In diesem ausführlichen Artikel dokumentiere ich den Aufbau meines ersten SIEM-Labs mit der ELK Stack (Elasticsearch, Logstash, Kibana). Das Ziel war es, eine funktionsfähige Umgebung für Security Event Monitoring und Threat Detection zu erstellen.
Was ist ein SIEM?
Security Information and Event Management (SIEM) ist eine Sicherheitslösung, die Daten aus verschiedenen Quellen sammelt, korreliert und analysiert, um Bedrohungen zu erkennen und darauf zu reagieren.
Lab Setup
Mein Setup besteht aus:
- Ubuntu Server 22.04 als Host
- Elasticsearch für Datenindexierung
- Logstash für Datenverarbeitung
- Kibana für Visualisierung
- Winlogbeat für Windows Event Collection
# Installation von Elasticsearch
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-8.x.list
sudo apt update && sudo apt install elasticsearchHerausforderungen
Die größte Herausforderung war die Konfiguration der Log-Parsing-Rules in Logstash. Windows Event Logs haben ein komplexes Format, das sorgfältig geparst werden muss.
Learnings
- SIEM-Tools sind mächtig, aber komplex in der Konfiguration
- Normalisierung von Log-Daten ist entscheidend
- Performance-Tuning ist bei großen Datenmengen wichtig