Es gibt viele unterschiedliche Werkzeuge, die Securityteams in Unternehmen dabei unterstützen, sicherheitsrelevante Log- und Netzwerkdaten zu überwachen, um akute Bedrohungen und Angriffe gegen die eigene Infrastruktur zu entdecken und zu analysieren. Bereits 2008 wurde das quelloffene Projekt Security Onion [1] ins Leben gerufen mit dem Ziel, offene und freie Software zu bündeln, um Bedrohungen zu analysieren, Securitymonitoring im Sinne eines Intrusion-Detection-Systems zu etablieren und ein zentrales Logmanagement im Unternehmensnetzwerk anzubieten.

Die Idee hinter Security Onion war die Bereitstellung eines Betriebssystems auf Linux-Basis, das alle relevanten Tools mitbringt und Benutzern eine passende Umgebung für die tägliche Arbeit bietet. Die Grundlage von Security Onion bildete zunächst Ubuntu. Mit Version 2 wurde die Installation der einzelnen Werkzeuge auf Container umgestellt, sodass Security Onion heute auf eigentlich allen Distributionen läuft, die Docker bereitstellen. Offiziell als Distributionen unterstützt es jedoch nur Ubuntu und CentOS. Für diesen Artikel verwenden wir die zum Download angebotene ISO-Datei, Sie können aber grundsätzlich auch eine der anderen Varianten ausprobieren, etwa eines der vorbereiteten Images, die für AWS oder Azure bereitstehen.

Das Ziel beim Einsatz von Security Onion ist die Einbruchserkennung (Intrusion Detection). Dabei unterscheiden wir zwischen Host-basierter Intrusion Detection (HIDS) und Netzwerk-basierter Intrusion Detec-tion (NIDS). Beide Verfahren haben Vor- und Nachteile, was die möglichen Beobachtungspunkte angeht. Während auf einem Host vor allem die laufenden Prozesse, Einstellungen, Registrierungseinträge, Dateien und Benutzer überprüft werden können, erlaubt die Betrachtung im Netzwerk die Kontrolle der Kommunikation und der Kommunikationspartner sowie die Überwachung von Inhalten und Metadaten.

Während Sie die Daten im Netzwerk an einer zentralen Stelle abgreifen können, etwa am Monitoring- beziehungsweise Mirrorport eines Switches, ohne die überwachten Computer selbst konfigurieren zu müssen, organisieren Sie für die Analysedaten auf den Hostsystemen entsprechende Transportmittel zu einem zentralen Logserver, der die Daten aller Computer für das Monitoring aggregiert.

Um in diesen mitunter großen Datenmengen Hinweise auf bedrohliche Aktivitäten zu entdecken, gibt es maßgeblich zwei unterschiedliche Herangehensweisen: die Suche nach bekannten Mustern (signaturbasierte Erkennung) und die Suche nach unbekannten Aktivitäten, die von einer üblichen Verwendung Ihrer Systeme abweichen (Anomalieerkennung). Beide Ansätze haben dabei Stärken und Schwächen bei der Präzision in Sachen Erkennung und Events, sodass Sie bestenfalls beide kombinieren, damit Ihnen keine Auffälligkeiten in Ihrer Infrastruktur entgehen. Um Sie bei der Analyse noch weiter zu unterstützen, bringt Security Onion neben den etablierten Werkzeugen auch eigene Entwicklungen mit.

Bevor Sie Ihre ersten Schritte mit Security Onion machen, stellen wir Ihnen an dieser Stelle die enthaltenen Werkzeuge vor und verorten diese mit den jeweiligen Aufgaben in der Security-Onion-Umgebung. Je nach konkretem Einsatzzweck und Größe Ihrer Organisation können Sie die Instanzen entweder nur auf einem Computer betreiben oder zur besseren Skalierung auf mehrere Systeme in Ihrem Netzwerk aufteilen. Dabei betrachten wir die grundlegenden Ansätze zur Generierung von Daten und die mitgelieferten Analysetools, mit denen Sie bei der Nutzung interagieren.

Für die Sammlung und erste Analyse von Netzwerkdaten bringt Security Onion fünf Werkzeuge mit: Stenographer, Suricata, Zeek, Strelka und OpenCanary.

Google entwickelte Stenographer mit dem Ziel, Netzwerkverkehr in großen Mengen vollständig mitzuschneiden, auf der Festplatte zu speichern und den dafür verfügbaren Platz zu managen sowie schnell und gezielt auf einzelne Fragmente der aufgezeichneten Kommunikation zuzugreifen. Dabei reduzieren die Entwickler die Größe dieser Fragmente auf Bruchteile eines Prozents und schließen eine komplexe Paketverarbeitung, etwa die Analyse ganzer Verbindungen, aus. Als Abfragesprache verwendet Stenographer einen Teil der Ausdrücke der Berkley-Packet-Filter-(BPF)-Syntax, die Sie vielleicht von tcpdump oder der Aufzeichnung (nicht der Analyse) von Datenverkehr mit Wireshark kennen.

Suricata ist ein vollständiges NIDS und Intrusion Prevention System (IPS). Das bedeutet, dass Sie Suricata offline, also als Monitor an einem Switch, aber auch online, etwa auf einem Firewallsystem, verwenden können. Ähnlich wie das etwas weiter verbreitete Snort arbeitet Suricata regelbasiert, Sie verwenden also Signaturen von schadhaftem Verhalten, die Sie auf die Metadaten oder die Inhalte der überwachten Kommunikation anwenden. Suricata erlaubt dabei zum Teil die Verwendung von Snort-Regeln, allerdings nur, wenn diese für die ältere Version 2.x erstellt wurden. Die IPS-Funktion können Sie auch bei den Regeln im Kontext von Security Onion verwenden, allerdings sind uns hier für das umfassende Monitoring ja vor allem die erzeugten Logdaten wichtig.

Zeek kennen Sie vermutlich noch aus unserem Security-Tipp der Ausgabe im Juli. Anfangs noch unter dem Namen Bro entwickelt, bietet es eine Möglichkeit für das Monitoring großer Datenmengen und komplexer Analysen darauf. Für diesen Zweck bringt Zeek eine eigene Skriptsprache mit, und damit sogenannte Policy Scripts, mit denen Sie den Netzwerkverkehr zur Analyse beschreiben und einschränken können. Zeek schreibt die Metadaten der überwachten Kommunikation in Logdaten, die genau für den von Security Onion verfolgten Zweck weiterverarbeitet werden können. Darüber hinaus erlaubt Zeek etwa die separate Speicherung von Dateien, die über das Netzwerk übertragen wurden, für die weitere Analyse.

Mit Strelka enthält Security Onion ein Werkzeug zur Analyse von Dateien und zur Erstellung umfangreicher Metadaten für diese Dateien. Ähnlich wie bei Bro ist das Ziel hier vor allem die Bereitstellung weiterführender Informationen und die Weitergabe dieser an Analysesysteme, was über die erzeugten Logdaten von Strelka funktioniert. Dabei arbeitet es in unserem Anwendungsfall mit den Dateien, die Zeek aus dem Netzwerkverkehr extrahiert. Die beiden Werkzeuge müssen sich hierfür nicht zwangsweise auf demselben System befinden – die Entwickler von Strelka empfehlen sogar explizit, beide Systeme für die optimale Performance voneinander zu trennen. Das gilt vor allem, weil Zeek zeitkritische Aktivitäten durchführt, während Strelka sich bei der CPU intensiven Analyse der Dateien durchaus etwas mehr Zeit lassen kann. Dafür bringt das Tool mehr als 40 unterschiedliche Scanner mit und operiert auf mehr als 60 unterschiedlichen Dateitypen.

OpenCanary stellt in Security Onion den Intrusion-Detection-Honeypot bereit. Dabei handelt es sich um einen sogenannten "Low Interaction Honeypot", der keine vollwertigen Dienste anbietet, sondern zumeist nur den ersten Kontakt eines Angreifers mit einem System abdeckt. Ein Angreifer, der in diesem Honeypot landet, wird dies also zeitnah feststellen und dann von der weiteren Benutzung absehen. Allerdings, so die Autoren von OpenCanary, hat sich der Angreifer dann schon zum Honeypot verbunden, was genau dessen Intention entspricht. Die Liste der unterstützten Protokolle ist dabei ziemlich umfangreich und beinhaltet unter anderem SSH, FTP, HTTP (und HTTP-Proxy), MySQL, Telnet und Redis. Dabei können Sie unterschiedliche Details der Dienste wie die Zeichenkette mit der SSH-Version oder die genutzten Ports frei konfigurieren. Jeder Verbindungsversuch wird entsprechend in den Logdaten dokumentiert; da es keine legitime Verwendung der Dienste gibt, sind alle Anfragen an Dienste des Honeypots verdächtig.

Während die Sammlung von Netzwerkdaten oft sehr einfach ist, sind die Anforderungen bei der Installation von HIDS beziehungsweise entsprechender Sensorik mitunter komplexer. Security Onion bringt hier drei unterschiedliche Werkzeuge mit: Wazuh, osquery und Beats.

Wazuh ist ein bereits 2015 erfolgter Fork vom OSSEC – einem bekannten HIDS –, der vor allem mit dem Ziel erfolgt ist, die Entwicklung des Werkzeugs zu verbessern. Die Developer bemängelten dabei vor allem die fehlende Weiterentwicklung und die zögerliche Integration neuer Features in OSSEC. Tatsächlich hat die derzeit aktuelle OSSEC-Version aus dem Jahr 2020 bereits mehr als zwei Jahre auf dem Buckel. Wazuh hat sich hingegen deutlich weiterentwickelt und bietet heute eine aktive Community und eine breitere Unterstützung aktueller Entwicklungen. Wazuh bietet eine Client-Server-Architektur, sodass Events zentral ausgewertet werden können. Auf den einzelnen Hosts installieren Sie dann Wazuh-Agenten. Unterstützt werden hier neben Windows, Linux und macOS auch Unix-Systeme wie Solaris, AIX oder HP UX.

Auf der Serverseite können Sie einen Clusteraufbau verwenden und den Wazuh-Master-Node getrennt von beliebig vielen Worker-Nodes für die optimale Lastverteilung betreiben. Analysten steht in Wazuh zusätzlich ein Dashboard mit umfangreicher Suchfunktion zur Verfügung. Neben klassischer Logdaten-Analyse, Rootkit- und Schwachstellenerkennung oder der Prüfung von Dateiintegrität können Sie Wazuh auch für die Inventarisierung Ihrer Clients verwenden. Logdaten werden also von den Computern gesammelt und entsprechend der Konfiguration erste Events beziehungsweise Alarme generiert und für die weitere Auswertung in Security Onion geloggt.

Das Werkzeug osquery stammt aus dem Hause Meta (ehemals Facebook). Es erlaubt die kontinuierliche oder fallbezogene Abfrage von Systemeigenschaften. Dabei abstrahiert das Tool die darunterliegenden Systeme und stellte diese in einer Form analog zu einer relationalen Datenbank zur Verfügung. Die Abfragen in osquery schreiben Sie daher in SQL, hier können Sie zurzeit auf 273 unterschiedliche Tabellen zugreifen. Der Vorteil ist, dass Sie zeitgleich auf allen angebundenen Systemen nach entsprech-enden Eigenschaften und sogenannten Indicators of Compromise (IoC), also Hinweisen auf die Kompromittierung eines Systems, suchen können. Für die kontinuierliche Beobachtung bietet osquery einen eigenen Dienst und liefert sogenannte Query Packs mit, in JSON erstellte, vorkonfigurierte Abfragen etwa zur Erkennung von Rootkits. Durch eigene Erweiterungen fügen Sie dem Schema bei Bedarf zusätzliche Tabellen für Ihre Anfragen hinzu.

Das aus dem bekannten Elastic-Stack bereitgestellte Beats ist in Security Onion als Winlogbeat für Windows-spezifische Logs und als plattformübergreifendes Filebeat für die Überwachung und Übertragung unterschiedlicher Logdaten an einen Logstash-Server verfügbar. Beide Tools bieten unterschiedliche Felder zur Auswahl der relevanten Daten. Der Log­stash-Server wird natürlich auch im Rahmen der Security-Onion-Installation (in den Varianten Standalone oder Cluster) ebenfalls bereitgestellt. Filebeat bringt bei der Installation unterschiedliche Module mit, die entweder bereits vollständig die vorhandenen Logdateien – etwa von Nginx und Apache, aber auch von AWS und Google-Cloud – unterstützen oder sich einfach an diese anpassen lassen. Filebeat ist auch verantwortlich für die Datenübertragung der beschriebenen anderen Tools, die die Ergebnisse ihrer Auswertung oder Alarme und Events in Logfiles abliefern.

Mittels Filebeat werden zudem weitere Logdaten der überwachten Systeme einfach an die zentrale Logstash-Instanz übertragen, etwa das klassische Linux-Syslog oder Auswertungen von Microsoft-Tools aus der sogenannten Sysinternals Suite, etwa von Autoruns oder Sysmon.

Nach dem ausführlichen Einblick in die Herkunft der unterschiedlichen Logdaten ist es für die Analyse natürlich wichtig, mit welchen Tools Sie zukünftig arbeiten können. Zwar bieten einige der genannten Datenlieferanten eigene Webinterfaces, Security Onion hat sich aber gerade zum Ziel gesetzt, diese zu konsolidieren und eine gemeinsame Schnittstelle zu liefern. Dafür werden die an Logstash übermittelten Daten in einer zentralen Elasticsearch-Instanz gesammelt. In verteilten Setups gelangen die Daten von Logstash zuvor noch einmal über eine Redis-Datenbank zur zentralen Instanz.

Das Hauptinterface zu Security Onion bietet die HTTP-Webseite der Security Onion Console (SOC), die den Zugriff auf die anderen Tools bündelt und auch automatisierte Alarme und manuelle Hunts, also die gezielte Suche nach IoCs auf den überwachten Systemen, erlaubt. Neben den in Security Onion enthaltenen Interfaces für Cases, Hunts und Alerts verwendet die Konsole auch wieder etablierte Tools für die Aufarbeitung und Analyse der gesammelten Daten und möglichen Incidents. Alternativ können Sie auch per SSH auf Shell und dort verfügbare Tools und Daten zugreifen.

Die wohl bekanntesten Tools in der SOC-Sammlung sind Kibana und Grafana. Die über Elasticsearch abgefragten Eigenschaften werden mit Kibana in unterschiedlichen Dashboards organisiert und systematisiert dargestellt. Dabei lassen sich über die verschiedenen, weiter oben bereits angesprochenen Beats direkt Daten für die Visualisierung in Kibana vorbereiten. Grafana erzeugt Performanceinformationen und Hinweise zum Status Ihres Gesamtsystems. Dabei werden die hochaufgelösten Daten von Grafana nach 30 Tagen gelöscht und nur noch aggregierte Daten für längere Zeiträume vorgehalten.

Mit FleetDM haben Sie Zugriff auf ein Interface für osquery. Sie können damit nicht nur Abfragen erstellen und verwalten, sondern auch zur besseren Abfrage und Definition eigener Tabellen entsprechende Packages für die Clients konfigurieren und anschließend auf Ihren Clients ausbringen. Fleet unterstützt Sie dann vor allem bei der Aufarbeitung der regelmäßig ausgeführten Abfragen und bei der Aggregation und Darstellung der Ergebnisse.

Um Ihre Anfragen an Systeme weiter zu systematisieren, hat Security Onion das sogenannte Playbook an Bord. Damit erstellen Sie sogenannte Plays, um bestimme Erkennungsstrategien abzubilden. Sie definieren also, was Sie erkennen möchten und zu welchem Zweck. Anschließend beschreiben Sie die Schritte, die nötig sind, um Resultate zu validieren beziehungsweise die aufgezeigten Probleme zu beheben. Die Play-Definitionen, die Sie für die automatische Analyse verwenden können, orientieren sich am Sigma-Format [2], einer generischen Signatur für Logdaten.

Das Ziel ist also vor allem, Regeln und Muster in Logdaten zu erkennen und aus den entsprechenden Daten dann Alarme oder Events für die weitere Bearbeitung durch Analysten zu generieren. Security Onion liefert bereits mehr als 500 dieser Plays mit, die sich entsprechend verwenden oder anpassen lassen. Über die Sigma-Community erhalten Sie bei Bedarf weitere Signaturen für Ihre Suchen. Alle Ergebnisse und Alerts sind zeitgleich auch in den Dashboards, dem Hunt-Interface und in Kibana einzusehen.

Das ebenfalls installierte CyberChef [3] kennen Sie vielleicht bereits. Dieses als Schweizer Armeemesser bezeichnete Tool erlaubt Ihnen, im Browser per Drag & Drop eine große Auswahl an "Cyber-Operationen" für unterschiedliche Inputs durchzuführen. Damit können Sie, ohne großes Vorwissen, Hashes oder Crypto-Funktionalität benutzen, Bilddaten in unterschiedliche Formate umwandeln, vorbereitete reguläre Ausdrücke zur Suche verwenden, programmiersprachenspezifische Funktionen wie PHPs "serialize" ausführen und viele kleine Funktionen mehr, für die Sie sich vielleicht schon selbst kleine Skripte gebaut haben, um sich den Analystenalltag zu erleichtern. Auch wenn Sie Security Onion nicht einsetzen, werden Sie CyberChef vermutlich in Ihrer Lesezeichenleiste hinzufügen.

Die Installation von Security Onion gestaltet sich im Grunde sehr einfach. Sie sollten sich möglichst an die Vorgaben halten, was die Hardwareanforderungen angeht. Zum Ausprobieren, etwa in einer virtuellen Maschine, bewegen Sie sich mit 200 GByte Plattenplatz, 12 GByte Arbeitsspeicher und vier Kernen an der unteren Grenze der Empfehlung.

Stellen Sie für die Installation die bereits erwähnte ISO-Datei nach dem Download in Ihrer Virtualisierungsumgebung bereit und erstellen Sie eine entsprechend ausgerüstete Maschine. Die Installation geschieht im Grunde automatisch, Sie müssen nur einen Benutzer erstellen und ein Passwort auswählen. Nach der Installation melden Sie sich mit Ihrem Benutzer in der Konsole an, das Setup von Security Onion startet automatisch.

Der erste Dialog fragt Sie, welche Art von Installation Sie durchführen möchten. Hier haben Sie die Wahl zwischen einer Testversion, einer Standalone- oder einer verteilten Variante sowie einer Import-Installation, die Ihnen hauptsächlich eine forensische Analyse von aufgezeichneten Daten erlaubt. Als Analyst wählen Sie zunächst die Option "other", um dann die Analystenversion auf Ihrer Workstation zu installieren.

Für diesen Artikel wählen wir die Standalone-Variante. Stellen Sie dafür sicher, dass Sie Ihrer VM zwei Netzwerkkarten zuweisen, diese dürfen sich jedoch nicht hinter einem Host-NAT befinden, sondern müssen in ein tatsächliches Netzwerk eingebunden sein. Bestenfalls haben Sie die Möglichkeit, echte Netzwerkkarten für die VM zur Verfügung zu stellen und eine davon am Montoringport Ihres Switches zu betreiben. So erhalten Sie später beim Testen schnell eine Menge echter Daten aus Ihrem Netzwerk.

Wählen Sie nun im Dialog das Interface, das Sie für den Managementzugang verwenden möchten. Vergeben Sie statische IP-Adressen oder ignorieren Sie die Warnung, dass die Nutzung von DHCP zu Problemen führen kann – mit einer IP-Adressreservierung sollte es keine Schwierigkeiten geben. Wenn Ihr Server über einen Internetzugang verfügt, können Sie das im nächsten Schritt einfach auswählen, ansonsten erstellt Security Onion die Installation mit den in der ISO enthaltenen Daten. Beachten Sie, dass Sie in diesem Fall auf allen Nodes in Ihrem Netzwerk die Airgap-Installation verwenden sollten.

Wählen Sie dann die Installation des "Basic"-Managers, die empfohlenen Einstellungen sind für einen ersten Test sinnvoll und lassen sich zumeist im Nachhinein noch einmal anpassen. Bei den folgenden Dialogen selektieren Sie jeweils die bereits ausgewählten Optionen. Sie können natürlich auch davon abweichen und das System nach Ihren Wünschen einrichten. Nachdem Sie den Benutzer für das Webinterface erstellt und ein Passwort für den "soremote"-Benutzeraccount vergeben haben, erfolgt bei vorhandener Internetverbindung direkt ein Update des Systems und die Einrichtung ist abgeschlossen. Nun können Sie die IP-Adressen in Ihren Browser eingeben und sich an der Management-Konsole einloggen. Sollten Sie einen 401-Fehler bekommen, kann es sein, dass Sie Ihre IP-Adresse erst freischalten müssen. Gehen Sie dafür noch einmal in die SSH-Sitzung und starten Sie "so-allow" als Root. Wählen Sie den Analystenzugang und geben Sie die IP-Adresse Ihres eigenen Computers ein.

Das Webinterface erlaubt Ihnen über das Menü auf der linken Seite den direkten Zugriff auf die eigenen Funktionen und etwas weiter unten erhalten Sie Zugriff auf die installierten Tools. Wenn Sie mit dem Netzwerkinterface bereits Datenpakete mitloggen können, sehen Sie etwa die von Suricata oder Zeek erzeugten Metadaten. Security Onion bietet Ihnen in den unterschiedlichen Ansichten bereits vordefinierte Abfragen, die Sie zum Start verwenden können, um sich zurechtzufinden.

Klicken Sie etwa unter Dashboards auf die Pfeilspitze neben der Lupe, öffnet sich ein Menü zur Auswahl. Wählen Sie in diesem Fall einfach einmal "Connections", in diesem Bereich sollten durch das Monitoring bereits Daten vorhanden sein. Bild 2 zeigt den oberen Bereich dieser Verbindungsübersicht, hier finden Sie Daten der letzten 24 Stunden, den Zeitraum ändern Sie oben rechts in der Auswahl.

Wenn Sie Security Onion nun für einige Zeit in Ihrem Netzwerk laufen lassen, erhalten Sie immer weitere Daten, die Sie zunehmend besser einschätzen können. Erstellen Sie zur Übung für einen der Alerts einen Vorfall und bearbeiten Sie diesen. Klicken Sie dafür einfach mit links auf eine der Zeilen in den Alerts und wählen Sie "Escalate" oder klicken Sie auf das "+"-Symbol nach der Auswahl des Menüpunkts "Cases". Sie können Ihrer Instanz noch weitere Sensoren hinzufügen, etwa weitere Hosts für osquery oder zusätzliche Systemlogs auf anderen Servern. Die online verfügbare Dokumentation von Security Onion liefert Ihnen weitere Beispiele für unterschiedliche Anwendungsfälle.

Mit Security Onion erhalten Sie ohne großen Aufwand eine umfangreiche Umgebung für das Monitoring und die Analyse Ihrer IT-Infrastruktur. Vor allem für kleine IT-Abteilungen kann das ein guter Einstieg in professionelle IT-Sicherheit sein. Allerdings bietet Ihnen Security Onion eben nur das Framework für Monitoring und Analyse und keinen Selbstläufer. Die Triage der aufkommenden Events und Alerts, die Feinabstimmung der Monitoringtools sowie die fallbezogene Suche nach Indicators of Compromise muss schließlich doch ein Mitarbeiter ausführen. Sie sollten also bei einer ernsthaften Einführung genug Ressourcen für die Arbeit mit den Tools vorhalten, die Security Onion Ihnen bereitstellt.

(dr)