Training & Consulting
Heute migriere ich meine beiden NPS-Server (Network Policy Server aka. Radius Server) von Windows Server 2019 auf Windows Server 2025. Beim ersten Server hatte ich einige Probleme und dabei kam ein nettes TroubleShooting heraus. Wer mich kennt, der weiß, dass ich so etwas liebe! 😉
Weiterlesen
Auf meinen neuen Systemen mit Windows Server 2025 kann ich meine Group Managed Service Accounts (gMSA) nicht verwenden. Bei der Implementierung erhalte ich einen Fehler. Stimmt da was mit Windows Sevrer 2025 nicht oder habe ich etwas falsch gemacht? Hier gibts mein TroubleShooting und die Lösung. 😉
Weiterlesen
Meine nächsten Migrationskandidaten für die Migration auf Windows Server 2025 sind meine beiden DHCP-Server. Diese lassen sich wirklich einfach umstellen.
Weiterlesen
Meine erste produktive Migration soll meinen Server WS-CA1 mit Windows Server 2019 durch einen Windows Server 2025 austauschen. Dabei migriere ich meine PKI und tausche gleichzeitig noch mein Root-CA-Zertifikat aus.
Weiterlesen
Dies ist der produktive Start meines Migrationsprojektes auf Windows Server 2025. Bevor ich meine meist virtuellen Server austausche erstelle ich mir ein Golden-Image und bereite meine Gruppenrichtlinien vor. Hierbei gab es ein Problem, das ich lösen musste.
Weiterlesen
Ich habe nicht viele Server, aber dennoch muss ich mir Gedanken über deren Migration auf Windows Server 2025 machen. In diesem Beitrag stecke ich meine Ziele ab und plane die Reihenfolge der einzelnen Servermigrationen.
Weiterlesen
In den nächsten Monaten aktualisiere ich meine Windows Server 2019 auf Windows Server 2025. Dabei dokumentiere ich sehr genau meine Vorgehensweise. Und alles ist enthalten: Erfolge, Änderungen und Rollbacks. Dieser Beitrag ist die Übersicht zur Migration.
Weiterlesen
Im Kibana sehe ich immer wieder Warnungen, dass ein Encryption Key die teilweise sensiblen Daten vom Kibana in den saved objects sicherer machen würde. Also erstelle ich den dafür erforderlichen Encryption Key und sichere damit die saved objects vom Kibana ab.
Weiterlesen
Mein Datenvolumen im ElasticSearch wächst immer weiter an. Ich habe mittlerweile mehrfach neuen Speicher hinzufügen müssen. Aber nun ist Schluss damit: ich will die Ursache finden und lösen. In diesem Beitrag zeige ich, wie ich eine unnötige Menge an Events identifiziere und diese gezielt mit dem drop_event processor herausfiltere.
Weiterlesen
Mein HAProxy in der PFsense kann detaillierte Logs generieren. Die Standarderkennung der PFSense-Integration kann diese aber nicht lesen. Also habe ich mit vor Kurzem einen Logstash installiert. Dieser soll nun die Logs vom HAProxy empfangen. Und Logstash soll diese korrekt parsen. Hier muss ich mir Grok beibringen: eine Filter- und Parsing-Sprache. Ob das gelingt?
Weiterlesen
Standardszenarien kann man mit den Elastic Agents und deren Integrations gut und einfach abbilden. Wenn die Log-Source aber unbekannte Logs liefert, dann kann der Agent damit nichts anfangen und zeigt nur Parsing-Fehler an. Ein Logstash kann als Vermittler zwischen der Log-Source und ElasticSearch dienen. Er nimmt auf seinen Listener-Ports Verbindungen und deren Roh-Logs entgegen und konvertiert sie in das für ElasticSearch verständliche json-Format. Das Parsing der Logs kann dabei gut angepasst werden. Hier zeige ich die Implementierung.
Weiterlesen
Ich nutze als interne und externe Firewall mehrere PFSense-Systeme. Diese sollen ebenfalls an mein Elastic SIEM angeschlossen werden. Ich habe mit dieser Anbindung einige Versuche vor dem Schreiben dieser Anleitung durchgespielt, da mir bis gestern nicht klar war, die die Logdaten der PFSense übermittelt werden sollen. Diese Zeit möchte ich euch sparen und zeigen, wie euch die Integration direkt gelingt.
Weiterlesen
Einleitung Die Daten des Elastic Stacks liegen ungünstig auf einem LVM-Volume, dass beim Setup auf der Hauptplatte meiner VM angelegt wurde. Diese wird nun immer größer und damit ist es schwierig, nur das Betriebssystem zu sichern. Also möchte ich die Daten auf ein neues Volume verschieben. Der Artikel gehört zur
Weiterlesen
Einleitung Ich möchte meine Windows Server und Clients automatisch an mein Elastic SIEM anschließen. Dafür muss ich den Agent mit einem GPO-ScriptTask installieren und am Fleet-Server registrieren. Den Rest sollte dann der Fleet-Server übernehmen. Der Artikel gehört zur Serie „Bereitstellung eines Elastic SIEM„. Aufbau einer Gruppenrichtlinie Das Setup habe ich
Weiterlesen
Man kann m Elastic eigene Searches erstellen und speichern, die als Filter nur relevante Logs zu einem Thema anzeigen. In diesem Beitrag zeige ich, wie man Searches erstellt, mit ihnen umgeht und im Falle eines Incident Responses wertvolle Zeit sparen kann.
Weiterlesen
Dieser Artikel ist die Hauptseite meiner neuen Serie „Bereitstellung eines Elastic SIEM“. Auf den Unterseiten zeige ich die Installation und Konfiguration von ElasticSearch, Logstash und Kibana und dem Aufbau eines kostenlosen Elastic SIEM.
Weiterlesen
Dies ist der zweite Betrag zur Konfiguration meines Elastic SIEMs. Im ersten Beitrag habe ich den Service auf einem Ubuntu-Server 22.04 installiert. Hier geht es nun um die Grundkonfiguration des Elastic SIEM in der Weboberfläche. Und dazu installiere ich einen Fleet Server, der die Anbindung eines ersten Agents übernimmt.
Weiterlesen
Hier zeige ich euch, wie ich ein Elastic SIEM auf einem Ubuntu Server 22.04 installiere. Dafür gibt es im Netz viele Anleitungen, aber bei meinen Versuchen hat keine funktioniert. Mit meiner war ich erfolgreich!
Weiterlesen
Verhindert eine Rechteerweiterung eines Angreifers durch GPO-Poisoning proaktiv, indem ihr eure GPO-Rechtedelegationen regelmäßig bereinigt. Was bietet sich da mehr an als ein Powershell-Script?
Weiterlesen
Vielleicht haben einige von euch meine Hacking-Videos gesehen. Andere haben vielleicht schon einmal meinen Hacking/IT-Security-Workshop besucht. Und vielleicht wolltet ihr danach wissen, wie meine Powershell-ReverseShell genau funktioniert? Hier gibt es die Antwort.
Weiterlesen