Ereignisprotokoll: Nutzung von Ereignissen und Endpunktprotokollen für die Sicherheit

Ein Ereignisprotokoll ist eine Datei, die Informationen zur Nutzung und zum Betrieb von Betriebssystemen, Anwendungen oder Geräten enthält. Sicherheitsexperten oder automatisierte Sicherheitssysteme wie SIEMs können auf diese Daten zugreifen, um Sicherheit und Leistung zu verwalten und IT-Probleme zu beheben.

In modernen Unternehmen mit einer großen und wachsenden Anzahl an Endgeräten, Anwendungen und Diensten ist es nicht mehr möglich, Sicherheit und IT-Betrieb allein durch Netzwerküberwachung zu verwalten. Ereignisprotokolle, insbesondere Endpunktprotokolle, sind von entscheidender Bedeutung.

Einführung in Ereignisprotokolle und Sicherheitsprotokolle

Ereignisse, die auf Endgeräten oder IT-Systemen auftreten, werden üblicherweise in Protokolldateien aufgezeichnet. Betriebssysteme erfassen Ereignisse mithilfe von Protokolldateien. Jedes Betriebssystem verwendet eigene Protokolldateien, und auch Anwendungen und Hardwaregeräte generieren Protokolle. Sicherheitsteams können Sicherheitsprotokolle verwenden, um Benutzer im Unternehmensnetzwerk zu verfolgen, verdächtige Aktivitäten zu identifizieren und Schwachstellen aufzudecken.

Die meisten Sicherheits- und IT-Organisationen stellen fest, dass ihre Systeme mehr Protokollinformationen generieren, als sie verarbeiten können. Tools zur Ereignis- und Protokollverwaltung helfen bei der Analyse von Protokollen, der Überwachung wichtiger in Protokollen aufgezeichneter Ereignisse und deren Nutzung zur Identifizierung und Untersuchung von Sicherheitsvorfällen.

Schlüsselkonzepte der Log-Management

Verwenden von Endpunktprotokollen für die Sicherheit

Mit der zunehmenden Nutzung von Endgeräten, darunter häufig Laptops, Telefone oder andere mobile Geräte, werden Endgeräteprotokolle für die Sicherheit immer wichtiger. Angreifer, die Zugriff auf ein Endgerät erhalten, können damit in Ihr Netzwerk eindringen. Daher ist es wichtig, Daten aus Endgeräteprotokollen zu sammeln und böswillige oder nicht autorisierte Aktivitäten zu identifizieren.

Verwenden von Windows-Ereignisprotokollen für die Sicherheit

Das Windows-Betriebssystem protokolliert die Aktivitäten von Software- und Hardwarekomponenten. Administratoren können auf diese Informationen zugreifen, um Probleme zu erkennen und zu beheben. Zur Klassifizierung von Ereignissen werden sechs Standardkategorien verwendet:

• Anwendungsprotokoll– von Anwendungen protokollierte Ereignisse. Entwickler bestimmen die von ihrer Anwendung protokollierten Ereignisse. Die Anwendung kann Informationen aus verschiedenen Quellen protokollieren. Es ist wichtig, neben der Ereignis-ID auch die Quelle zu notieren.
• Systemprotokoll– Vom Betriebssystem protokollierte Ereignisse. Beispielsweise Probleme, die bei Treibern während des Startvorgangs auftreten.
• Sicherheitsprotokoll– Sicherheitsrelevante Ereignisse, einschließlich Anmeldeversuche oder Dateilöschungen. Administratoren legen gemäß ihrer Überwachungsrichtlinie fest, welche Ereignisse in ihr Sicherheitsprotokoll eingetragen werden.
• Verzeichnisdienstprotokoll– zeichnet Active Directory-Vorgänge wie Authentifizierung und Änderung von Berechtigungen auf. Nur auf Domänencontrollern verfügbar.
• DNS-Serverprotokoll– zeichnet die DNS-Aktivität auf. Nur auf DNS-Servern verfügbar.
• Protokoll des Dateireplikationsdienstes– zeichnet die Domänencontrollerreplikation auf, nur auf Domänencontrollern verfügbar.

Mit der Ereignisanzeige von Windows können Sie Ereignisprotokolle aller oben genannten Kategorien anzeigen. Die Ereignisanzeige zeigt Informationen zu einem Ereignis an, darunter Datum und Uhrzeit, Benutzername, Computer, Quelle und Typ.

Sicherheitsprotokoll-Ereignistypen

Obwohl alle Arten von Ereignissen für die Untersuchung eines Sicherheitsvorfalls relevant sein können, sind Sicherheitsprotokolle von besonderer Bedeutung. Windows generiert bei Anmeldeversuchen einen Sicherheitsprotokolleintrag und protokolliert zusätzliche Informationen, wenn der Anmeldeversuch erfolgreich ist. Folgende Ereignistypen werden protokolliert:

Häufige Windows-Protokollereignisse, die bei Sicherheitsuntersuchungen verwendet werden

Hier sind einige häufige Ereigniscodes unter Windows 7/Vista/8/10 und Windows Server 2008/2012R2/2016/2019 (frühere Windows-Versionen haben andere Codes), die häufig bei Sicherheitsuntersuchungen verwendet werden:

Verwenden von Linux-Ereignisprotokollen für die Sicherheit

Das Linux-Betriebssystem speichert eine Zeitleiste der Ereignisse im Zusammenhang mit Server, Kernel und laufenden Anwendungen. Die wichtigsten Protokollkategorien sind:

• Anwendungsprotokolle
• Ereignisprotokolle
• Dienstprotokolle
• Systemprotokolle

Es gibt mehrere Möglichkeiten, Protokolle in Linux anzuzeigen:

• Zugriff auf das Verzeichniscd/var/log. Bestimmte Protokolltypen werden in Unterordnern des Protokollordners gespeichert, z. B.var/log/syslog.
• Verwenden Sie diedmsegBefehl zum Durchsuchen aller Systemprotokolle
• Verwenden Sie dietailBefehl, der die letzten Zeilen anzeigt, die in eine bestimmte Protokolldatei geschrieben wurden, in der normalerweise Probleme gefunden werden. Zum Beispieltail -f /var/log/syslogdruckt die nächste in die Datei geschriebene Zeile, sodass Sie Änderungen an der Syslog-Datei verfolgen können, während sie auftreten.

Im Folgenden sind häufig verwendete Linux-Protokolldateien aufgeführt:

• /var/log/syslog oder /var/log/messages– allgemeine Systemaktivitätsprotokolle. Dient zum Erkennen von Problemen, die beim Systemstart auftreten können, oder zum Isolieren von Anwendungsdienstfehlern. RedHat-basierte Systeme speichern Informationen im Ordner „Messages“, Debian-basierte Systeme im Ordner „Syslog“.
• /var/log/auth.log oder /var/log/secure– alle Authentifizierungs- und Autorisierungsprotokolle. Dient zur Untersuchung fehlgeschlagener Anmeldeversuche. RedHat-basierte Systeme speichern diese im Ordner auth.log, Debian-basierte Systeme im sicheren Ordner.
• /var/log/kern.log– Protokolle der Kernelaktivität, einschließlich benutzerdefinierter Kernel.
• /var/log/faillog– fehlgeschlagene Anmeldeversuche.
• /var/log/maillog oder var/log/mail.log– Protokolle im Zusammenhang mit Mailservern. Dient zum Verfolgen von Problemen wie als Spam markierten E-Mails und der verdächtigen Verwendung von Postfix oder SMTP.

Auf welche Daten sollten Sie sich bei Sicherheitsuntersuchung von Linux-Ereignisprotokollen konzentrieren?

Führen Sie eine Risikobewertung für die Linux-Systeme in Ihrem Unternehmen durch und legen Sie fest, welche Protokollierungsstufe erforderlich ist, wie Protokolle überprüft werden sollten und welche Protokollereignisse Sicherheitswarnungen auslösen sollten. In den meisten Fällen müssen Sie aus Sicherheitsgründen die folgenden Informationen zu einem Linux-System protokollieren:

• Benutzer- und Terminal-IDs
• Anmeldeversuche und Abmeldungen durch Benutzer
• Alle Versuche, auf Systeme, Daten, Anwendungen, Dateien oder Netzwerke zuzugreifen, sei es auf dem lokalen Computer oder über ein LAN oder WAN
• Änderungen an der Linux-Konfiguration
• Ausführen ausführbarer Prozesse auf dem Computer
• Verwendung von Systemdienstprogrammen
• Sicherheitsrelevante Ereignisse, Aktivierung oder Deaktivierung von Sicherheitstools

Verwenden der iOS-Protokollierung für die Sicherheit

iOS protokolliert keine Ereignisse, jedoch Absturzberichte von Anwendungen. iOS 10.0 und höher bietet eine API zum Protokollieren von Anwendungsereignissen. Mithilfe von Absturzberichten und der Protokollierungs-API können Sie Fehler Ihrer Anwendungen während der Entwicklung oder Produktion finden und untersuchen.

iOS-Geräte verfügen über eigene Sicherheitsfunktionen, die sowohl in der Hardware als auch in der Software implementiert sind. Die Protokollierungs-API ermöglicht den Zugriff auf die von diesen Sicherheitsfunktionen generierten Daten. Dazu gehören:

• Datenverschlüsselung– schützt sowohl persönliche als auch geschäftliche Daten vor unbefugter Nutzung.
• App-Sicherheit– überprüft die Sicherheit von iOS-Apps.
• Netzwerksicherheit– bietet Entwicklern Protokolle für sichere Authentifizierung und verschlüsselte Datenübertragung.
• Apple Pay– Mit iOS-Geräten kann sicher bezahlt werden. Es werden keine identifizierbaren Informationen erfasst.
• Internetdienste– iOS bietet eine Vielzahl sicherer Dienste, wie iMessage und iCloud Backup.
• Benutzerkennwortverwaltung– Authentifizierungsmethoden wie der Schlüsselbund zur automatischen Kennwortvervollständigung. Apps können ohne Benutzerberechtigung nicht auf diese Informationen zugreifen.
• Gerätesteuerungen– Verwaltungstools, die Aktionen wie das Remote-Löschen gestohlener Geräte ermöglichen.
• Datenschutzkontrollen– Benutzer können entscheiden, welche Apps auf welche Informationen zugreifen.

Verwenden der Android-Protokollierung für die Sicherheit

Android bietet eine Plattform, die Zugriff auf alle System- und Anwendungsprotokolle bietet, einschließlich Protokollen des Kerneltreibers sowie von C-, C++- und Java-Klassen. Die Protokollierungsplattform bietet Anwendungen zum Anzeigen und Filtern von Protokollmeldungen.

Android-Protokolltypen

• Anwendungsprotokoll– eine Android-Anwendung verwendet dasandroid.util.LogKlasse zum Erstellen von Protokollmeldungen. Anwendungen können Protokollebenen oder den Schweregrad von Meldungen sowie beschreibende Tags festlegen, um Protokollfilterung und -warnung zu aktivieren.
• Ereignisprotokoll– Meldungen werden erstellt mit demandroid.util.EventLogKlasse, die binär formatierte Protokollmeldungen verwendet. Protokolleinträge bestehen aus binären Tag-Codes, binären Parametern und einer Protokollmeldungszeichenfolge. Nachrichtencodes werden gespeichert in/system/etc/event-log-tags.
• Systemprotokoll– Klassen im Android-Framework verwenden das Systemprotokoll, um ihre Nachrichten von Anwendungsprotokollen zu trennen. Android-Klassen führen die Protokollierung mithilfe desandroid.util.Slog class.

Protokollierung Sensible Daten

• Achten Sie darauf, wie Ihr Unternehmen mit Benutzerdaten umgeht. Unter Android werden Protokolle mit der Berechtigung READ_LOGS an Anwendungen weitergegeben. Dadurch können Benutzerdaten unbeabsichtigt an andere Apps weitergegeben werden.
• Beschränken Sie Benutzerdaten auf ein Minimum. Dies erreichen Sie, indem Sie die Speicherung oder Übertragung Personenbezogene Daten (PII) vermeiden. Externe Komponenten sollten nicht auf Benutzerdaten zugreifen, wenn es keinen Grund dafür gibt.
• Wenn Anwendungen Zugriff auf Daten benötigen, ermöglichen Sie den direkten Zugriff über den Client. Auf diese Weise müssen Daten nicht an andere Server übertragen werden.

Zusätzliche Protokolle, deren Überwachung Sie in Betracht ziehen sollten

Neben den oben genannten gängigen Protokollquellen gibt es zahlreiche weitere Unternehmenssysteme und Sicherheitstools, die Protokolle generieren. Alle diese Systeme können Auswirkungen auf die Sicherheit haben. Da viele Unternehmen nur über begrenztes Sicherheitspersonal verfügen, ist es jedoch wichtig, die Protokolle für die Überwachung durch Analysten zu priorisieren.

Nachfolgend finden Sie eine Liste der gängigsten Protokoll- und Informationsquellen, die in Ihrem Unternehmen vorkommen können. Wählen Sie die wichtigsten Quellen aus, die Ihr Sicherheitsteam regelmäßig überwachen wird.

SIEM-Protokollierung (Security Information and Event Management)

SIEM-Protokollierung ist der Prozess der Aggregation und Überwachung von Protokollen zu Sicherheitszwecken. SIEM-Systeme werden von Sicherheitsteams verwendet, um Ereignisdaten von IT-Systemen und Sicherheitstools im gesamten Unternehmen zu sammeln und diese zu nutzen, um verdächtiges Verhalten zu identifizieren, das auf einen Sicherheitsvorfall hindeuten könnte.

Zu den allgemeinen sicherheitsrelevanten Protokollereignissen, die von einem SIEM verfolgt werden, gehören:

• Warnung von Antivirus oder Endpunktschutz vor einer Malware-Infektion
• Warnung von einem E-Mail-System über Spam oder schädlichen Inhalt in einer E-Mail
• Firewall-Warnung über blockierten Netzwerkverkehr
• Verbindung zu einem System von einem unbekannten Host oder einer unbekannten IP
• Fehlgeschlagene Anmeldungen, insbesondere wenn sie wiederholt oder auf kritische Systeme abzielen
• Änderung der Benutzerrechte, insbesondere Rechteausweitung
• Verwendung neuer oder unbekannter Ports oder Protokolle, die nicht sicher sind oder gegen die Sicherheitsrichtlinien verstoßen

Erkennen von Sicherheitsvorfällen mithilfe von Korrelationsregeln

Traditionell generierten SIEMs Warnmeldungen aus Protokollen mithilfe von Korrelationsregeln. Eine Korrelationsregel gibt eine Reihe von Ereignissen und bestimmte Protokollwerte oder Wertebereiche an, die auf eine Sicherheitsbedrohung hinweisen können (z. B. drei oder mehr fehlgeschlagene Anmeldeversuche). Eine weitere Möglichkeit, Sicherheitsrisiken aus Protokollen zu extrahieren, ist eine Schwachstellenanalyse. Dabei scannen automatisierte Scanner Netzwerke auf Softwareschwachstellen, die von Angreifern angegriffen werden können. Einige dieser Scans basieren auf Protokollen.

Erkennen von Sicherheitsvorfällen mithilfe von Verhaltensanalyse

SIEM-Technologie der nächsten Generation nutzt User- und Event-Behavior-Analytics (UEBA), um ein Basisverhalten für Benutzer und andere Entitäten im Netzwerk wie Server, Endpunkte oder Anwendungen zu erstellen. Die Verhaltensanalyse-Engine kann das Verhalten überwachen und erkennen, ob es vom Basisverhalten abweicht, also ob etwas „anders aussieht“, selbst wenn es nicht durch eine strenge Korrelationsregel definiert werden kann. Sind die Abweichungen groß genug und deuten auf ein Sicherheitsrisiko hin, löst das UEBA-System eine Warnung aus. Dies kann dazu beitragen, Insider-Bedrohungen, Betrug, Advanced Persistent Threats (APT) und andere ausgeklügelte Angriffstechniken zu erkennen, die einer korrelationsregelbasierten Erkennung leicht entgehen können. Ein Beispiel für ein SIEM der nächsten Generation mit integrierter UEBA finden Sie unter Exabeam Advanced Analytics.