Testreihe Security-Tools, Teil 2: Corelight
Angreifer im Netz aufspüren
Fortsetzung des Artikels von Teil 1
Unique Identifier
Corelight verwendet eine spezielle UID (Unique Identifier), mit der sich Events aus verschiedenen Plattformen korrelieren lassen. Die UID erlaubt es zum Beispiel, alle von Zeek und Suricata zu einer bestimmten IP-Adresse erfassten Meldungen anzuzeigen.
Die vom Sensor erfassten Daten muss man für die weitere Analyse zu Plattformen wie Splunk, Elastic oder Humio exportieren. Mit dem Investigator hat Corelight eine eigene Cloud-basierte Analyselösung auf der Roadmap, die auf Humio aufbaut. Die Software unterstützt auch eine Übertragung zu Syslog- und SFTP-Servern, S3-Cloud-Storage sowie per JSON over TCP. Corelight lässt sich beispielsweise so konfigurieren, dass man verdächtige EXE-Dateien zu einem SFTP-Server übertragen und dort in einer Sandbox analysieren kann.
Für den LANline-Test installierten wir Splunk auf einer WS2019-VM. Damit der Sensor seine Daten an Splunk weiterleitet, aktivierten wir die Splunk-Exportfunktion. Auf dem Splunk-Server fügten wir das Corelight-System als Forwarder hinzu. Anschließend übertrug der Sensor alle von der Monitor-NIC erfassten Netzwerkdaten zum Splunk-System.
Um verdächtige Aktivitäten im Datenverkehr aufzuspüren, sind leistungsfähige Suchfunktionen entscheidend. Eine SIEM-Plattform wie Splunk ermöglicht die systematische Analyse des Datenverkehrs, wobei die UID-Korrelationsfunktionen von Corelight helfen, Licht ins Dunkel zu bringen. Bei den LANline-Tests führten wir eine Splunk-Suche nach „path = notice“ aus, um vom Sensor erzeugte Traffic-Logs nach Auffälligkeiten zu durchforsten. Wir fanden unter anderem eine Alarmmeldung, dass der im Testnetz installierte Backup-Server tracroute-Befehle ausgeführt hatte, um IP-Routen zu ermitteln. Zu einem weiteren Windows-Server kam die Warnmeldung, das System weise eine SQL-Injection-Schwachstelle auf. Zeek erstellt auch ein sogenanntes Weird-Log, das ungewöhnliche Aktivitäten erfasst. Bei den Tests fanden wir darin Meldungen zu unknown_http_method, die ein Schwachstellenscan unseres OpenVAS-Systems erzeugt hatte. Ein NMAP-Scan, den wir von einem Admin-Rechner aus auf einen Backup-Server ausführten, erzeugte im Weird-Log unter anderem mehrere TCP_ack_underflow_or_misorder-Events. Um Angreifer möglichst frühzeitig erkennen zu können, sollten die NDR-Komponenten so konfiguriert sein, dass kritische Meldungen automatisch einen Alarm auslösen und eine direkte Reaktion erfolgt, zum Beispiel indem die Firewalls eine als nicht vertrauenswürdig eingestufte IP-Adresse blockieren.
Open-Source-NDR
Für kleinere Unternehmen mit begrenzten IT-Budgets bietet die Open-Source-Lösung Security Onion einen guten Einstieg in das NDR-Thema, sofern das IT-Team über fundiertes Linux-Know-how verfügt. Die als ISO-Image erhältliche Appliance umfasst Zeek, Suricata, Elasticsearch, Logstash, Kibana, Wazuh und weitere Security-Tools. Beim ersten Login startet ein textbasierter Konfigurationsassistent, in dem unter anderem die IP-Adresse und die DNS-Server einzugeben sind. Wir installierten Zeek und Suricata und aktivierten das kostenfreie IDS-Ruleset ET Open (Emerging Threats Open). In der linken Fensterspalte der Browser-basierten Management-Konsole sind die Menüs angeordnet, im Hauptfenster die Details und Konfigurationsoptionen. Die Alert-Ansicht zeigte uns sehr schnell zahlreiche Alarme an, unter anderem dass ein NMAP- und ein OpenVAS-Scan ausgeführt worden waren. Wer sich sehr gut mit Linux auskennt, kann die für eine NDR-Lösung erforderlichen Komponenten auch selbst auf einem Linux-Server installieren.
Um eine NDR-Lösung zu betreiben, sollte die IT-Abteilung über gutes Netzwerk-Know-how verfügen. Die Systeme erfassen eine Vielzahl an Protokollen, potenziellen Schwachstellen und Angriffsszenarien, die es zu analysieren gilt. Kommerzielle Lösungen wie Corelights Sensoren stellen eine vorkonfigurierte, integrierte Plattform bereit, die der Hersteller laufend weiterentwickelt, um mit den sich ändernden Bedrohungen Schritt zu halten. Wenn Unternehmen NDR-Produkte in Eigenregie betreiben, entsteht ein nicht zu unterschätzender Zusatzaufwand. Für die ersten NDR-Gehversuche ist die Open-Source-Lösung Security Onion sicher ein guter Ausgangspunkt.
- Angreifer im Netz aufspüren
- Unique Identifier
Lesen Sie mehr zum Thema
