Verschiedene Arten von Protokollen in SIEM und ihre Protokollformate

2. Windows-Ereignisprotokolle

In den Windows-Ereignisprotokollen wird alles aufgezeichnet, was auf einem Windows-System geschieht. Diese Protokolldaten werden weiter unterteilt in:

• Windows-Anwendungsprotokolle: Dies sind Ereignisse, die von den Anwendungen des Windows-Betriebssystems protokolliert werden. So wird beispielsweise ein Fehler, der die Anwendung zum Schließen zwingt, in diesem Anwendungsprotokoll aufgezeichnet.
• Sicherheitsprotokolle: Hierbei handelt es sich um alle Ereignisse, die die Sicherheit des Systems beeinträchtigen können. Dazu gehören fehlgeschlagene Anmeldeversuche und Dateilöschvorgänge.
• Systemprotokolle: Es enthält Ereignisse, die vom Betriebssystem protokolliert werden. Die Protokolle zeigen an, ob Prozesse und Treiber erfolgreich geladen wurden.
• Verzeichnisdienst-Protokolle: Sie enthalten Ereignisse, die vom Active Directory (AD)-Dienst protokolliert werden. Es zeichnet AD-Vorgänge wie Authentifizierung und Änderung von Berechtigungen auf. Diese Protokolle sind nur für Domänencontroller verfügbar.
• DNS-Server-Protokolle: Dies sind Protokolle von DNS-Servern (Domain Name System) mit Informationen wie Client-IP-Adressen, der abgefragten Domäne und dem angeforderten Datensatz. Sie sind nur für DNS-Server verfügbar.
• Dateireplikationsdienst-Protokolle: Sie enthalten Ereignisse der Domänencontroller-Replikation. Es ist nur für Domänencontroller verfügbar.

Warum müssen Sie die Windows-Ereignisprotokolle überwachen?

• Um die Sicherheit des Servers zu gewährleisten: Die meisten kritischen Server, wie z. B. Dateiserver und AD-Domänencontroller, laufen auf der Windows-Plattform. Es ist wichtig, diese Protokolldaten zu überwachen, um zu verstehen, was mit Ihren kritischen Ressourcen geschieht.
• Zur Sicherheit von Windows-Workstations: Ereignisprotokolle bieten wertvolle Einblicke in die Funktionsweise einer Workstation. Durch die Überwachung von Windows-Ereignisprotokollen, die von einem Gerät generiert werden, können Benutzeraktivitäten auf anomales Verhalten überwacht werden, was dazu beitragen kann, Angriffe in einem frühen Stadium zu erkennen. Im Falle eines Angriffs können die Protokolle helfen, die Aktivitäten des Benutzers zu forensischen Zwecken zu rekonstruieren.
• Zur Überwachung von Hardwarekomponenten: Eine Analyse der Windows-Ereignisprotokolle hilft bei der Diagnose von Problemen mit fehlerhaften Hardwarekomponenten einer Workstation, indem sie die Ursache für die Fehlfunktion aufzeigt.

Analyse eines typischen Windows-Ereignisprotokolls

Warning 4/28/2020 12:32:47 PM WLAN-AutoConfig 4003 None

Windows klassifiziert jedes Ereignis nach seinem Schweregrad als Warnung, Information, kritisch und Fehler. Die Sicherheitsstufe ist in diesem Fall Warnung. Der obige Protokolleintrag stammt vom WLAN-AutoConfig-Dienst, einem Dienst zur Verbindungsverwaltung, der es Benutzern ermöglicht, sich dynamisch mit einem drahtlosen lokalen Netzwerk (WLAN) zu verbinden. Das nächste Segment gibt das Datum und die Uhrzeit des Ereignisses an. Das Protokoll gibt an, dass WLAN AutoConfig eine eingeschränkte Netzwerkkonnektivität festgestellt hat und eine automatische Wiederherstellung versucht. Anhand dieses Protokolls kann eine SIEM-Lösung nach ähnlichen Protokollen auf anderen Geräten zu dem in diesem Protokoll angegebenen Zeitpunkt suchen, um das Netzwerkkonnektivitätsproblem zu beheben.

3. Endpunktprotokolle

Endpunkte sind Geräte, die über das Netzwerk verbunden sind und mit anderen Geräten über Server kommunizieren. Einige Beispiele sind Desktops, Laptops, Smartphones und Drucker. Da Unternehmen zunehmend Remote-Arbeitsplätze einrichten, schaffen Endgeräte Zugangspunkte zum Netzwerk, die von böswilligen Akteuren ausgenutzt werden können.

Warum müssen Sie Endpunktprotokolle überwachen?

• Um Aktivitäten auf Wechsellaufwerken zu überwachen: Wechsellaufwerke sind oft anfällig für Malware-Installationen und Datenexfiltrationsversuche. Durch die Überwachung von Endpunktprotokollen können diese Versuche erkannt werden.
• Zur Überwachung von Benutzeraktivitäten: Benutzer müssen sich an die internen und externen Richtlinien ihres Unternehmens bezüglich der Installation und Verwendung von Software auf ihren Workstations halten. Endpunktprotokolle können dazu verwendet werden, diese Richtlinien zu überwachen und bei Verstößen Benachrichtigungen zu versenden.

Analyse eines typischen Endpunktgeräteprotokolls

Error 6/20/2019 5:00:45 PM Terminal Services- Printers 1111 None

Das obige Protokoll gibt an, dass ein Fehler mit dem Terminal Services Easy Print-Treiber aufgetreten ist. Dies wird durch die Fehlerquelle und die Ereignis-ID (1111) angezeigt. Wenn ein Benutzer Probleme beim Drucken einer Datei hat, können die Protokolle überprüft werden, um die genaue Ursache des Problems zu verstehen und es zu beheben.

4. Anwendungsprotokolle

Unternehmen arbeiten mit verschiedenen Anwendungen wie Datenbanken, Webserver-Anwendungen und anderen internen Anwendungen, um bestimmte Funktionen auszuführen. Diese Anwendungen sind oft entscheidend für das effektive Funktionieren des Unternehmens. Alle diese Anwendungen erzeugen Protokolldaten, die Aufschluss über die Vorgänge innerhalb der Anwendungen geben.

Warum müssen Sie Anwendungsprotokolle überwachen?

• Um Probleme zu beheben: Diese Protokolle helfen bei der Identifizierung und Behebung von Problemen in Bezug auf die Leistung und Sicherheit der Anwendungen.
• Zur Überwachung von Aktivitäten: Die von einer Datenbank erzeugten Protokolle zeigen die Anfragen und Abfragen von Benutzern an. So können unberechtigte Dateizugriffe oder Datenmanipulationsversuche von Benutzern erkannt werden. Die Protokolle sind auch bei der Fehlersuche in der Datenbank hilfreich.

Analyse eines typischen Anwendungsprotokolls

02-AUG-2013 17:38:48 * (CONNECT_DATA=(SERVICE_NAME=dev12c)
(CID=(PROGRAM=sqlplus)(HOST=oralinux1)(USER=oracle))) *
(ADDRESS=(PROTOCOL=tcp)(HOST=192.168.2.121)(PORT=21165))
* establish * dev12c * 0

Der obige Protokolleintrag stammt von einem Oracle-Datenbanksystem. Das Protokoll bezieht sich auf einen Verbindungsversuch von einem Host-Computer aus. Das Protokoll verweist auf die Uhrzeit und das Datum, an dem die Anfrage vom Datenbankserver empfangen wurde. Außerdem werden der Benutzer und der Host-Computer, von dem die Anfrage ausging, sowie die IP-Adresse und die Portnummer angegeben.

5. Proxy-Protokolle

Proxy-Server spielen eine wichtige Rolle im Netzwerk einer Organisation, da sie den Datenschutz gewährleisten, den Zugang regeln und Bandbreite sparen. Da alle Web-Anfragen und -Antworten über den Proxy-Server laufen, können Proxy-Protokolle wertvolle Informationen über Nutzungsstatistiken und das Surfverhalten von Endpunkt-Benutzern offenbaren.

Warum müssen Sie Proxy-Protokolle überwachen?

• Um das Benutzerverhalten zu erfassen: Die Analyse der Browsing-Aktivitäten der Benutzer anhand der gesammelten Proxy-Protokolle kann dazu beitragen, eine Basislinie für das Verhalten der Benutzer zu erstellen. Jede Abweichung von der Basislinie kann auf eine Datenverletzung hindeuten und zeigt an, dass eine weitere Untersuchung erforderlich ist.
• Zur Überwachung der Länge von Datenpaketen: Proxy-Protokolle können helfen, die Länge der über den Proxy-Server ausgetauschten Pakete zu überwachen. Wenn beispielsweise ein Benutzer innerhalb eines bestimmten Zeitraums wiederholt Pakete mit derselben Länge sendet oder empfängt, könnte dies auf eine Softwareaktualisierung hinweisen oder Malware aufdecken, die Signale mit Kontrollservern austauscht.

Analyse eines typischen Proxy-Protokolls

4/8/2020 2:20:55 PM User-001 192.168.10.10 GET https://wikipedia.com/

Aus dem obigen Protokoll geht hervor, dass User-001 zu dem im Protokoll angegebenen Datum und Zeitpunkt Seiten von Wikipedia.com angefordert hat. Die Analyse der Anfragen, URLs und Zeitstempel in den Protokollen hilft bei der Erkennung von Mustern und bei der Wiederherstellung von Beweisen im Falle eines Ereignisses.

6. IoT-Protokolle

Das Internet der Dinge (Internet of Things, IoT) bezieht sich auf ein Netzwerk von physischen Geräten, die Daten mit anderen Geräten im Internet austauschen. Diese Geräte sind mit Sensoren, Prozessoren und Software ausgestattet, um die Erfassung, Verarbeitung und Übertragung von Daten zu ermöglichen. Wie die Endpunkte erzeugen auch die Geräte, aus denen ein IoT-System besteht, Protokolle. Protokolldaten von IoT-Geräten geben Aufschluss über die Funktionsweise von Hardwarekomponenten wie Mikrocontrollern, die Anforderungen an Firmware-Updates des Geräts und den Datenfluss in und aus dem Gerät. Ein entscheidender Teil der Protokollierung von Daten aus IoT-Systemen ist der Speicherort der Protokolldaten. Diese Geräte verfügen nicht über genügend Speicherplatz, um die Protokolle zu speichern. Daher müssen die Protokolle an eine zentralisierte Protokollverwaltung weitergeleitet werden, wo sie über längere Zeiträume gespeichert werden können. Die SIEM-Lösung analysiert dann die Protokolle, um Fehler zu beheben und Sicherheitsbedrohungen zu erkennen.

Die Protokolle aus allen oben genannten Quellen werden in der Regel an die zentrale Protokollierungslösung weitergeleitet, die die Daten korreliert und analysiert, um einen Sicherheitsüberblick über Ihr Netzwerk zu erhalten. Die Protokolle werden in verschiedenen Formaten gespeichert und übertragen, z. B. CSV, JSON, Key Value Pair und Common Event Format.

Verschiedene Protokollformate

CSV

CSV ist ein Dateiformat, das Werte in einem durch Kommata getrennten Format speichert. Es handelt sich um ein reines Textdateiformat, so dass CSV-Dateien unabhängig von der verwendeten Software problemlos in eine Speicherdatenbank importiert werden können. Da CSV-Dateien nicht hierarchisch oder objektorientiert sind, lassen sie sich auch leichter in andere Dateitypen konvertieren.

JSON

JavaScript Object Notation (JSON) ist ein textbasiertes Format zur Speicherung von Daten. Es ist ein strukturiertes Format, das die Analyse der gespeicherten Protokolle erleichtert. Es kann auch nach bestimmten Feldern abgefragt werden. Diese zusätzlichen Eigenschaften machen JSON zu einem sehr zuverlässigen Format für die Protokollverwaltung.

Key Value Pair

Ein Schlüssel-Wert-Paar besteht aus zwei Elementen: einem Schlüssel und einem darauf abgebildeten Wert. Der Schlüssel ist eine Konstante, und der Wert ist über verschiedene Einträge hinweg variabel. Die Formatierung beinhaltet die Gruppierung ähnlicher Datensätze unter einem gemeinsamen Schlüssel. Wenn die Abfrage für einen bestimmten Schlüssel ausgeführt wird, können alle Daten unter diesem Schlüssel extrahiert werden.

Common Event Format

Common Event Format, allgemein als CEF bezeichnet, ist ein Format für die Protokollverwaltung, das die Interoperabilität fördert, indem es die Erfassung und Speicherung von Protokolldaten verschiedener Geräte und Anwendungen erleichtert. Es verwendet das Syslog-Nachrichtenformat. Es ist das am weitesten verbreitete Protokollierungsformat und wird von einer Vielzahl von Anbietern und Softwareplattformen unterstützt. Es besteht aus einem CEF-Header und einer CEF-Erweiterung, die Protokolldaten in Schlüssel-Wert-Paaren enthält.

Dies sind die verschiedenen Arten von Protokolldaten und ihre Formate. Das manuelle Sammeln dieser Protokolle von all den verschiedenen Quellen in einem Netzwerk und deren Korrelation ist ein mühsamer und zeitaufwändiger Prozess. Eine SIEM-Lösung kann Sie dabei unterstützen. Eine SIEM-Lösung analysiert die aus verschiedenen Quellen gesammelten Protokolle, korreliert die Protokolldaten und liefert Erkenntnisse, die Unternehmen bei der Erkennung von Cyberangriffen und der Wiederherstellung nach einem Angriff helfen.