Kategorie: Monitoring

WAZUH (Teil 5): Nachrüsten fehlender Funktionen

Im Quickinstall fehlen die folgenden Funktionen: Query Workbench Observability Anomaly Detection Diese könnt ihr mit den folgenden Befehlen nachinstallieren: Dank an okynos (José Fernández, Automation engineer at Wazuh) aus dem Wazuh Slack Support!

WAZUH (Teil 4): Ausnahmen definieren

Wenn Wazuh standardmäßig installiert und eingerichtet wurde, bekommt man direkt jede Menge Informationen – damit man nun die Übersicht behält und die wichtigen Ereignisse nicht untergehen, muss man erst mal das „Grundrauschen“ minimieren. Es kommen direkt sehr viele Fehlermeldungen vom Typ 60107 (Fehlgeschlagene Privileg Escalation für Chrome.exe, Slack.exe, MSEdge.exe) – diese Filter ich mit dem…
Weiterlesen

WAZUH (Teil 3): Grundsicherheit einrichten

Dieser Artikel dürfte recht lang werden und wird auch nach und nach erweitert. Ein SIEM ist nur so gut, wie es konfiguriert ist – grundsätzlich sammelt WAZUH erst mal alle Informationen, es liegt nun an euch, WAZUH beizubringen wann es euch informiert. Grundeinrichtung 24.06.2022: Als erstes möchte ich Wissen ob im Netzwerk bestimmte Funktionen genutzt…
Weiterlesen

WAZUH (Teil1): Erstellen eines SOC (Security Operation Center) mit Open Source mitteln

Sicherheit wird immer wichtiger, um eine zentrale Übersicht über das Netzwerk zu haben, bietet es sich an ein SOC (Security Operation Center) einzurichten um alle Meldungen dort zu sammeln und auszuwerten. Damit diese Daten zusammengeführt werden und ausgewertet werden können, bietet sich ein SIEM (Security Information and Event Management). Ein solches Tool ist WAZUH Server,…
Weiterlesen

Kostenlose Software für den Server- bzw. Netzwerkbereich

Viele Softwareprodukte, die ich einsetze sind entweder kostenlos oder zumindest für den Privateinsatz kostenlos. Diese Software stelle ich hier vor: Sophos UTM: Professionelle Firewall welche Web- und Emailfilter bietet sowie VPN und alles dies mit einem Umfangreichen Reporting. Die Homeversion ist bis zu 50 IP Adressen frei. VMWare ESXI Server: Host zum virtualisieren von Servern,…
Weiterlesen

Zabbix Maintenance Probleme

Wenn wiederkehrende Aufgaben mit Mails nerven (z.B. wenn Nachts der Router neugestartet wird), kann man eine Maintenance Schedule erstellen, der dann zu diesen Zeiten nicht mehr meldet. Dazu muss man dann unter Configuration > Maintenance Mode einen neuen Plan erstellen: Diesen mit dem Maintenance Type „No Data Collection“  versehen:   Diesen mit einen Zeitplan versehen: Weiterhin…
Weiterlesen

Zabbix Emailkonfiguration

Als erstes muss auf der VM ein Mailserver eingerichtet werden, damit Zabbix relayen kann (unterstützt keine authentifizierung). Dazu eignet sich z.B. Postfix, da es auf dem Server installiert – jedoch noch nicht eingerichtet ist. Postfix einrichten: In der /etc/postfix/main.cf den Eintrag mynetworks = 192.168.x.0/24 eintragen und Postfix starten (postfix start). opslp TOols installieren mit zypper install…
Weiterlesen

Zabbix Einrichtung

Allgemeine Informationen: Zabbix ist eine Open Source Monitoringlösung auf Enterprise Niveau. Sie bietet eine Werbefläche zur Einrichtung, Templates für Geräte (vereinfachte Einrichtung der zu überwachenden Ressourcen) und eine Grafische GUI um Netzwerke darzustellen. Unter www.zabbix.com gibt es fertige VMs. Hier eine Übersicht der Möglichkeiten: http://www.zabbix.com/monitor_everything.php Beispieltemplates: Fritzbox: http://znil.net/index.php?title=Zabbix:Template_FRITZBox_per_Telnet MS Infrastruktur: http://www.indented.co.uk/2013/10/02/a-few-zabbix-templates/   Später soll noch die Sophos mit…
Weiterlesen

Vergleich Monitoringlösungen

Einen übersichtlichen Vergleich der existierenden Monitoringlösungen findet man im englischen Wikipedia: http://en.wikipedia.org/wiki/Comparison_of_network_monitoring_systems

Icinga installieren

Erstellen einer VM Basis Linux 64 Bit wie folgt: 2 GB Ram 2 x 2 CPU 80 HDD 1 x LAN Installation Ubuntu Server 64 Bit 12.04 LTE, ohne Rollen. Rest wird manuell nachinstalliert. IP Adresse manuell festlegen wie folgt: sudo bash vi /etc/network/interfaces editieren init 6 ifconfig eth0 Beispielkonfig: auto lo iface lo inet…
Weiterlesen