Training & Consulting
Ich nutze als interne und externe Firewall mehrere PFSense-Systeme. Diese sollen ebenfalls an mein Elastic SIEM angeschlossen werden. Ich habe mit dieser Anbindung einige Versuche vor dem Schreiben dieser Anleitung durchgespielt, da mir bis gestern nicht klar war, die die Logdaten der PFSense übermittelt werden sollen. Diese Zeit möchte ich euch sparen und zeigen, wie euch die Integration direkt gelingt.
Weiterlesen
Einleitung Die Daten des Elastic Stacks liegen ungünstig auf einem LVM-Volume, dass beim Setup auf der Hauptplatte meiner VM angelegt wurde. Diese wird nun immer größer und damit ist es schwierig, nur das Betriebssystem zu sichern. Also möchte ich die Daten auf ein neues Volume verschieben. Der Artikel gehört zur
Weiterlesen
Einleitung Ich möchte meine Windows Server und Clients automatisch an mein Elastic SIEM anschließen. Dafür muss ich den Agent mit einem GPO-ScriptTask installieren und am Fleet-Server registrieren. Den Rest sollte dann der Fleet-Server übernehmen. Der Artikel gehört zur Serie „Bereitstellung eines Elastic SIEM„. Aufbau einer Gruppenrichtlinie Das Setup habe ich
Weiterlesen
Man kann m Elastic eigene Searches erstellen und speichern, die als Filter nur relevante Logs zu einem Thema anzeigen. In diesem Beitrag zeige ich, wie man Searches erstellt, mit ihnen umgeht und im Falle eines Incident Responses wertvolle Zeit sparen kann.
Weiterlesen
Dieser Artikel ist die Hauptseite meiner neuen Serie „Bereitstellung eines Elastic SIEM“. Auf den Unterseiten zeige ich die Installation und Konfiguration von ElasticSearch, Logstash und Kibana und dem Aufbau eines kostenlosen Elastic SIEM.
Weiterlesen
Dies ist der zweite Betrag zur Konfiguration meines Elastic SIEMs. Im ersten Beitrag habe ich den Service auf einem Ubuntu-Server 22.04 installiert. Hier geht es nun um die Grundkonfiguration des Elastic SIEM in der Weboberfläche. Und dazu installiere ich einen Fleet Server, der die Anbindung eines ersten Agents übernimmt.
Weiterlesen
Hier zeige ich euch, wie ich ein Elastic SIEM auf einem Ubuntu Server 22.04 installiere. Dafür gibt es im Netz viele Anleitungen, aber bei meinen Versuchen hat keine funktioniert. Mit meiner war ich erfolgreich!
Weiterlesen
Verhindert eine Rechteerweiterung eines Angreifers durch GPO-Poisoning proaktiv, indem ihr eure GPO-Rechtedelegationen regelmäßig bereinigt. Was bietet sich da mehr an als ein Powershell-Script?
Weiterlesen
Vielleicht haben einige von euch meine Hacking-Videos gesehen. Andere haben vielleicht schon einmal meinen Hacking/IT-Security-Workshop besucht. Und vielleicht wolltet ihr danach wissen, wie meine Powershell-ReverseShell genau funktioniert? Hier gibt es die Antwort.
Weiterlesen
Gruppenrichtlinien können auch von Angreifern für Rechteausweitungen und die Kompromittierung anderer Computer benutzt werden. Hier zeige ich einen unschönen Bug und wie dieser ausgenutzt werden kann. Und natürlich gibt es Tipps und Gegenmaßnahmen!
Weiterlesen
In diesem Video zeige ich euch einen kompletten Angriff aus der Perspektive eines Angreifers. Wie gewohnt spielt dabei die PowerShell wieder eine große Rolle.
Weiterlesen
Die letzten Jahre habe ich mich immer tiefer in die IT-Security eingearbeitet. Zum besseren Verständnis gehört es da auch dazu, sich in die Rolle eines Angreifers zu versetzen. Etliche Incident Responses, bei denen ich teilhaben durfte, zeigten mir, dass mein LAB sehr nah an der Realität dran ist.
In dieser Übersichtsseite verlinke ich einige andere Beiträge zu einer weiteren Serie „Hacking und Defense“
Weiterlesen
Mit dem kostenlosen Windows-Feature „Windows Eventlog Forwarding“ kann man schnell und zentral wichtige Eventlogs sammeln und sich so für forensische Analysen vorbereiten. Hier seht ihr, wie ich das in meiner Demo-Umgebung implementiere.
Weiterlesen
Angriffe häufen sich und werden immer professioneller. Mit einer klassischen Sicherheitsstrategie alleine kommen wir nicht mehr weit. Daher müssen wir umdenken und uns neu ausrichten. In diesem Beitrag möchte ich mein Modell vorstellen. Es ist einfacher als das Mitre Att&ck Framework, kann aber auch mit diesem kombiniert werden.
Weiterlesen
Exchange Server haben extrem hohe Rechte im Active Directory. Daher sind sie auch ein beliebtes Ziel bei Angreifern und diese fanden bisher über 650! Schwachstellen. Aber wie kann ein Exchange Server für die Übernahme eines AD genutzt werden? Hier gibt es ein simples Beispiel…
Weiterlesen
Exchange Server sind im Standard so hoch berechtigt, dass jeder, der sie kontrolliert, problemlos das Active Directory übernehmen kann. Diese Berechtigungen sollte man aufsplitten und damit die IT-Sicherheit ordentlich verbessern.
Weiterlesen
In diesem Beitrag zeige ich euch, wie ich sysmon in meiner kleinen Infrastruktur fälchendeckend ausrolle und konfiguriere. Und da ich bereits einen Event-Collector im Einsatz habe, zeige ich auch, wie ich die Events an diesen Server weiterleite.
Weiterlesen
Man kann die Kommunikation zwischen einem ActiveSync-Device und einem Exchange Server protokollieren lassen. Leider sind die Logdaten nur schwer interpretierbar. Hier hilft meine neue PowerShell-Funktion.
Weiterlesen
Nach meiner PKI-Migration gab es ein Problem mit der Netzwerk-Authentifizierung meiner WLAN-Clients. Die Fehlersuche zeigt eine spannende Abhängigkeitskette. Hier erfahrt ihr mehr über den Fehler 0.80092013…
Weiterlesen
Eine DHCP-Migration ist eigentlich keine gro0e Sache. Aber wie funktioniert sie störungsfrei mitten im Betrieb? Hier zeige ich euch meine Vorgehensweise.
Weiterlesen