{"id":14781,"date":"2021-06-07T11:44:54","date_gmt":"2021-06-07T09:44:54","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=14781"},"modified":"2022-09-12T12:01:10","modified_gmt":"2022-09-12T10:01:10","slug":"was-ist-log-management","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/was-ist-log-management\/","title":{"rendered":"Was ist Log Management?"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/was-ist-log-management\/#Was_ist_Log_Management\" >Was ist Log Management?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/was-ist-log-management\/#Vorteile_von_Log_Management\" >Vorteile von Log Management<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/was-ist-log-management\/#Einfuehrung_einer_Log_Management-Loesung\" >Einf\u00fchrung einer Log Management-L\u00f6sung<\/a><\/li><\/ul><\/nav><\/div>\n<p>Was also ist Log Management genau, welche Vorteile bringt es und was braucht man, um es technisch umsetzen zu k\u00f6nnen?<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Was_ist_Log_Management\"><\/span><strong>Was ist Log Management?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Log Management beschreibt das zentralisierte Speichern von Eventlogs und die F\u00e4higkeit, diese Daten durchsuchen und analysieren zu k\u00f6nnen.<\/p>\n<p>Systeme, deren Eventlogs zentral gespeichert werden, bezeichnet man in diesem Zusammenhang als <em>Logquelle<\/em>. Um Eventlogs von einer Logquelle zu beziehen, wird entweder ein integrierter Mechanismus (z.B. <em>syslog<\/em>) oder eine zus\u00e4tzliche Software verwendet, welche die lokalen Eventlogs weiterleitet. Derartige Software wird als <em>Shipper<\/em> oder <em>Agent<\/em> bezeichnet und ist Bestandteil der jeweiligen Log Management-L\u00f6sung.<\/p>\n<p>Die Vielfalt der anbindbaren Logquellen-Typen ist gro\u00df und bildet beinahe die ganze Palette von IT-Infrastruktur Komponenten ab.<\/p>\n<p><strong>Typische Logquellen-Typen sind z.B.:<\/strong><\/p>\n<ul>\n<li>Serverseitige Betriebssysteme (Windows Server, Linux &amp; UNIXoide)<\/li>\n<li>Endpoint Betriebssysteme (Windows &amp; Mac OS X)<\/li>\n<li>Netzwerkinfrastruktur (Switche, WLAN APs, Router, Firewalls, Load Balancer)<\/li>\n<li>Security Appliances (Layer 7 Firewalls, IDS, IPS, Spam Filter)<\/li>\n<li>Blackbox &amp; IoT Ger\u00e4te (Drucker, Thermo-Sensoren,\u2026)<\/li>\n<\/ul>\n<p>\u00dcber den typischen Anwendungsfall hinaus ist zudem auch eine Erfassung exotischer Logformate m\u00f6glich, indem man selber sogenannte <em>Log Parser<\/em> entwickelt. Diese basieren in den meisten F\u00e4llen auf der Verwendung von Regul\u00e4ren Ausdr\u00fccken (RegEx).<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Vorteile_von_Log_Management\"><\/span><strong>Vorteile von Log Management<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die Vorteile einer soliden Log Management L\u00f6sung sind vielf\u00e4ltig und erstrecken sich \u00fcber verschiedene Bereiche.<\/p>\n<p><strong><em>Nachvollziehbarkeit &amp; Fehleranalyse<\/em><\/strong><\/p>\n<p>Wenn bei einem zentralen Service Probleme auftreten oder ein wichtiger Server \u00fcberhaupt nicht mehr zu erreichen ist, hat es einen gro\u00dfen Wert, zentral auf alle Logdaten zu diesem System zugreifen zu k\u00f6nnen. Eine einfache Suche nach der IP-Adresse oder dem Hostnamen kann h\u00e4ufig bereits Aufschluss dar\u00fcber schaffen, wo Probleme bestehen, wann ein System ausgefallen ist und was kurz vor dem Ausfall passierte.<\/p>\n<p><strong><em>IT-Hygiene &amp; Sichtbarkeit \u00fcber die eigene IT-Landschaft<\/em><\/strong><\/p>\n<p>Der Begriff der <em>IT-Hygiene<\/em> ist vor allem im Bereich Cyber Security verbreitet, gemeint ist damit jedoch prim\u00e4r eine gr\u00fcndliche Kenntnis der eigenen IT-Landschaft, welche auch f\u00fcr die operative IT von gro\u00dfem Vorteil ist.<\/p>\n<p>Konkret wird darunter z.B. verstanden, dass man in der Lage ist zu unterscheiden zwischen legitimen Systemen, welche unter Kontrolle des Unternehmens stehen, und solchen, die im Firmennetzwerk nichts verloren haben. Nicht selten bringen z.B. Mitarbeiter ihre privaten Ger\u00e4te aus guter Absicht heraus mit zur Arbeit.<\/p>\n<p>Ein Logmanagement-System ist zwar nicht dazu geeignet, derartige Vorf\u00e4lle automatisiert zu erkennen, es ist jedoch ein hervorragendes Werkzeug, um Wissen \u00fcber die eigene Umgebung aufzubauen und auf Basis der Logdaten eine vern\u00fcnftige Asset Datenbank aufzubauen.<\/p>\n<p><strong><em>Sicherheit vor Log-Manipulation &amp; L\u00f6schung von Logdaten<\/em><\/strong><\/p>\n<p>Wenn menschliche Angreifer ein System \u00fcbernehmen oder Ransomware einen Rechner verschl\u00fcsselt, geht damit oft auch der Zugriff auf die Logdaten verloren. Entweder werden sie von der Ransomware verschl\u00fcsselt oder vom Angreifer gel\u00f6scht, um seine Spuren zu verwischen. Besonders f\u00e4hige Angreifer (z.B. NSA, Stichwort: DanderSpritz) manipulieren Logdaten sogar, um Nebelkerzen zu werden.<\/p>\n<p>Gegen die L\u00f6schung, Verschl\u00fcsselung oder Manipulation von lokalen Logdaten ist man mit einer zentralisierten Log Management-L\u00f6sung abgesichert. Aus diesem Grund ist die zentralisierte Speicherung von Logdaten auch ein zentrales Erfordernis von ISO 27001 und anderen Compliance Regelwerken im Bereich IT-Security.<\/p>\n<p><strong><em>SIEM &amp; IT-Forensic Readiness<\/em><\/strong><\/p>\n<p>Wer sich im Bereich Cyber Security langfristig weiterentwickeln will oder gar plant, ein konzernweites CDC \/ SOC aufzubauen, kann gut mit einer Log Management-L\u00f6sung einsteigen und diese sp\u00e4ter zu einer vollwertigen SIEM-L\u00f6sung ausbauen. Besonders praktisch ist hier die Planungssicherheit, die man durch die Implementierung einer Logmanagement-L\u00f6sung erlangt. Denn die ungleich h\u00f6heren Kosten einer SIEM-Implementierung h\u00e4ngen letztlich prim\u00e4r vom Volumen der erfassten Eventlogs ab, welches dem Betreiber einer Log Management-L\u00f6sung ja bereits bekannt ist. Doch auch abseits von langfristigen Zielen kann eine Log Management-L\u00f6sung die Reaktionsf\u00e4higkeit eines Unternehmens verbessern. Falls ein Security Incident auftritt und ein IT-Forensiker beurteilen soll, was vorgefallen ist und ob eventuell noch weitere Systeme betroffen sind, ist eine Log Management L\u00f6sung \u00e4u\u00dferst wertvoll.<\/p>\n<p>IT-Sicherheitsvorf\u00e4lle werden oft erst nach Wochen oder Monaten erkannt. Lokale Eventlogs fungieren i.d.R. als Ringpuffer und entsprechend sind die lokalen Eventlogs, die den fraglichen Vorfall betreffen, zu diesem Zeitpunkt oftmals bereits nicht mehr verf\u00fcgbar. In dieser Situation ist es sehr praktisch, wenn der IT-Forensiker im Stande ist, eine historische Analyse auf Basis eines Logmanagement-Systems durchzuf\u00fchren.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Einfuehrung_einer_Log_Management-Loesung\"><\/span><strong>Einf\u00fchrung einer Log Management-L\u00f6sung<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Was braucht es also, um eine Log Managment-L\u00f6sung zu implementieren? Bei SECUINFRA denken wir gerne in dem in der IT-Security von Bruce Schneier popularisierten PPT Framework. PPT steht f\u00fcr <strong>P<\/strong>eople, <strong>P<\/strong>rocesses &amp; <strong>T<\/strong>echnology, regt also dazu an, nicht nur \u00fcber die Technologie nachzudenken, sondern auch \u00fcber die dazugeh\u00f6rigen Prozesse und die Kompetenz der Mitarbeiter, welche letztlich ja der entscheidende Faktor sind. Die beste L\u00f6sung n\u00fctzt schlie\u00dflich wenig, wenn die Verantwortlichen nicht mit ihr umgehen k\u00f6nnen.<\/p>\n<p><strong><em>Technologie<\/em><\/strong><\/p>\n<p><strong>Technologisch betrachtet braucht man zur Einf\u00fchrung eines Log Managements prim\u00e4r drei Komponenten:<\/strong><\/p>\n<ol>\n<li>Eine Infrastruktur zur Erfassung von Eventlogs<\/li>\n<li>Eine serverseitige Komponente, welche\n<ul>\n<li>die Eventlogs langfristig speichern kann<\/li>\n<li>die gespeicherten Eventlogs effizient durchsuchen kann<\/li>\n<\/ul>\n<\/li>\n<li>Eine benutzerfreundliche Oberfl\u00e4che, welche die Auswertung und Visualisierung von Suchergebnissen erlaubt<\/li>\n<\/ol>\n<p>Es gibt eine ganze Reihe von Log Management-Systemen. SECUINFRA empfiehlt seinen Kunden die Verwendung von Splunk oder Elastic. In den fortf\u00fchrenden Blogbeitr\u00e4gen werden wir Elastic zur Veranschaulichung verwenden, weil Elastic als Open Source Produkt sehr transparent ist, was eine Erkl\u00e4rung deutlich vereinfacht.<\/p>\n<p><strong><em>Processes<\/em><\/strong><\/p>\n<p>Prozessual kann sehr viel geregelt werden, doch einige Dinge sollten unbedingt geregelt werden. An erster Stelle sollte die Kontaktaufnahme mit dem Betriebsrat und dem Datenschutzbeauftragten stehen. Die Speicherfrist von Eventlogs sollte Gegenstand einer Betriebsvereinbarung werden, was dem Unternehmen Rechtssicherheit gibt und Konflikte zwischen IT und Betriebsrat verhindert.<\/p>\n<p>Es sollte unbedingt erfasst werden, welche Systeme bereits an die Log Management-L\u00f6sung angebunden sind und mit welcher <strong>Audit Log Policy<\/strong> diese betrieben werden. Die Audit Log Policy ist die Konfiguration, die festlegt, in welchem Umfang \u00fcberhaupt Eventlogs generiert werden. Diese ist grade bei Betriebssystemen von gro\u00dfer Bedeutung, da die Logging-Mechanismen hier sehr dynamisch konfigurierbar sind.<\/p>\n<p><strong><em>People<\/em><\/strong><\/p>\n<p>Wer ein Log Management-System betreibt, sollte zuerst einmal nat\u00fcrlich verstehen, wie das System funktioniert. Die Lernkurve ist hier am Anfang steil, doch nach einer relativ kurzen Einarbeitungszeit findet sich ein technisch versierter Nutzer i.d.R. gut zurecht.<\/p>\n<p>Die eigentliche Herausforderung besteht jedoch darin, die erhobenen Eventlogs zu verstehen, was i.d.R. ein Verst\u00e4ndnis der Funktion der fraglichen Logquelle voraussetzt. Entsprechend sind die Kompetenzen hier nicht selten stark fragmentiert.<\/p>\n<p>Dennoch r\u00e4t SECUINFRA seinen Kunden generell, mit der Anbindung jedes neuen Logquellen-Typs einen dedizierten Aufwand zu betreiben, um die wichtigsten Events zu dokumentieren und f\u00fcr jeden Nutzer der Log Management-L\u00f6sung verst\u00e4ndlich zu machen.<\/p>\n<hr \/>\n<p><strong>SECUINFRA ber\u00e4t Sie als Dienstleister bei der Planung, Einf\u00fchrung und Nutzung einer Log Management-L\u00f6sung umf\u00e4nglich, \u00fcbernimmt einen Teil der Aufgaben oder betreibt Ihre Log Management-L\u00f6sung als Service f\u00fcr Sie. <a href=\"https:\/\/testing.secuinfra.com\/contact\/\">Kontaktieren Sie uns gerne!\u00a0<\/a><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Log Management beschreibt das zentralisierte Speichern von Eventlogs und die F\u00e4higkeit, diese Daten durchsuchen und analysieren zu k\u00f6nnen. Die Vorteile einer soliden Log Management L\u00f6sung sind vielf\u00e4ltig und erstrecken sich \u00fcber verschiedene Bereiche.<\/p>\n","protected":false},"author":11,"featured_media":27645,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[77,66],"tags":[],"dpc_coauthors":[],"class_list":["post-14781","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-log-management","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/14781","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=14781"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/14781\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/27645"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=14781"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=14781"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=14781"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=14781"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}