Logdatenanalyse mit Splunk

Ein SIEM verheiratet die Funktionen von Security-Information-Management- (SIM) und Security-Event-Management-(SEM)-Systemen. Wie ein SIM sammelt es Daten, wertet diese mit Bezug zur Unternehmens-Compliance aus, also der Umsetzung von Prozessdefinitionen und geltenden Richtlinien, und erlaubt das Erstellen von Berichten über die Einhaltung ebendieser Maßgaben.

Wie ein SEM sammelt es Logdaten von Anwendungen und Betriebssystemen und kann so (fast) in Echtzeit einen Überblick über den Zustand der Unternehmens-IT liefern und auch rechnerübergreifende Events korrelieren und auswerten. Ein SIEM kann also alle Aspekte der praktischen IT-Sicherheit beobachten und erlaubt die Konfiguration von Alarmbedingungen.

Splunk [1] bietet grundsätzlich zwei Modi für die Eingabe von Logdaten. Zum einen lässt sich ein Clientsystem so konfigurieren, dass es selbst die anfallenden Daten zum Splunk-System weiterleitet. Dafür installieren Sie einen Universal-Forwarder und konfigurieren diesen so, dass Logdaten ausgelesen und an die Splunk-Instanz gesendet werden. So können Sie einfach über die Remote-Installation in Ihrem Unternehmen die Rechner an Splunk anbinden. Zum anderen lässt sich Splunk so einrichten, dass es selbst die Logdaten von den Clientrechnern abfragt. Dafür benutzt Splunk in der Enterprise-Version die Windows-Management-Instrumentation-Schnittstelle (WMI). In Ihrer Active-Directory-Domäne konfigurieren Sie über die Gruppenrichtlinien den Zugriff des Splunk-Benutzers auf die Windows-Logdaten.

Splunk ausprobieren

Die Splunk-Entwickler bieten ein eigenes Docker-Image an. Das lässt sich prima zum Ausprobieren der Software nutzen. So können Sie in wenigen Momenten eine laufende Splunk-Instanz auf Ihrem Rechner installieren und die Software ohne viel Aufwand testen. Sie erhalten (natürlich) eine Testversion der kostenpflichtigen Variante Splunk Enterprise. Die Testversion läuft

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.