menü von »manage_agents« überprüfen, ob der Agent läuft. Mit »L« listen Sie dort alle Agenten auf.

Mit dem Schlüssel verfahren Sie bei Unix-Agenten genauso, nur eben auf der Kommandozeile.