Windows-Eventlog analysieren mit Security Onion

Security Onion ist eine Open-Source-Plattform für Threat Hunting, Security-Monitoring und Log-Manage­ment. Es versammelt freie Tools wie Kibana, Elastic Fleet, InfluxDB, CyberChef oder Suricata. Die Lösung bietet Zugang zu diesen Werkzeugen über eine Web-Konsole. Wir zeigen, wie sie sich für die Log-Analyse von Windows nutzen lässt.

Security Onion ist als eigenständige Linux-Distribution konzipiert und basiert auf Oracle Linux 9. Das System lässt sich auf physischer Hardware oder in VMs installieren, zum Beispiel in VMware Workstation Pro, Hyper-V oder auch Proxmox. Die Entwickler stellen aber auch Images für den Betrieb in Azure, AWS und GCP zur Verfügung.

Mit Tools für Intrusion Detection Systems (IDS), Security Information and Event Management (SIEM) und Network Security Monitoring (NSM) bietet die Lösung einen umfassenden Einblick in den Netzwerk­verkehr.

Hinzu kommt die Möglichkeit, Alarme in Echtzeit zu generieren und auf historische Daten zuzugreifen. Das erleichtert die Identifizierung und die zügige Reaktion auf potenzielle Bedrohungen.

Ein Schwerpunkt von Security Onion liegt auf der Verwaltung von Logfiles einzelner Server und von Netzwerk­geräten. Sie lassen sich in Security Onion einlesen und analysieren. Dabei unterstützt es mehrere Formate, darunter auch Syslog.

Security Onion auf VMware Workstation einrichten

Nach dem Download der etwa 11 GB großen ISO-Datei erstellt man eine VM, wählt Typical und hängt die ISO an. Die VMware Workstation erkennt das Betriebssystem Oracle Linux 9.

Bei der VM-Konfiguration sollte man sich an den Hardware-Voraussetzungen orientieren, egal welchen Virtualisierer man wählt:

  1. 200 GB Speicherplatz für die virtuelle Festplatte, um alle Funktionen von Security Onion verfügbar zu machen. Diese speichert man in einer einzigen Datei.
  2. Mindestens 4 GB Arbeitsspeicher, besser aber 8 oder 16 GB
  3. Zwei bis acht virtuelle CPUs
  4. Für das Netzwerk lassen sich NAT-Verbindungen oder ein Bridged-Netzwerk nutzen. Der erste Adapter dient der Verwaltung von Security Onion. Für das Netzwerk-Monitoring fügt man der VM einen weiteren Bridged-Adapter hinzu.

Hinzufügen eines weiteren Netzwerkadapters für das Monitoring des Netzwerks.

Nach dem Start der VM mit Security Onion installiert man das Betriebssystem und die verschiedenen Tools. Das Setup erfolgt über einen Assistenten. Hierüber bestätigt man zunächst das Löschen des Datenträgers und legt einen Admin-Benutzer an.

Security Onion mittels Assistenten installieren

Nach der Basisinstallation und einem Neustart richtet man die Umgebung ein. Auch dafür sieht Security Onion einen Assistenten vor, das Vorgehen ist selbsterklärend.

Wichtig ist die richtige Zuordnung der Netzwerkadapter für das Monitoring und die Verwaltung sowie das Festlegen der IP-Adressen bzw. des IP-Subnetzes, das auf die Verwaltungsoberfläche zugreifen darf.

Security Onion nach der Installation einrichten

Erste Schritte mit Security Onion

Nach der Anmeldung im Terminal lassen sich die einzelnen Dienste von Security Onion mit

sudo so-status

überprüfen. Wurden alle Dienste ohne Fehler gestartet, dann kann man sich an der Web-Oberfläche einloggen. Die URL dafür kann man dem Terminal entnehmen.

Dienste von Security Onion überprüfen

Die Konsole versammelt die verschiedenen Tools unter einer Oberfläche. Erste Informationen zum Datenverkehr im Netzwerk sind über den Menüpunkt Dashboards zu finden.

Weitere Informationen zu den verschiedenen Möglich­keiten sind in der Dokumentation von Security Onion bei First Time Users zu finden.

Angezeigte Netzwerkinformationen nach dem Start der Web-Oberfläche von Security Onion.

Über den Menüpunkt Grid erkennt man den Status der einzelnen Container, über die Security Onion die Dienste startet. In größeren Umgebungen kann man hier mehrere Instanzen von Security Onion zu einer gemeinsamen Plattform zusammenschließen, auf der die einzelnen Nodes dedizierte Aufgaben übernehmen.

Events von Windows Server in Security Onion importieren

Um Logs eines Windows-Servers in Security Onion zu importieren, speichert man das Protokoll auf dem Server zunächst in eine EVTX-Datei. Das geht zum Beispiel in der Ereignisanzeige (eventvwr.msc), wo man nach einem Rechtsklick auf ein Protokoll (zum Beispiel Windows-Protokolle => System) den Befehl Alle Ereignisse speichern unter ausführt.

Speichern der Log-Einträge mit der Ereignisanzeige auf einem Windows-Server

Im Anschluss kann man über den Web-Browser in der Konsole unter Grid über das Upload-Icon bei Node Status die Datei zur weiteren Analyse in Security Onion importieren. Der Vorgang dauert natürlich einige Zeit. Nach Abschluss der Analyse lassen sich zum Beispiel bei Alerts Informationen auslesen.

Import der Log-Dateien eines Windows Server nach Security Onion

Alternativ zum manuellen Import kann man den Winlogbeat-Agent von Elastic verwenden, um die Eventlogs von Windows-Systemen an den Logstash-Server von Security Onion zu übertragen. Mit Hilfe der winlogbeat.yml legt man fest, welche Ereignisse der Server zu Security Onion weiterleiten soll. Der Agent enthält dafür eine Beispieldatei.

Im Fokus der Analyse stehen erwartungsgemäß sicherheitsrelevante Einträge, die auf Cyberangriffe und verdächtige Aktivitäten hinweisen. Dazu gehören Benutzeranmeldungen, gescheiterte Anmelde- und Zugriffsversuche.

Security Onion kann auch nach Anzeichen von Malware-Aktivitäten suchen, einschließlich ungewöhnlicher Dateioperationen, Registry-Änderungen oder verdächtiger Netzwerk­kommunikation.

Zusammenfassung

Security Onion ist eine Open-Source-Plattform, die eine Reihe von Tools für Threat Hunting, Security-Monitoring und Log-Manage­ment versammelt. Die Installation des zugrundeliegenden Linux sowie der Anwendung selbst erfolgt unkompliziert über Assistenten.

Die Open-Source-Lösung bietet ein breites Spektrum an Werkzeugen für die Security-Analyse. Dazu gehört auch die Untersuchung von Log-Files auf problematische Ereignisse, indem man sie in das System importiert.

Loading...