Monitoringdaten mit Detectree visualisieren

Detectree [1] ist eine Open-Source-Entwicklung des Unternehmens WithSecure (ehemals F-Secure) zur Angriffserkennung und -abwehr. Die Idee dahinter ist die Analyse von Log- und Eventdaten mit einem besonderen Fokus auf Zusammenhänge zwischen Aktivitäten und Infrastrukturelementen. Die Entwickler haben sich dabei bewusst für Baumstrukturen zur grafischen Darstellung entschieden. Damit sind, im Gegensatz zu einfachen Graphen, nicht nur grundsätzliche Beziehungen, sondern auch Hierarchien darstellbar. Detectree fokussiert dabei vor allem Prozessbäume, also die Abhängigkeiten beziehungsweise Hierarchien von Prozessen.

Installation über Repository

Um Detectree für Ihre Analysearbeit auszuprobieren, klonen Sie das Repository aus dem offiziellen Git [2]. Leider scheint das Repository von den Entwicklern nicht besonders gut gepflegt zu werden. Im Branch "dev" finden Sie etwas aktuellere Sourcen für die Installation. Detectree ist in TypeScript entwickelt, daher benötigen Sie eine Node.JS-Installation auf Ihrem Computer. Um die benötigten Abhängigkeiten zu installieren und Detectree im Development-Modus zu starten, rufen Sie innerhalb des detectree-Verzeichnisses die folgenden Kommandos auf:

npm install

npm run dev

Sie erhalten einige Debug-Ausgaben und Informationen des Svelte-Frameworks, das die Entwickler für die GUI-Berechnungen verwenden. Nach dem Start können Sie mit Ihrem Browser unter "https://localhost:3000" auf das Werkzeug zugreifen. Da noch kein Datenbackend konfiguriert ist, sehen Sie zunächst ein leeres Interface.

Detectree unterstützt in der vorliegenden Version ausschließlich Elasticsearch als Speicherort für die Logdaten. Mit etwas Erfahrung bei der Entwicklung mit Type-Script fügen Sie Adapter für weitere Back-ends hinzu. Sie können sich dafür an der Datei

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.