Im Kibana sehe ich immer wieder Warnungen, dass ein Encryption Key die teilweise sensiblen Daten vom Kibana in den saved objects sicherer machen würde. Also erstelle ich den dafür erforderlichen Encryption Key und sichere damit die saved objects vom Kibana ab.
WeiterlesenKategorie: Defense
Hier findet ihr neue und interessante Schutzmaßnahmen gegen eine Vielzahl von Angriffsvektoren.
Elastic SIEM – Events gezielt mit dem processor drop_events herausfiltern
Mein Datenvolumen im ElasticSearch wächst immer weiter an. Ich habe mittlerweile mehrfach neuen Speicher hinzufügen müssen. Aber nun ist Schluss damit: ich will die Ursache finden und lösen. In diesem Beitrag zeige ich, wie ich eine unnötige Menge an Events identifiziere und diese gezielt mit dem drop_event processor herausfiltere.
WeiterlesenElastic SIEM – Anbindung eines HAProxy am Logstash mit Grok
Mein HAProxy in der PFsense kann detaillierte Logs generieren. Die Standarderkennung der PFSense-Integration kann diese aber nicht lesen. Also habe ich mit vor Kurzem einen Logstash installiert. Dieser soll nun die Logs vom HAProxy empfangen. Und Logstash soll diese korrekt parsen. Hier muss ich mir Grok beibringen: eine Filter- und Parsing-Sprache. Ob das gelingt?
WeiterlesenElastic SIEM – Installation von Logstash
Standardszenarien kann man mit den Elastic Agents und deren Integrations gut und einfach abbilden. Wenn die Log-Source aber unbekannte Logs liefert, dann kann der Agent damit nichts anfangen und zeigt nur Parsing-Fehler an. Ein Logstash kann als Vermittler zwischen der Log-Source und ElasticSearch dienen. Er nimmt auf seinen Listener-Ports Verbindungen und deren Roh-Logs entgegen und konvertiert sie in das für ElasticSearch verständliche json-Format. Das Parsing der Logs kann dabei gut angepasst werden. Hier zeige ich die Implementierung.
WeiterlesenElastic SIEM – Anbindung einer PFSense
Ich nutze als interne und externe Firewall mehrere PFSense-Systeme. Diese sollen ebenfalls an mein Elastic SIEM angeschlossen werden. Ich habe mit dieser Anbindung einige Versuche vor dem Schreiben dieser Anleitung durchgespielt, da mir bis gestern nicht klar war, die die Logdaten der PFSense übermittelt werden sollen. Diese Zeit möchte ich euch sparen und zeigen, wie euch die Integration direkt gelingt.
WeiterlesenElastic SIEM – Logdaten auf anderes Volume umziehen
Einleitung Die Daten des Elastic Stacks liegen ungünstig auf einem LVM-Volume, dass beim Setup auf der Hauptplatte meiner VM angelegt wurde. Diese wird nun immer größer und damit ist es schwierig, nur das Betriebssystem zu sichern. Also möchte ich die Daten auf ein neues Volume verschieben. Der Artikel gehört zur
WeiterlesenElastic SIEM – Automatische Installation des Agents im Windows
Einleitung Ich möchte meine Windows Server und Clients automatisch an mein Elastic SIEM anschließen. Dafür muss ich den Agent mit einem GPO-ScriptTask installieren und am Fleet-Server registrieren. Den Rest sollte dann der Fleet-Server übernehmen. Der Artikel gehört zur Serie „Bereitstellung eines Elastic SIEM„. Aufbau einer Gruppenrichtlinie Das Setup habe ich
WeiterlesenElastic SIEM – Aufbau der Searches
Man kann m Elastic eigene Searches erstellen und speichern, die als Filter nur relevante Logs zu einem Thema anzeigen. In diesem Beitrag zeige ich, wie man Searches erstellt, mit ihnen umgeht und im Falle eines Incident Responses wertvolle Zeit sparen kann.
WeiterlesenSerie „Bereitstellung eines Elastic SIEM“
Dieser Artikel ist die Hauptseite meiner neuen Serie „Bereitstellung eines Elastic SIEM“. Auf den Unterseiten zeige ich die Installation und Konfiguration von ElasticSearch, Logstash und Kibana und dem Aufbau eines kostenlosen Elastic SIEM.
WeiterlesenElastic SIEM – Grundkonfiguration
Dies ist der zweite Betrag zur Konfiguration meines Elastic SIEMs. Im ersten Beitrag habe ich den Service auf einem Ubuntu-Server 22.04 installiert. Hier geht es nun um die Grundkonfiguration des Elastic SIEM in der Weboberfläche. Und dazu installiere ich einen Fleet Server, der die Anbindung eines ersten Agents übernimmt.
WeiterlesenElastic SIEM – Installation auf Ubuntu
Hier zeige ich euch, wie ich ein Elastic SIEM auf einem Ubuntu Server 22.04 installiere. Dafür gibt es im Netz viele Anleitungen, aber bei meinen Versuchen hat keine funktioniert. Mit meiner war ich erfolgreich!
WeiterlesenGPO-Rechtedelegation bereinigen
Verhindert eine Rechteerweiterung eines Angreifers durch GPO-Poisoning proaktiv, indem ihr eure GPO-Rechtedelegationen regelmäßig bereinigt. Was bietet sich da mehr an als ein Powershell-Script?
WeiterlesenPrivilege Escalation & Lateral Movement mit GPO Poisoning
Gruppenrichtlinien können auch von Angreifern für Rechteausweitungen und die Kompromittierung anderer Computer benutzt werden. Hier zeige ich einen unschönen Bug und wie dieser ausgenutzt werden kann. Und natürlich gibt es Tipps und Gegenmaßnahmen!
WeiterlesenWindows Eventlog Forwarding einrichten
Mit dem kostenlosen Windows-Feature „Windows Eventlog Forwarding“ kann man schnell und zentral wichtige Eventlogs sammeln und sich so für forensische Analysen vorbereiten. Hier seht ihr, wie ich das in meiner Demo-Umgebung implementiere.
WeiterlesenHardening, Isolation und Detection & Response
Angriffe häufen sich und werden immer professioneller. Mit einer klassischen Sicherheitsstrategie alleine kommen wir nicht mehr weit. Daher müssen wir umdenken und uns neu ausrichten. In diesem Beitrag möchte ich mein Modell vorstellen. Es ist einfacher als das Mitre Att&ck Framework, kann aber auch mit diesem kombiniert werden.
WeiterlesenExchange Split Permission
Exchange Server sind im Standard so hoch berechtigt, dass jeder, der sie kontrolliert, problemlos das Active Directory übernehmen kann. Diese Berechtigungen sollte man aufsplitten und damit die IT-Sicherheit ordentlich verbessern.
WeiterlesenInstallation und Tuning von sysmon
In diesem Beitrag zeige ich euch, wie ich sysmon in meiner kleinen Infrastruktur fälchendeckend ausrolle und konfiguriere. Und da ich bereits einen Event-Collector im Einsatz habe, zeige ich auch, wie ich die Events an diesen Server weiterleite.
WeiterlesenGegenmaßnahme zum Angriff „DNS-Wildcard“
In diesem Beitrag stelle ich eine proaktive Gegenmaßnahme zu dem Angriff mit der DNS-Wildcard vor – natürlich mit einem PowerShell-Script!
WeiterlesenSerie „Anatomie eines Hacks“ – Step 3e Variante 3: „Lateral Movement vs. Protected User“
Dieses Video gehört zur Serie „Anatomie eines Hacks“. In meinem LAB übernehme ich die Kontrolle über einen Windows Server 2016. Ich kann nun von jedem Benutzer, der sich auf dem System anmeldet, die Anmeldeinformation stehlen. Mein Opfer ist ein Administrator, der sich durch die Mitgliedschaft in der Gruppe „Protected Users“ in Sicherheit wiegt. Ob ich es schaffe, seine Identität zu übernehmen?
WeiterlesenPrivileged Access Management mit Just Enough Administration (Update V1.09)
Privilegierte Benutzer im 24/7-Modus sind ein Sicherheitsrisiko. Daher bin ich zu Gruppenmitgliedschaften auf Zeit übergegangen. Leider bietet Microsoft nichts Out-of-the-Box. Daher habe ich eine eigene Losung gebaut: Mit einer PowerShell-GUI, Just Enough Administration und Privileged Access Management. Hier stelle ich das Update v1.09 vor.
Weiterlesen