Suchen

Security Information and Event Management mit Open Source umsetzen Apache Metron als SIEM nutzen

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Lösungen im Bereich Big Data sind grundsätzlich auch in vielen Fällen dazu geeignet im Security-Bereich Einsatz zu finden. Apache Metron ist eine solche Lösung, die generell durchaus sinnvoll eingesetzt werden kann, wenn ein SIEM-System aufgebaut werden soll.

Firmen zum Thema

Apache Metron ist eine Security-Lösung, die vor allem für den Big-Data-Bereich entwickelt wurde.
Apache Metron ist eine Security-Lösung, die vor allem für den Big-Data-Bereich entwickelt wurde.
(© BillionPhotos.com - stock.adobe.com)

Ein zentraler Faktor bei der Verwendung eines SIEM ist die enorme Datenmenge, die verarbeitet werden muss. Hierzu sind Big-Data-Lösungen wie Apache Metron natürlich problemlos in der Lage. Apache Metron stellt eine Security-Lösung dar, die vor allem für den Big-Data-Bereich entwickelt wurde. Metron arbeitet dazu mit Möglichkeiten von Hadoop.

Im Beitrag „Mit Apache Metron Big-Data-Projekte schützen“ wurden dazu bereits Möglichkeiten aufgezeigt. Apache Metron ist zusätzlich durchaus als SIEM-System einsetzbar, außerhalb von Big Data im Netzwerk.

Bildergalerie

Bildergalerie mit 6 Bildern

Apache Metron als Alternative zu ELK Stack und OSSEC einsetzen

In vielen Unternehmen wird als SIEM-System auf ELK Stack gesetzt. Bei dem Produkt handelt es sich um eine Sammlung von Open Source-Tools, mit denen sich eine SIEM-Lösung im Netzwerk aufbauen lässt. Auch OSSEC ist in diesem Bereich ein bekanntes Projekt, um die IT-Sicherheit im Netzwerk zu verbessern.

Apache Metron ist als SIEM-System durchaus einsetzbar. Es bietet dazu vielfältige Möglichkeiten, die ein SIEM-System ausmachen. Zunächst lassen sich Daten eines großen Zeitraums speichern. Da Apache Metron als Big Data-Lösung konzeptioniert ist, kann die Open Source-Lösung auch mit Data Lakes umgehen. Data Lakes sind einfach ausgedrückt, eine firmeninterne Speichermöglichkeit für alle Daten und Quellen. Anwender im Unternehmen, können auf Basis Ihrer Berechtigungen, auf die Daten zugreifen und diese analysieren. Für gewöhnlich liegen die Daten im Data Lake in unveränderter Form vor, sie werden also nicht transformiert. Der Zugriff auf den Data Lake erfolgt mit verschiedenen Analyse-Werkzeugen, welche die Daten erst für den eigenen Gebrauch umwandeln.

Metron kann mit diesen Daten über das umfangreiche Framework zugreifen, das zu dieser Open Source-Umgebung gehört. Diese Daten lassen sich intern Analysieren und an andere Lösungen weitergeben. Auch Aufgaben, wie das Sammeln von Daten und das Auslösen von Aktionen bei Bedrohungen kann durch Metron übernommen werden. Metron ist darüber hinaus in der Lage mit Machine Learning zu arbeiten. Das ermöglicht das Erkennen von Anomalien im Netzwerk und damit das frühzeitige Auslösen von Alarmen bei Angriffen auf das Netzwerk.

Vordefinierte Anomalien und eigene Definitionen - Use Cases

Die meisten SIEM-Lösungen arbeiten mit vorgefertigten Use Cases, also mit Anomalien, nach denen die Lösung suchen soll. Metron arbeitet hier nach einem anderen Ansatz. Es gibt keine vorgefertigten Use Cases, sondern im Fokus liegt das Definieren eigener Use Cases. So kann zum Beispiel auf Basis von Verhaltensanalysen, Algorithmen und maschinelles Lernen überprüft werden, ob auf Rechnern im Netzwerk verdächtiges Verhalten vorliegt.

Beispiel: Wenn herkömmliche SIEM-Systeme einen vorgefertigten Use Case nutzen, um zum Beispiel Ransomware erkennen, kann das über die Überprüfung eines Registry-Eintrags erfolgen. Wird dieser erstellt oder geändert, was ein SIEM, dass es Alarm auslösen soll. Wird aber eine andere Ransomware im Netzwerk verbreitet, die einen anderen Registry-Wert anpasst, erkennen SIEM-Systeme den Angriff unter Umständen nicht. Metron arbeitet nach einem anderen Ansatz und ist weniger statisch.

Apache Metron überwacht das Verhalten von Anwendern und dessen Rechner. Führt der Rechner Aktionen aus, die für diesen Anwender und PC unüblich sind, wird Metron hellhörig und überprüft das Verhalten genauer. Werden weitere Anomalien erkannt, löst Metron einen Alarm aus. Die Lösung kann durch den Big Data-Ansatz also intelligenter agieren als viele andere Systeme. Einer der größten Vorteile von Metron besteht darin große Datenmengen in Echtzeit analysieren zu können.

Bildergalerie

Bildergalerie mit 6 Bildern

Apache Metron testen - als VM oder in der Cloud

Um Apache Metron zu testen gibt es verschiedene Möglichkeiten. Zunächst kann die Installation in einer Vagrant-Box als VM erfolgen. So lassen sich auch andere Systeme, wie zum Beispiel Icinga 2 testen und sogar produktiv installieren. Auch in der Cloud kann Apache Metron bereitgestellt werden. Hier kann zum Beispiel die Bereitstellung in AWS erfolgen. Allerdings ist diese Installation nur für den produktiven Betrieb sinnvoll. Hier werden 10 große VMs in EC2 erstellt. Das kostet natürlich einiges, wenn die VMs erstellt werden und im Betrieb sind. Hier wird zum Beispiel auf Ambari gesetzt. Ambari bietet eine grafische Oberfläche für das Installieren von Hadoop-Clustern und kann jederzeit beim Hinzufügen weiterer Knoten und Prozesse helfen. Mit der Open Source-Lösung lassen sich Hadoop-Cluster mit zusätzlichen Diensten automatisch und mit grafischer Oberfläche bereitstellen.

Die Installation von Metron kann natürlich auch manuell erfolgen, zum Beispiel auf CentOS. Damit die Installation erfolgen kann, muss das entsprechende Repository hinzugefügt und aktualisiert sein:

yum install epel-release -yyum update -yFür die Einrichtung von Apache Metron über Ambari muss natürlich zunächst Ambari installiert werden. Dazu sind die Voraussetzungen für Ambari notwendig:yum install git wget curl rpm tar unzip scp bzip2 wget createrepo yum-utils ntp python-pip psutils python-psutil ntp libffi-devel gcc openssl-devel -ypip install --upgrade pippip install requests

Auch Java wird auf dem System benötigt:

yum install java-1.8.0-openjdk java-1.8.0-openjdk-devel -y

Die weitere Einrichtung erfordert zahlreiche Anpassungen und Optimierungen. Diese werden auf der Webseite „Metron 0.4.1 with HDP 2.5 bare-metal install on Centos 7 with MariaDB for Metron REST“ genauer aufgelistet. Metron wird zusammen mit Hadoop installiert. Daher gibt es einiges zu beachten. Auf der Projekt-Seite von Metron sind ebenfalls Anleitungen zu finden, wie Apache Metron im Netzwerk integriert werden kann.

(ID:46056259)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist