Security Information and Event Management mit Open Source umsetzen

Apache Metron als SIEM nutzen

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Apache Metron ist eine Security-Lösung, die vor allem für den Big-Data-Bereich entwickelt wurde.
Apache Metron ist eine Security-Lösung, die vor allem für den Big-Data-Bereich entwickelt wurde. (© BillionPhotos.com - stock.adobe.com)

Lösungen im Bereich Big Data sind grundsätzlich auch in vielen Fällen dazu geeignet im Security-Bereich Einsatz zu finden. Apache Metron ist eine solche Lösung, die generell durchaus sinnvoll eingesetzt werden kann, wenn ein SIEM-System aufgebaut werden soll.

Ein zentraler Faktor bei der Verwendung eines SIEM ist die enorme Datenmenge, die verarbeitet werden muss. Hierzu sind Big-Data-Lösungen wie Apache Metron natürlich problemlos in der Lage. Apache Metron stellt eine Security-Lösung dar, die vor allem für den Big-Data-Bereich entwickelt wurde. Metron arbeitet dazu mit Möglichkeiten von Hadoop.

Im Beitrag „Mit Apache Metron Big-Data-Projekte schützen“ wurden dazu bereits Möglichkeiten aufgezeigt. Apache Metron ist zusätzlich durchaus als SIEM-System einsetzbar, außerhalb von Big Data im Netzwerk.

Apache Metron als Alternative zu ELK Stack und OSSEC einsetzen

In vielen Unternehmen wird als SIEM-System auf ELK Stack gesetzt. Bei dem Produkt handelt es sich um eine Sammlung von Open Source-Tools, mit denen sich eine SIEM-Lösung im Netzwerk aufbauen lässt. Auch OSSEC ist in diesem Bereich ein bekanntes Projekt, um die IT-Sicherheit im Netzwerk zu verbessern.

Apache Metron ist als SIEM-System durchaus einsetzbar. Es bietet dazu vielfältige Möglichkeiten, die ein SIEM-System ausmachen. Zunächst lassen sich Daten eines großen Zeitraums speichern. Da Apache Metron als Big Data-Lösung konzeptioniert ist, kann die Open Source-Lösung auch mit Data Lakes umgehen. Data Lakes sind einfach ausgedrückt, eine firmeninterne Speichermöglichkeit für alle Daten und Quellen. Anwender im Unternehmen, können auf Basis Ihrer Berechtigungen, auf die Daten zugreifen und diese analysieren. Für gewöhnlich liegen die Daten im Data Lake in unveränderter Form vor, sie werden also nicht transformiert. Der Zugriff auf den Data Lake erfolgt mit verschiedenen Analyse-Werkzeugen, welche die Daten erst für den eigenen Gebrauch umwandeln.

Metron kann mit diesen Daten über das umfangreiche Framework zugreifen, das zu dieser Open Source-Umgebung gehört. Diese Daten lassen sich intern Analysieren und an andere Lösungen weitergeben. Auch Aufgaben, wie das Sammeln von Daten und das Auslösen von Aktionen bei Bedrohungen kann durch Metron übernommen werden. Metron ist darüber hinaus in der Lage mit Machine Learning zu arbeiten. Das ermöglicht das Erkennen von Anomalien im Netzwerk und damit das frühzeitige Auslösen von Alarmen bei Angriffen auf das Netzwerk.

Vordefinierte Anomalien und eigene Definitionen - Use Cases

Die meisten SIEM-Lösungen arbeiten mit vorgefertigten Use Cases, also mit Anomalien, nach denen die Lösung suchen soll. Metron arbeitet hier nach einem anderen Ansatz. Es gibt keine vorgefertigten Use Cases, sondern im Fokus liegt das Definieren eigener Use Cases. So kann zum Beispiel auf Basis von Verhaltensanalysen, Algorithmen und maschinelles Lernen überprüft werden, ob auf Rechnern im Netzwerk verdächtiges Verhalten vorliegt.

Beispiel: Wenn herkömmliche SIEM-Systeme einen vorgefertigten Use Case nutzen, um zum Beispiel Ransomware erkennen, kann das über die Überprüfung eines Registry-Eintrags erfolgen. Wird dieser erstellt oder geändert, was ein SIEM, dass es Alarm auslösen soll. Wird aber eine andere Ransomware im Netzwerk verbreitet, die einen anderen Registry-Wert anpasst, erkennen SIEM-Systeme den Angriff unter Umständen nicht. Metron arbeitet nach einem anderen Ansatz und ist weniger statisch.

Apache Metron überwacht das Verhalten von Anwendern und dessen Rechner. Führt der Rechner Aktionen aus, die für diesen Anwender und PC unüblich sind, wird Metron hellhörig und überprüft das Verhalten genauer. Werden weitere Anomalien erkannt, löst Metron einen Alarm aus. Die Lösung kann durch den Big Data-Ansatz also intelligenter agieren als viele andere Systeme. Einer der größten Vorteile von Metron besteht darin große Datenmengen in Echtzeit analysieren zu können.

Apache Metron testen - als VM oder in der Cloud

Um Apache Metron zu testen gibt es verschiedene Möglichkeiten. Zunächst kann die Installation in einer Vagrant-Box als VM erfolgen. So lassen sich auch andere Systeme, wie zum Beispiel Icinga 2 testen und sogar produktiv installieren. Auch in der Cloud kann Apache Metron bereitgestellt werden. Hier kann zum Beispiel die Bereitstellung in AWS erfolgen. Allerdings ist diese Installation nur für den produktiven Betrieb sinnvoll. Hier werden 10 große VMs in EC2 erstellt. Das kostet natürlich einiges, wenn die VMs erstellt werden und im Betrieb sind. Hier wird zum Beispiel auf Ambari gesetzt. Ambari bietet eine grafische Oberfläche für das Installieren von Hadoop-Clustern und kann jederzeit beim Hinzufügen weiterer Knoten und Prozesse helfen. Mit der Open Source-Lösung lassen sich Hadoop-Cluster mit zusätzlichen Diensten automatisch und mit grafischer Oberfläche bereitstellen.

Die Installation von Metron kann natürlich auch manuell erfolgen, zum Beispiel auf CentOS. Damit die Installation erfolgen kann, muss das entsprechende Repository hinzugefügt und aktualisiert sein:

yum install epel-release -y

yum update -y

Für die Einrichtung von Apache Metron über Ambari muss natürlich zunächst Ambari installiert werden. Dazu sind die Voraussetzungen für Ambari notwendig:

yum install git wget curl rpm tar unzip scp bzip2 wget createrepo yum-utils ntp python-pip psutils python-psutil ntp libffi-devel gcc openssl-devel -y

pip install --upgrade pip

pip install requests

Auch Java wird auf dem System benötigt:

yum install java-1.8.0-openjdk java-1.8.0-openjdk-devel -y

Die weitere Einrichtung erfordert zahlreiche Anpassungen und Optimierungen. Diese werden auf der Webseite „Metron 0.4.1 with HDP 2.5 bare-metal install on Centos 7 with MariaDB for Metron REST“ genauer aufgelistet. Metron wird zusammen mit Hadoop installiert. Daher gibt es einiges zu beachten. Auf der Projekt-Seite von Metron sind ebenfalls Anleitungen zu finden, wie Apache Metron im Netzwerk integriert werden kann.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46056259 / Recht & Sicherheit)