Anleitung: Das Konfigurieren von AlientVault OSSIM zum Sammeln von Windows-Sicherheitsereignisprotokollen

In der heutigen digitalen Landschaft ist die Sicherheit Ihrer IT-Infrastruktur von höchster Priorität. Eine der effektivsten Methoden, um potenzielle Bedrohungen und verdächtige Aktivitäten frühzeitig zu erkennen, ist die sorgfältige Überwachung von Sicherheitsereignisprotokollen. Insbesondere Windows-Systeme generieren eine Fülle wertvoller Informationen, die, wenn sie korrekt gesammelt und analysiert werden, Aufschluss über Anmeldeversuche, Dateiänderungen, Systemprozesse und vieles mehr geben können. Hier kommt ein Security Information and Event Management (SIEM)-System wie AlienVault OSSIM ins Spiel.

AlienVault OSSIM (Open Source SIEM) ist eine leistungsstarke und dennoch zugängliche Plattform, die darauf ausgelegt ist, Sicherheitsdaten aus verschiedenen Quellen zu sammeln, zu korrelieren und zu analysieren. Sie bietet einen ganzheitlichen Überblick über die Sicherheitslage Ihrer Umgebung. Dieser Artikel führt Sie Schritt für Schritt durch den Prozess der Konfiguration von AlienVault OSSIM, um Windows-Sicherheitsereignisprotokolle effizient zu sammeln. Wir konzentrieren uns dabei auf die agentenlose Sammlung über WinRM/WMI, welche für viele Umgebungen eine praktische und effektive Lösung darstellt.

1. Einleitung: Warum Windows-Sicherheitsereignisse überwachen?

Windows-Systeme sind das Rückgrat der meisten Unternehmensnetzwerke. Von Workstations bis hin zu Servern erzeugen sie kontinuierlich Protokolleinträge über alles, was auf ihnen geschieht. Ohne eine zentrale Sammelstelle und Analyselösung sind diese Protokolle jedoch oft isoliert und schwer zu überblicken. Das manuelle Durchsuchen von Ereignisprotokollen auf einzelnen Maschinen ist ineffizienten und praktisch unmöglich in größeren Umgebungen. Hier sind die Hauptgründe, warum die Protokollsammlung so wichtig ist:

• Bedrohungserkennung: Erkennung von Anzeichen für Kompromittierungen wie Brute-Force-Angriffe, verdächtige Anmeldeversuche, die Nutzung unerlaubter Zugriffsrechte oder das Starten bösartiger Prozesse.
• Forensische Analyse: Im Falle eines Sicherheitsvorfalls sind detaillierte Protokolle unerlässlich, um den Ablauf des Angriffs zu rekonstruieren, die betroffenen Systeme zu identifizieren und die Ursache zu beheben.
• Compliance: Viele Branchenvorschriften (z.B. DSGVO, HIPAA, PCI DSS) erfordern eine umfassende Protokollierung und Überwachung von Systemaktivitäten, um Audits zu bestehen und die Einhaltung von Sicherheitsstandards nachzuweisen.
• Leistungsüberwachung und Fehlerbehebung: Neben Sicherheitsereignissen können auch andere Protokolle Aufschluss über Systemleistungsprobleme oder Fehlkonfigurationen geben.

AlienVault OSSIM zentralisiert diese Protokolle, normalisiert sie und wendet Korrelationsregeln an, um Muster zu erkennen, die auf Sicherheitsvorfälle hindeuten könnten, selbst wenn einzelne Ereignisse für sich genommen unauffällig erscheinen.

2. AlienVault OSSIM im Überblick

AlienVault OSSIM ist eine Open-Source-Version der kommerziellen USM (Unified Security Management)-Produkte von AT&T Cybersecurity. Es bietet eine Reihe von Kernfunktionen, die für eine effektive SIEM-Lösung unerlässlich sind:

• Asset Discovery: Erkennung und Kategorisierung von Geräten in Ihrem Netzwerk.
• Vulnerability Assessment: Schwachstellen-Scans, um potenzielle Angriffsvektoren zu identifizieren.
• Intrusion Detection System (IDS): Erkennung von Netzwerk- und Host-basierten Angriffen.
• Verhaltensüberwachung: Analyse des Netzwerkverkehrs und der Systemaktivitäten auf Anomalien.
• SIEM: Die Kernfunktion, die sich auf die Sammlung, Korrelation und Analyse von Sicherheitsereignisprotokollen konzentriert.

Für unsere Zwecke konzentrieren wir uns auf die SIEM-Komponente, insbesondere die Fähigkeit, Logs von Windows-Systemen zu importieren und zu verarbeiten.

3. Vorbereitung ist alles: Voraussetzungen für die Protokollsammlung

Bevor wir mit der Konfiguration beginnen, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

• AlienVault OSSIM-Instanz: Eine vollständig installierte und funktionierende OSSIM-Instanz in Ihrem Netzwerk. Stellen Sie sicher, dass sie auf dem neuesten Stand ist.
• Netzwerkkonnektivität: Der OSSIM-Server muss in der Lage sein, die Windows-Systeme über das Netzwerk zu erreichen, von denen Protokolle gesammelt werden sollen. Dies bedeutet in der Regel, dass der OSSIM-Sensor (oder der OSSIM-Server selbst, wenn er auch als Sensor fungiert) eine direkte IP-Verbindung zu den Windows-Maschinen herstellen kann.
• Berechtigungen: Sie benötigen einen Benutzeraccount auf den Windows-Maschinen, der über die notwendigen Berechtigungen zum Lesen der Ereignisprotokolle verfügt. Ein Domänenadministrator oder ein Mitglied der Gruppe „Ereignisprotokoll-Leser” (Event Log Readers) ist ideal. Für erhöhte Sicherheit können Sie einen dedizierten Dienstkonto mit minimalen Rechten erstellen.
• Firewall-Regeln: Die Windows-Firewall (oder eine andere Software-Firewall) muss so konfiguriert sein, dass eingehende WinRM-Anfragen zugelassen werden. Standardmäßig verwendet WinRM HTTP auf Port 5985 und HTTPS auf Port 5986.
• Ereignisprotokollgrößen: Stellen Sie sicher, dass die maximalen Größen der Windows-Ereignisprotokolle (Sicherheit, System, Anwendung etc.) ausreichend groß sind, um die gewünschten Daten für eine angemessene Zeitspanne zu speichern, bevor sie überschrieben werden. Eine zu kleine Größe führt zum Verlust wichtiger Informationen.

4. Die Königsklasse: Agentenlose Sammlung über WinRM/WMI

Die agentenlose Sammlung bedeutet, dass keine zusätzliche Software auf den Windows-Systemen installiert werden muss. OSSIM greift direkt über Standardprotokolle auf die Ereignisprotokolle zu. WinRM (Windows Remote Management) ist die bevorzugte Methode, da sie auf dem SOAP-Protokoll basiert und eine robustere, sicherere und firewallfreundlichere Alternative zu WMI (Windows Management Instrumentation) darstellt, obwohl WMI ebenfalls unterstützt wird.

4.1. Windows-Seite: WinRM für OSSIM vorbereiten

Um die Sammlung von Windows-Ereignisprotokollen zu ermöglichen, müssen Sie WinRM auf Ihren Windows-Systemen konfigurieren. Dies kann manuell über die Befehlszeile oder, für größere Umgebungen, über Gruppenrichtlinien (GPO) erfolgen.

a. WinRM aktivieren und konfigurieren

Öffnen Sie eine Eingabeaufforderung als Administrator oder PowerShell und führen Sie aus:

winrm quickconfig

Bestätigen Sie die Änderungen mit ‘j’ oder ‘y’. Dieser Befehl führt folgende Aktionen aus:

• Startet den WinRM-Dienst und stellt ihn auf automatischen Start.
• Erstellt einen HTTP-Listener auf Port 5985 (oder 5986 für HTTPS, falls aktiviert).
• Konfiguriert Firewall-Ausnahmen für WinRM.

Wenn Sie HTTPS verwenden möchten (was empfohlen wird für Produktionsumgebungen), müssen Sie ein Serverzertifikat konfigurieren und den Listener für HTTPS einrichten.

b. Firewall-Regeln überprüfen

Obwohl winrm quickconfig die Firewall-Regeln einrichtet, ist es gut, diese zu überprüfen. Stellen Sie sicher, dass die Regeln „Windows-Remoteverwaltung (HTTP-In)” oder „Windows-Remoteverwaltung (HTTPS-In)” für Port 5985 bzw. 5986 aktiviert sind. Dies können Sie über die „Windows Defender Firewall mit erweiterter Sicherheit” tun.

c. Berechtigungen für den Lesevorgang

Der Benutzer, mit dem sich OSSIM verbindet, benötigt Lesezugriff auf die Ereignisprotokolle. Am einfachsten ist es, diesen Benutzer zur lokalen Gruppe „Ereignisprotokoll-Leser” (Event Log Readers) hinzuzufügen. Wenn Sie ein Domänenkonto verwenden, können Sie dies auch über Gruppenrichtlinien für mehrere Systeme gleichzeitig tun.

Alternativ können Sie die Berechtigungen direkt für den WinRM-Dienst konfigurieren. Öffnen Sie eine Eingabeaufforderung als Administrator und führen Sie aus:

winrm s winrm/config/service @{AllowUnencrypted="true"}

Achtung: AllowUnencrypted="true" ist für Testumgebungen akzeptabel, aber für Produktionsumgebungen wird dringend empfohlen, WinRM über HTTPS mit Zertifikaten zu sichern und AllowUnencrypted="false" zu setzen.

Um zu testen, ob der Benutzer auf die Logs zugreifen kann, können Sie auf einem anderen System versuchen, die Ereignisanzeige zu öffnen und sich mit dem entfernten Computer zu verbinden.

d. Anpassen der Ereignisprotokollgrößen

Navigieren Sie in der Ereignisanzeige (Event Viewer) zu „Windows-Protokolle” -> „Sicherheit”. Klicken Sie mit der rechten Maustaste auf „Sicherheit” und wählen Sie „Eigenschaften”. Passen Sie die „Maximale Protokollgröße” an Ihre Bedürfnisse an. Für Server ist 512 MB oder mehr oft angemessen. Stellen Sie außerdem sicher, dass die Option „Ereignisse überschreiben, wenn erforderlich (älteste Ereignisse zuerst)” ausgewählt ist, um einen kontinuierlichen Fluss zu gewährleisten, oder „Archivieren, wenn Protokoll voll ist” für die Archivierung wichtiger Protokolle.

4.2. OSSIM-Seite: Windows-Host hinzufügen und Datenquellen konfigurieren

Nachdem die Windows-Systeme vorbereitet sind, konfigurieren wir OSSIM, um die Protokolle abzurufen.

a. Anmelden bei der OSSIM-Weboberfläche

Melden Sie sich mit Ihren Administrator-Anmeldeinformationen bei der AlienVault OSSIM-Weboberfläche an.

b. Hinzufügen des Assets (Windows-Host)

1. Navigieren Sie zu „Umgebung” (Environment) im oberen Menü.
2. Wählen Sie „Assets” im linken Seitenmenü.
3. Klicken Sie auf „Neues Asset hinzufügen” (Add New Asset).
4. Geben Sie im Feld „Name” einen beschreibenden Namen für den Windows-Host ein.
5. Geben Sie im Feld „Netzwerk” die IP-Adresse oder den Hostnamen des Windows-Systems ein.
6. Wählen Sie unter „Betriebssystem” (Operating System) die Option „Windows”.
7. Speichern Sie das Asset.

c. Konfigurieren der Datenquelle (WinRM/WMI)

Nachdem das Asset hinzugefügt wurde, müssen Sie eine Datenquelle konfigurieren, um OSSIM mitzuteilen, wie die Protokolle gesammelt werden sollen.

1. Wählen Sie das soeben erstellte Windows-Asset aus der Liste aus und klicken Sie auf das Stiftsymbol (Bearbeiten).
2. Wechseln Sie zur Registerkarte „Datenquellen” (Data Sources).
3. Klicken Sie auf „Neue Datenquelle” (New Data Source) hinzufügen.
4. Wählen Sie unter „Sensor” den Sensor aus, der für die Protokollsammlung zuständig sein soll (oft der OSSIM-Server selbst, wenn er als Sensor agiert).
5. Suchen Sie unter „Plugin” nach „Microsoft Windows” oder „Microsoft Windows Audit” (für detailliertere Sicherheitsprotokolle). Wählen Sie das entsprechende Plugin aus.
6. Wählen Sie unter „Sammlungsmethode” (Collection Method) die Option „WMI” oder „WinRM”. Es wird dringend empfohlen, WinRM zu verwenden, wenn es auf der Windows-Seite konfiguriert ist.
7. Geben Sie unter „Benutzername” (Username) und „Passwort” (Password) die Anmeldeinformationen des Windows-Benutzers ein, der Zugriff auf die Ereignisprotokolle hat (z.B. DOMÄNEBenutzername oder .Benutzername für lokale Konten).
8. Testen Sie die Verbindung über die entsprechende Schaltfläche, sofern vorhanden.
9. Klicken Sie auf „Hinzufügen” (Add) und dann auf „Speichern” (Save), um die Änderungen am Asset zu übernehmen.

OSSIM beginnt nun, periodisch die Ereignisprotokolle von den konfigurierten Windows-Systemen abzurufen. Dieser Prozess kann einige Minuten dauern, bis die ersten Ereignisse in OSSIM erscheinen.

5. Alternative: Agentenbasierte Sammlung (OSSEC / NXLog)

Während die agentenlose Sammlung einfach einzurichten ist, kann sie in sehr großen Umgebungen oder für die Sammlung sehr spezifischer Protokolle, die über WinRM/WMI schwer zugänglich sind, an ihre Grenzen stoßen. In solchen Fällen können Sie auf agentenbasierte Lösungen zurückgreifen:

• OSSEC: Ein Host-basiertes Intrusion Detection System (HIDS), das von AlienVault OSSIM nativ unterstützt wird. Der OSSEC-Agent wird auf dem Windows-System installiert und leitet Protokolle an den OSSEC-Manager auf dem OSSIM-Server weiter. Dies bietet eine tiefere Überwachung, einschließlich Dateiintegritätsüberwachung.
• NXLog: Ein vielseitiger Protokoll-Collector, der Ereignisse in verschiedenen Formaten sammeln und an einen zentralen Syslog-Server oder direkt an OSSIM (wenn es als Syslog-Server konfiguriert ist) weiterleiten kann. NXLog ist sehr flexibel und kann auch andere Log-Typen als Windows-Ereignisprotokolle verarbeiten.

Die Konfiguration dieser Agenten ist detaillierter und würde den Rahmen dieses Artikels sprengen, aber es ist wichtig zu wissen, dass sie eine leistungsstarke Alternative für anspruchsvollere Anforderungen darstellen.

6. Validierung und Fehlerbehebung: Sehen, was gesammelt wird

Nachdem Sie alles konfiguriert haben, ist es entscheidend zu überprüfen, ob die Protokolle tatsächlich in OSSIM ankommen und korrekt verarbeitet werden.

a. Überprüfen der Logs in OSSIM

1. Navigieren Sie in OSSIM zu „Analyse” (Analysis) im oberen Menü.
2. Wählen Sie „SIEM” im linken Seitenmenü.
3. Filtern Sie die Ereignisse nach dem Namen oder der IP-Adresse Ihres Windows-Assets.

Sie sollten nun eine Flut von Windows-Ereignissen sehen (z.B. Event ID 4624 für erfolgreiche Anmeldungen, 4625 für fehlgeschlagene Anmeldungen, 4688 für Prozesserstellung). Überprüfen Sie, ob die Ereignisse normalisiert und die Felder korrekt geparst werden.

b. Häufige Probleme und Lösungen

• Keine Logs sichtbar:
  • Netzwerkkonnektivität: Überprüfen Sie, ob der OSSIM-Sensor den Windows-Host pingen kann.
  • Firewall: Stellen Sie sicher, dass Port 5985 (oder 5986) auf dem Windows-Host nicht durch eine Firewall blockiert wird.
  • Anmeldeinformationen: Überprüfen Sie Benutzername und Passwort in OSSIM. Stellen Sie sicher, dass der Benutzer die korrekten Berechtigungen hat und das Passwort nicht abgelaufen ist.
  • WinRM-Dienst: Stellen Sie sicher, dass der WinRM-Dienst auf dem Windows-Host läuft und ordnungsgemäß konfiguriert ist (winrm quickconfig).
  • OSSIM-Sensor/Datenquelle: Überprüfen Sie, ob der Sensor korrekt dem Asset zugewiesen und die Datenquelle aktiviert ist.
• Fehler beim Parsen der Logs:
  • Falsches Plugin: Stellen Sie sicher, dass Sie das korrekte „Microsoft Windows” oder „Microsoft Windows Audit” Plugin ausgewählt haben.
  • Plugin-Updates: Überprüfen Sie, ob das OSSIM-System und die Plugins auf dem neuesten Stand sind. Veraltete Plugins können Probleme beim Parsen neuer Event-IDs verursachen.
• Zu viele/zu wenige Logs:
  • Ereignisprotokollgröße: Passen Sie die maximale Größe der Ereignisprotokolle auf dem Windows-Host an, falls Protokolle zu schnell überschrieben werden.
  • Überwachungseinstellungen: Auf dem Windows-Host können Sie über lokale Sicherheitsrichtlinien oder GPO konfigurieren, welche Ereignisse überhaupt protokolliert werden (z.B. Audit-Richtlinien für Anmeldungen, Prozesserstellung etc.). Stellen Sie sicher, dass die gewünschten Ereignisse zur Protokollierung aktiviert sind.

Die OSSIM-Systemprotokolle (/var/log/alienvault/agent/agent.log oder spezifischere Sensor-Logs) können ebenfalls wertvolle Hinweise auf Verbindungsprobleme oder Plugin-Fehler geben.

7. Best Practices für eine effiziente Überwachung

• Detaillierte Audit-Richtlinien: Konfigurieren Sie auf Ihren Windows-Systemen detaillierte Audit-Richtlinien (z.B. über GPO), um alle relevanten Sicherheitsereignisse zu protokollieren. Dazu gehören Audit von Anmeldeereignissen, Kontoverwaltung, Verzeichnisservicezugriffe, Objektezugriffe und detaillierte Prozessverfolgung.
• Dedizierter Dienstaccount: Verwenden Sie einen speziellen, nicht-privilegierten Domänenbenutzer oder ein lokales Konto mit minimalen Berechtigungen (nur Leserechte für Ereignisprotokolle) für die WinRM-Verbindung.
• Sichere Kommunikation: Implementieren Sie WinRM über HTTPS, um die Kommunikation zwischen OSSIM und den Windows-Hosts zu verschlüsseln.
• Ressourcenplanung: Die Protokollsammlung kann Netzwerkbandbreite und CPU-Ressourcen auf dem OSSIM-Server beanspruchen. Planen Sie ausreichend Ressourcen ein, insbesondere in größeren Umgebungen.
• Regelmäßige Überprüfung: Überprüfen Sie regelmäßig die gesammelten Logs und die von OSSIM generierten Alarme. Passen Sie Korrelationsregeln und Plugins bei Bedarf an.
• Alarmierung und Berichterstattung: Konfigurieren Sie in OSSIM entsprechende Alarme und Berichte, um bei kritischen Ereignissen sofort benachrichtigt zu werden und regelmäßig Übersichten zu erhalten.

8. Fazit: Ihr Windows-Netzwerk im Fokus

Die Integration von Windows-Sicherheitsereignisprotokollen in AlienVault OSSIM ist ein entscheidender Schritt zur Stärkung Ihrer Cybersicherheit. Durch die Zentralisierung, Normalisierung und Korrelation dieser Daten erhalten Sie eine beispiellose Transparenz über die Aktivitäten in Ihrem Netzwerk. Dies ermöglicht Ihnen nicht nur, Angriffe und verdächtige Verhaltensweisen frühzeitig zu erkennen, sondern auch Compliance-Anforderungen zu erfüllen und im Falle eines Vorfalls eine fundierte forensische Analyse durchzuführen. Auch wenn die Erstkonfiguration einige Schritte erfordert, überwiegen die langfristigen Vorteile einer robusten Protokollsammlung und Analyse bei weitem den Aufwand. Nehmen Sie die Sicherheit Ihres Windows-Netzwerks selbst in die Hand und nutzen Sie die Leistungsfähigkeit von AlienVault OSSIM.