security

Linksammlung: Monitoring von Windows Security Events mit ELK

Hinterlasse einen Kommentar

Keine Sorge, das ist keine weitere Detailbeschreibung, wie man am besten ELK aufsetzt, um Windows Events dort zu sammeln, sondern eine Linksammlung für den ELK-Rookie (wie ich einer bin 😉 )

Aufsetzen der Server-Komponenten:

Als erstes muss Java installiert werden. (Hat man ja typischerweise auf Servern nicht installiert)

Elasticsearch

Download: https://www.elastic.co/de/downloads/elasticsearch

Offizielle Doku: https://www.elastic.co/guide/en/elasticsearch/reference/current/_installation.html

Prinzipiell muss erstmal keine weitere Konfiguration erfolgen

Logstash

Download: https://www.elastic.co/de/downloads/logstash

Offizielle Doku: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html

Hier muss die Konfiguration angepasst werden.

Der Server-Port muss für die jeweilige Datenquelle definiert werden. In meinem Fall Winlogbeats

input {
  beats {
    port => 5044
  }
}

Und der elasticsearch-Server als Ziel: (Bei mir auf der gleichen Maschine)

output {
  elasticsearch {
     hosts => [„localhost:9200“]
     index => „logstash-winlogbeat-%{+YYYY.MM.dd}“
 }
}

Kibana

Download: https://www.elastic.co/de/downloads/kibana

Offizielle Doku: https://www.elastic.co/guide/en/kibana/current/windows.html

Wenn man alles auf der gleichen Maschine mit den Default-Konfigurationen haben sollte, muss die Konfig noch nicht mal angepasst werden. 😉

Ein schöne Zusammenfassung der Bereitstellung der Serverkomponenten findet sich hier: https://blog.microideation.com/2016/02/27/analyzing-monitoring-application-logs-using-elk-stack/

 

Bereitstellen der Daten

Jetzt brauchen wir natürlich noch Daten. In meinem Fall dienen (aus Securitygründen) Windows Event Collectoren als Datenquelle. (https://msdn.microsoft.com/en-us/library/bb427443(v=vs.85).aspx)

Zum Einsammeln der Events dient Winlogbeats.

Download: https://www.elastic.co/de/downloads/beats/winlogbeat

Offizielle Doku: https://www.elastic.co/guide/en/beats/winlogbeat/current/winlogbeat-installation.html

Doku passend für WEC: https://www.syspanda.com/index.php/2017/03/01/sending-windows-event-forwarder-server-wef-logs-to-elasticsearch/

 

Weitere informative Links zu dem Thema:

http://www.syspanda.com/index.php/2017/02/07/setting-up-elasticsearch-5-x-monitoring-and-visualizing-logs-with-kibana-part-3/

https://logz.io/learn/complete-guide-elk-stack/

https://logz.io/blog/installing-the-elk-stack-on-windows/

 

 

Hinterlasse einen Kommentar

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..