In diesem Vortrag wird aufgezeigt, wie sich jedes Unternehmen im Active Directory eine SIEM-(Security Information and Event Management)-Lösung selbst bauen kann und das mit frei verfügbaren (und teils in Windows bereits integrierten) Tools.

Einmal aufgesetzt erhalten Administratoren/Security Manager/CISOs einen signifikanten Sichtgewinn (Visibility) im eigenen Netzwerk und auf potentielle Angriffsindikatoren, ein Informationsgewinn der jedem Unternehmen, jeglicher Branche und Größe in der Vorbereitung, Abwehr und Vorfallbehandlung (Incident Response) eines Angriffs helfen kann.

Der Vortrag ist dabei keine theoretische Vorstellung dieser Tools, sondern zeigt in einer Live-Umgebung auf wie diese installiert & konfiguriert werden können, sowie die Ergebnisse und Erkenntnisse bei einem simulierten Angriff. Die folgenden Tools werden dabei eingesetzt:

  • Windows Event Forwarding (WEF): Eine Komponente, die bereits seit 20 Jahren standardmäßig im Windows-Betriebssystem installiert ist
  • Windows Event Collector (WEC): Ein Service standardmäßig verfügbar auf jedem Windowssystem (ebenfalls seit 20 Jahren)
  • Elasticsearch, Logstash, Kibana (ELK): Ein Zusammenschluss aus drei frei verfügbaren OpenSource Tools zur Verarbeitung und Visualisierung großer Datenmengen