Zuverlässige Daten bilden die Grundlage zur Erkennung, Untersuchung und Bekämpfung von Cyber-Bedrohungen. Dabei steht nicht primär das Sammeln von Daten im Mittelpunkt, sondern vielmehr die Frage, wie mittels geschickter Auswahl, Verknüpfung und Anreicherung dieser Daten Visibilität und handlungsrelevante Information gewonnen werden kann.
Eine wesentliche Herausforderung stellt dabei die richtige Selektion der relevanten Metriken und Informationen dar, die gespeichert und archiviert werden sollen. Es gilt, sehr spezifisch zu evaluieren was der Bedarf ist und wo der Informations- und Sicherheitszugewinn am höchsten ist. Aufbauend auf dieser Analyse wurden beim Kantonsspital Baselland zwei Logging-Frameworks – elastic und Graylog – im Rahmen eines Proof-of-Concept implementiert und evaluiert. Mittels elastic (Open Source) wurde ein zentrales Logging- und Monitoring-System aufgebaut, das eine einheitliche Sicht auf die Daten aus und über kritische Systeme bietet. Das System ist hochverfügbar und ausfallsicher aufgebaut.
Die zentrale Sicht (Unified View) bietet auf Basis von Windows Client und Server Logs sowie Exchange und Active Directory Logs wertvolle Informationen für ein SOC / Sicherheitsteam. Hinzu kommt die Überwachung der DNS-Infrastruktur, die es beispielsweise erlaubt, zu erkennen wer Malware-Domains angefragt hat. So können im Falle von Warnmeldungen schnell und gezielt sicherheitsrelevante Fragestellungen beantwortet und entsprechende Massnahmen eingeleitet werden. Hinzu kommt, dass statt dem DNS-Systemlog von Microsoft packetbeat von elastic verwendet wird und dadurch nicht nur Logs innerhalb des Service, sondern auch Meta-Informationen über den Service an sich (z.B. DNS-Antwortzeiten) zur Verfügung stehen.
