G DATA Business Solutions: Security Information und Event Management
Als SIEM (Security Information and Event Management) bezeichnet man ein Security-Management-System, welches die Daten unterschiedlicher Quellen verwaltet.
Es gibt einen umfassenden und zentralisierten Überblick über die aktuelle Sicherheitslage einer IT-Infrastruktur. Dafür sammelt und kategorisiert das SIEM-System Maschinendaten aus unterschiedlichen Quellen. Diese Daten werden analysiert und abweichendes Verhalten in der IT-Infrastruktur erkannt. Dies ist jederzeit in Echtzeit möglich.
Um Ihre G DATA Sicherheitslösung an Ihr bestehendes SIEM-System anzubinden, ist die Konfiguration Ihres G DATA Management Server, Telegrafs und SIEM-Systems notwendig.
Konfiguration G DATA Management Server
Zunächst ist es notwendig, die SIEM Ausgabe am G DATA Management Server einzuschalten. Des Weiteren legen Sie hier fest, in welchem Format (CEF oder ECS) die Übertragung in Ihr SIEM-System erfolgen soll. Das Standardformat ist das CEF-Format.
Führen Sie die folgenden Schritte aus:
1. |
Öffnen Sie die MMS-Konfigurationsdatei C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\config.xml |
2. |
Scrollen Sie bis zum Ende. |
3. |
Bearbeiten Sie die Gruppe Siem oder fügen Sie sie hinzu, wen sie nicht vorhanden ist.
Beispiel
|
4. |
Starten Sie den Dienst *G DATA Management Server neu.* |
Eingehende Konfiguration von Telegraf ab Version 15.2.x
Telegraf ist ein Programm zum Erfassen, Verarbeiten, Zusammenfassen und Erstellen von Metriken. Diese Anleitung beschreibt die Konfiguration von Telegraf (eingehend) für den Empfang der Sicherheitsprotokolle vom G DATA Management Server.
Für die CEF-Ausgabe liegt die fertig konfigurierte Datei bereits im Verzeichnis
C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf
Sollten Sie sich für das ECS Format entschieden haben, muss diese Anleitung entsprechend angepasst werden. Die für ECS vorbereite Telegraf.conf finden Sie unter folgendem Verzeichnis: C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf\telegrafSplunkEcs.conf |
Ausgehende Konfiguration von Telegraf (Output)
Telegraf ist ein Programm zum Erfassen, Verarbeiten, Zusammenfassen und Erstellen von Metriken. Diese Anleitung beschreibt die Konfiguration von Telegraf (ausgehend) für die Ausgabe der Sicherheitsprotokolle an Ihren SIEM Server.
Bitte wählen Sie das gewünschte Ausgabeformat über die nachfolgenden Links:
Telegraf Dienst erstellen
Nachdem die telegraf.conf eingehend und ausgehend konfiguriert vorliegt, muss ein neuer Dienst angelegt werden.
Sie können sich den aktiven Telegraf Dienst über die Powershell anzeigen lassen. Öffnen Sie hierzu die Windows-Powershell und geben Sie den folgenden Befehl ein: get-Service -Name telegraf-gdmms Wenn der Dienst vorhanden ist, erhalten Sie eine Ausgabe mit dem Namen, Anzeigenamen und Status des Dienstes. |
-
Wechseln Sie in das Telegraf Verzeichnis:
cd C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf
-
Entfernen Sie den Default vorhandenen Telegraf Dienst:
telegraf.exe --service uninstall --service-name telegraf-gdmms --service-display-name "Telegraf (Gdmms)"
-
Legen Sie einen neuen Telegraf Dienst an, der die angepasste telegraf.conf verwendet:
telegraf.exe --service install --service-name telegraf-gdmms --service-display-name "Telegraf (Gdmms)" --config "C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf\telegraf.conf"
-
Starten Sie den G DATA Management Server und den Telegraf (Gdmms) Dienst einmal neu.