G DATA Business Solutions: Security Information und Event Management

Als SIEM (Security Information and Event Management) bezeichnet man ein Security-Management-System, welches die Daten unterschiedlicher Quellen verwaltet.

Es gibt einen umfassenden und zentralisierten Überblick über die aktuelle Sicherheitslage einer IT-Infrastruktur. Dafür sammelt und kategorisiert das SIEM-System Maschinendaten aus unterschiedlichen Quellen. Diese Daten werden analysiert und abweichendes Verhalten in der IT-Infrastruktur erkannt. Dies ist jederzeit in Echtzeit möglich.

Um Ihre G DATA Sicherheitslösung an Ihr bestehendes SIEM-System anzubinden, ist die Konfiguration Ihres G DATA Management Server, Telegrafs und SIEM-Systems notwendig.

Konfiguration G DATA Management Server

Zunächst ist es notwendig, die SIEM Ausgabe am G DATA Management Server einzuschalten. Des Weiteren legen Sie hier fest, in welchem Format (CEF oder ECS) die Übertragung in Ihr SIEM-System erfolgen soll. Das Standardformat ist das CEF-Format.

Führen Sie die folgenden Schritte aus:

1.

Öffnen Sie die MMS-Konfigurationsdatei

C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\config.xml

2.

Scrollen Sie bis zum Ende.

3.

Bearbeiten Sie die Gruppe Siem oder fügen Sie sie hinzu, wen sie nicht vorhanden ist.

  1. Setzen Sie IsSiemEnabled auf true.

  2. Setzen Sie TelegrafServerPort auf den Port 8099.

  3. Setzen Sie das Output-Format wahlweise auf CEF (oder bei Bedarf auf ECS).

Beispiel
<group name="Siem">
    <setting name="IsSiemEnabled" type="bool" value="True" />
    <setting name="TelegrafServerPort" type="int" value="8099" />
    <setting name="OutputFormat" type="string" value="CEF" />
</group>

4.

Starten Sie den Dienst *G DATA Management Server neu.*

Eingehende Konfiguration von Telegraf ab Version 15.2.x

Telegraf ist ein Programm zum Erfassen, Verarbeiten, Zusammenfassen und Erstellen von Metriken. Diese Anleitung beschreibt die Konfiguration von Telegraf (eingehend) für den Empfang der Sicherheitsprotokolle vom G DATA Management Server.

Für die CEF-Ausgabe liegt die fertig konfigurierte Datei bereits im Verzeichnis

C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf

Sollten Sie sich für das ECS Format entschieden haben, muss diese Anleitung entsprechend angepasst werden. Die für ECS vorbereite Telegraf.conf finden Sie unter folgendem Verzeichnis:

C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf\telegrafSplunkEcs.conf
Eingehende Konfiguration von Telegraf Version 15.1.x

Telegraf ist ein Programm zum Erfassen, Verarbeiten, Zusammenfassen und Erstellen von Metriken. Diese Anleitung beschreibt die Konfiguration von Telegraf (eingehend) für den Empfang der Sicherheitsprotokolle vom G DATA Management Server.

1.

Laden Sie das Zip-Archiv von diesem Download-Link herunter:
https://share.gdata.de/index.php/s/pi649ToTsq79tsN.

Entpacken Sie das Zip-Archiv. Ersetzen Sie die vorhandene Datei GData.Business.Server.Siem.dll im Verzeichnis

C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\

durch die neue Datei aus dem heruntergeladenen Zip-Archiv.

2.

Laden Sie die für das Format CEF vorbereitete Datei Telegraf.conf von folgendem Link:
https://share.gdata.de/index.php/s/BrCfZq8dtN2SjqZ.

Entpacken Sie das Zip-Archiv in das Verzeichnis

C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf

Diese Anleitung bezieht sich auf die Verwendung des CEF Formates. Sollten Sie sich für das ECS Format entschieden haben, muss diese Anleitung entsprechend angepasst werden. Die für ECS vorbereite Telegraf.conf finden Sie unter folgendem Verzeichnis:

C:\Program Files(x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf\telegrafSplunkEcs.conf

Ausgehende Konfiguration von Telegraf (Output)

Telegraf ist ein Programm zum Erfassen, Verarbeiten, Zusammenfassen und Erstellen von Metriken. Diese Anleitung beschreibt die Konfiguration von Telegraf (ausgehend) für die Ausgabe der Sicherheitsprotokolle an Ihren SIEM Server.

Bitte wählen Sie das gewünschte Ausgabeformat über die nachfolgenden Links:

Telegraf Dienst erstellen

Nachdem die telegraf.conf ein- und ausgehend konfiguriert vorliegt, muss ein neuer Dienst angelegt werden.

  1. Wechseln Sie in das Telegraf Verzeichnis:

cd C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf

  1. Entfernen Sie den Default vorhandenen Telegraf Dienst:

    telegraf.exe --service uninstall --service-name TelegrafGdmms --service-display-name "Telegraf (Gdmms)"
  2. Legen Sie einen neuen Telegraf Dienst an, der die angepasste telegraf.conf verwendet:

    telegraf.exe --service install --service-name telegraf-gdmms --service-display-name "Telegraf (Gdmms)" --config "C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf\telegraf.conf"
  3. Starten Sie den G DATA Management Server und den Telegraf (Gdmms) Dienst einmal neu.