Austausch unter IT-Professionals - Erfahrungen, Tipps, Fachsimpelei
- Ersteller Zensai
- Erstellt am
minimii
Rear Admiral
- Registriert
- Dez. 2020
- Beiträge
- 5.896
@steppi
Mal als Nachtrag:
Es ist nicht verkehrt hands-on Mentalität anzulegen, dennoch wäre eine ganzheitliche Beratung wahrscheinlich nicht verkehrt.
Ich kann dir/euch aber nur nahelegen die entsprechenden Themenbausteine soweit ihr könnt selbst raus zu arbeiten.
Und bei externer Beratung mit mehr als einer Firma ersttermine machen....
Man kauft auch mal schnell die Katze im Sack.
Dann lieber den nehmen der sagt: "ich weiß das Thema x dazu gehört, aber dafür brauche ich einen kollegen/das muss jemand anders zuliefern".
So mache ich es bei meinen Projekten auch.
Durch die Erfahrung weiß ich recht genau was alles dazu gehört, bin aber auch irgendwo "Fachidiot".
Der Vorteil eines großen Systemhauses / Netzwerk an Partnern ist aber: man kennt immer jemanden (gutes).
Mal als Nachtrag:
Es ist nicht verkehrt hands-on Mentalität anzulegen, dennoch wäre eine ganzheitliche Beratung wahrscheinlich nicht verkehrt.
Ich kann dir/euch aber nur nahelegen die entsprechenden Themenbausteine soweit ihr könnt selbst raus zu arbeiten.
Und bei externer Beratung mit mehr als einer Firma ersttermine machen....
Man kauft auch mal schnell die Katze im Sack.
Dann lieber den nehmen der sagt: "ich weiß das Thema x dazu gehört, aber dafür brauche ich einen kollegen/das muss jemand anders zuliefern".
So mache ich es bei meinen Projekten auch.
Durch die Erfahrung weiß ich recht genau was alles dazu gehört, bin aber auch irgendwo "Fachidiot".
Der Vorteil eines großen Systemhauses / Netzwerk an Partnern ist aber: man kennt immer jemanden (gutes).
Ich habe es jetzt doch mal schnell gesucht.
Ich bin da echt froh drüber, dass das vom BSI so deutlich gesagt wird, denn ich sehe da bei uns auch ein gehöriges Konfliktpotenzial. Und ich bin da auch der Meinung, man macht es entweder richtig oder lässt es lieber gleich sein, weil man sich sonst in die Tasche lügt...
https://www.bsi.bund.de/DE/Themen/U...anagement/Lektion_2_04/Lektion_2_04_node.html
Ich bin da echt froh drüber, dass das vom BSI so deutlich gesagt wird, denn ich sehe da bei uns auch ein gehöriges Konfliktpotenzial. Und ich bin da auch der Meinung, man macht es entweder richtig oder lässt es lieber gleich sein, weil man sich sonst in die Tasche lügt...
Mircosoft Power. Also PowerFX, PowerBI und der ganze Kram.DEADBEEF schrieb:
@Skysnake
Danke für deine Worte und die Mühe das nochmal gesucht zu haben! Sehr stark!
@minimii
Ja ich weiß was du sagen möchtest und das mehrere Partner gesucht werden, sollte eigentlich die Regel sein bzw. ist auch definiert... ich weiß selbst nicht woran es dann häufig hin und wieder scheitert. Aber vlt sehe ich gerade auch Baustellen, die keine sind bzw. vlt. kann ich noch positiv Einfluss nehmen. Das Themenfeld ist jedenfalls spannend und auch mal wieder was Neues für mich und ich hoffe es nimmt eine entsprechende Entwicklung.
P.S.:
Ich finde deas eine sehr löbliche Einstellung. Heute verkaufen und beraten viele leider weit über Ihre Kompetenzen. Könnt da jetzt Einiges berichten, aber bin mir sicher da erzähl ich auch nix Neues und außerdem hat dass dann auch im Netz nix mehr zusuchen.
Ich danke euch aber für die Worte. Das gibt mir doch nochmal so einen kleinen Aufwind für die nächsten Termine zum Thema.
Mac_Leod
Captain
- Registriert
- Dez. 2001
- Beiträge
- 3.842
Mahlzeit,
gibt es hier wen, der so eine Art Inventory/Monitoring im Einsatz hat, welches regelmäßig die Aktualität der eingesetzten Tools prüft?
Nach der aktuellen Lücke im Java SE und OpenJDK hab ich irgendwie keine Lust mehr schon wieder durch alle System zu rennen und die Versionen abzufragen.
Für alle gängigen Windows und Ubuntu LTS 16+ Versionen wäre natürlich toll.
Ist das nur Wunschdenken oder gibt es da etwas "cooles"?
gibt es hier wen, der so eine Art Inventory/Monitoring im Einsatz hat, welches regelmäßig die Aktualität der eingesetzten Tools prüft?
Nach der aktuellen Lücke im Java SE und OpenJDK hab ich irgendwie keine Lust mehr schon wieder durch alle System zu rennen und die Versionen abzufragen.
Für alle gängigen Windows und Ubuntu LTS 16+ Versionen wäre natürlich toll.
Ist das nur Wunschdenken oder gibt es da etwas "cooles"?
R
Ramschbude
Gast
Microsoft Defender macht das z.B. Inkl Mapping auf CVEs und Behebungsvorschläge.
Mac_Leod
Captain
- Registriert
- Dez. 2001
- Beiträge
- 3.842
Mir geht es eher in richtig Assetmanagement:
Also du hast 412 Notebooks mit Windows10, 380 VDIs mit Windows Server X, 400 VMs mit Ubuntu LTS 18+
Und möchtest jetzt von allen wissen "welche Version hat das aktuell installierte OpenJDK (sofern installiert)"
Also du hast 412 Notebooks mit Windows10, 380 VDIs mit Windows Server X, 400 VMs mit Ubuntu LTS 18+
Und möchtest jetzt von allen wissen "welche Version hat das aktuell installierte OpenJDK (sofern installiert)"
DEADBEEF
Commander
- Registriert
- Jan. 2022
- Beiträge
- 2.433
Würde mich auch interessieren und habe ich zum Thema log4j auch schon mal gefragt. Wir benutzen Ansible dort wo es geht (Ubuntu, RHEL, SLES, AIX (mit Bauchschmerzen)) oder DSH für Sachen, die eben noch nicht oder nie "veransiblet" werden ^^
Bei Windows (habe ich ganz wenig mit zu tun) bekomme ich oft was Baramundi oder Intune mit. Eigentlich müsste sowas aber auch jedes Inventarisierungstool herausfinden (Docusnap z.B.)
Managementserver wie Suse Manager oder RedHat Satellite haben sowas, mit Einschränkungen, auch dabei
Bei Windows (habe ich ganz wenig mit zu tun) bekomme ich oft was Baramundi oder Intune mit. Eigentlich müsste sowas aber auch jedes Inventarisierungstool herausfinden (Docusnap z.B.)
Managementserver wie Suse Manager oder RedHat Satellite haben sowas, mit Einschränkungen, auch dabei
R
Ramschbude
Gast
Das ist mir schon klar. Der Defender listet von jedem System alle installierten Anwendungen auf, welche Version und welche bekannten Schwachstellen existieren. Dazu die empfohlenen Beseitigungsmaßnahmen.Mac_Leod schrieb:
https://docs.microsoft.com/en-us/mi...nt/tvm-software-inventory?view=o365-worldwide
Ich rede nicht vom Windows Defender für Privatleute.
DEADBEEF
Commander
- Registriert
- Jan. 2022
- Beiträge
- 2.433
Ui, das wusste ich auch nicht @fishraven
Gilt das nur für installierte Anwendungen oder auch z.B. portable Anwendungen oder wenn jemand einfach nur ein Openjdk entpackt und für seine Anwendung verknüpft statt zu installieren?
Gilt das nur für installierte Anwendungen oder auch z.B. portable Anwendungen oder wenn jemand einfach nur ein Openjdk entpackt und für seine Anwendung verknüpft statt zu installieren?
R
Ramschbude
Gast
Puh, so tief bin ich da nicht im Thema drin. Spannende Frage.
- Registriert
- Apr. 2015
- Beiträge
- 1.191
Habe letztens erst von Greenbone gehört, die stellen entsprechende Software und auch Appliances her, die wohl (ähnlich wie man das selbst mit NMAP machen kann) die Dienste hinter offenen Ports identifizieren und entsprechende Tests auf CVEs laufen lassen.
Damit laufen die Tests aber ehr von außen auf die Systeme.
Damit laufen die Tests aber ehr von außen auf die Systeme.
DEADBEEF
Commander
- Registriert
- Jan. 2022
- Beiträge
- 2.433
Das kann aber ziemlich aufwendig und unpraktikabel werden @Hannibal Smith. Vor allem wenn du viele unterschiedliche Systeme, Netze, Appliances etc hast. Dann kommen da noch gerne XDR, Firewalls, Proxies, VPNs in die Quere. Auch SignalFX oder paketbasierte Analyse ist längst keine Seltenheit mehr und spielt hier gerne den Spielverderber. Das kann, je nach Unternehmensgröße oder Struktur, egal sein aber in kritischen & zertifizierten Umgebungen kommt dein initialer Portscan keinen Meter weit.
Greenbone/openVAs ist wirklich gut aber sollte auch einsatzbereit oder mit externer Unterstützung implementiert werden.
Die Produkte von Outpost24 haben wir uns auch mal vorstellen lassen und waren eigentlich angetan, wie so immer findest du aber nicht die notwendige Zeit dafür.
Ausserhalb habe ich oft mit QRadar, Splunk, ELK und Graylog gearbeitet - kann für sich alleine komplett ausreichend sein aber auch Unnütz wenn nicht irgendeine "interpretierende" Stelle oder "Intelligenz" dahinter sitzt.
Nessus kann man da, nach meiner bisherigen Erfahrung, besser einsetzen aber hat dann wieder andere Nachteile.
Ich bin ein Freund von "Inside->Out" wenn man das denn so nennen darf. Für PenTests/Audits werden sowieso externe Firmen und deren Tools eingesetzt, die einen Angriff/Exploit o.Ä simulieren/ausführen. Es geht ja hier "nur" um den reinen Betrieb oder das Tagesgeschäft
Greenbone/openVAs ist wirklich gut aber sollte auch einsatzbereit oder mit externer Unterstützung implementiert werden.
Die Produkte von Outpost24 haben wir uns auch mal vorstellen lassen und waren eigentlich angetan, wie so immer findest du aber nicht die notwendige Zeit dafür.
Ausserhalb habe ich oft mit QRadar, Splunk, ELK und Graylog gearbeitet - kann für sich alleine komplett ausreichend sein aber auch Unnütz wenn nicht irgendeine "interpretierende" Stelle oder "Intelligenz" dahinter sitzt.
Nessus kann man da, nach meiner bisherigen Erfahrung, besser einsetzen aber hat dann wieder andere Nachteile.
Ich bin ein Freund von "Inside->Out" wenn man das denn so nennen darf. Für PenTests/Audits werden sowieso externe Firmen und deren Tools eingesetzt, die einen Angriff/Exploit o.Ä simulieren/ausführen. Es geht ja hier "nur" um den reinen Betrieb oder das Tagesgeschäft
Zuletzt bearbeitet:
DEADBEEF
Commander
- Registriert
- Jan. 2022
- Beiträge
- 2.433
Basieren alle auf ein ordentliches Logging.
QRadar und Splunk (Enterprise) können wirklich alles, was man sich wünscht aber auch auf Kosten der Administration. Die Splunk Apps, die sich recht schnell aber auch wieder frickelig einsetzen lassen, können Segen und Fluch zugleich sein. Dann spielen auch noch Supported Apps oder Community Apps eine Rolle (https://splunkbase.splunk.com/).
Metricbeat, Filebeat, Auditbeat (einige der zugrunde liegendenden Module für ELK) sind ziemlich nützliche, etablierte und einfach zu verstehende Komponenten. Du bist dann eher mit der GUI beschäftigt, das reine Einfangen der Logs ist aber simpel und du kommst hier recht schnell auch recht weit. Gleiches gilt für Splunk mit dem Universal Forwarder und den unendlichen Möglichkeiten sich für die Daten Dashboards zu bauen. Die vorgefertigten Suchen (Reports/Berichte) von Splunk finde ich auch ziemlich gut.
QRadar ist typisch IBM, kann alles wenn du es willst aber dafür musst du auch zahlen (in Form von Aufwand, Testing) und mindestens einen Experten zu Rate ziehen. Sehe ich aber mit Splunk vorne wenn es darum geht mit "unbekannten" Logs umzugehen.
Ich würde behaupten, dass man mit Splunk und ELK die schnellsten Ergebnisse liefert, im Detail tun sich dann alle schwer wenn es auf unternehmenseigene Bedürfnisse ankommt. Da ist leider in allen Fällen Hand anlegen gefordert. Das (ELK) vSphere Modul für vCenter/ESX > 6.5 funktioniert immer noch nicht und das Projekt liegt quasi brach (https://github.com/elastic/beats/issues/19435). Wenn die Masse (opensource) Webserver und deren Logs sind, ist ELK aber wahrscheinlich das Beste.
Graylog habe ich in den meisten Fällen als "Zulieferer" kennen gelernt. Da kann man auch exotische Netzwerkkomponenten mit monitoren/abfragen aber die GUI fand ich ziemlich schlecht. Hier muss ich auch zugestehen, dass ich Graylog schon 2-3 Jahre nicht mehr gesehen habe. Vll hat sich hier auch etwas getan
QRadar und Splunk (Enterprise) können wirklich alles, was man sich wünscht aber auch auf Kosten der Administration. Die Splunk Apps, die sich recht schnell aber auch wieder frickelig einsetzen lassen, können Segen und Fluch zugleich sein. Dann spielen auch noch Supported Apps oder Community Apps eine Rolle (https://splunkbase.splunk.com/).
Metricbeat, Filebeat, Auditbeat (einige der zugrunde liegendenden Module für ELK) sind ziemlich nützliche, etablierte und einfach zu verstehende Komponenten. Du bist dann eher mit der GUI beschäftigt, das reine Einfangen der Logs ist aber simpel und du kommst hier recht schnell auch recht weit. Gleiches gilt für Splunk mit dem Universal Forwarder und den unendlichen Möglichkeiten sich für die Daten Dashboards zu bauen. Die vorgefertigten Suchen (Reports/Berichte) von Splunk finde ich auch ziemlich gut.
QRadar ist typisch IBM, kann alles wenn du es willst aber dafür musst du auch zahlen (in Form von Aufwand, Testing) und mindestens einen Experten zu Rate ziehen. Sehe ich aber mit Splunk vorne wenn es darum geht mit "unbekannten" Logs umzugehen.
Ich würde behaupten, dass man mit Splunk und ELK die schnellsten Ergebnisse liefert, im Detail tun sich dann alle schwer wenn es auf unternehmenseigene Bedürfnisse ankommt. Da ist leider in allen Fällen Hand anlegen gefordert. Das (ELK) vSphere Modul für vCenter/ESX > 6.5 funktioniert immer noch nicht und das Projekt liegt quasi brach (https://github.com/elastic/beats/issues/19435). Wenn die Masse (opensource) Webserver und deren Logs sind, ist ELK aber wahrscheinlich das Beste.
Graylog habe ich in den meisten Fällen als "Zulieferer" kennen gelernt. Da kann man auch exotische Netzwerkkomponenten mit monitoren/abfragen aber die GUI fand ich ziemlich schlecht. Hier muss ich auch zugestehen, dass ich Graylog schon 2-3 Jahre nicht mehr gesehen habe. Vll hat sich hier auch etwas getan
Zuletzt bearbeitet:
Ja mit ELK hatte ich auch schon zu tun, ist halt kein leichter Einstieg...
Was ich mich aber frage ist, was man damit macht? Klar ich kipp die ganzen logs in ELK rein aber dann? Logs sammeln kann ich auch mit systemd-journald-remote. Da kann ich auch sehr sehr viele Systeme loggen. Aber dann liegt das Zeug halt da.
QRadar wird ja explizit als SecurityInformationEventManagement System beworben. Also das man Bedrohungen etc erkennt. So was lese ich auch immer wieder für ELK, aber was steckt da wirklich im realen Betrieb dahinter und taugt es auch was?????
Mir fehlt da einfach die Vorstellungskraft...
Gibt ja Iptables, fail2ban, auditd, SELinux und was weiß ich was noch alles. Also wo ist da der Nutzen???
Was ich mich aber frage ist, was man damit macht? Klar ich kipp die ganzen logs in ELK rein aber dann? Logs sammeln kann ich auch mit systemd-journald-remote. Da kann ich auch sehr sehr viele Systeme loggen. Aber dann liegt das Zeug halt da.
QRadar wird ja explizit als SecurityInformationEventManagement System beworben. Also das man Bedrohungen etc erkennt. So was lese ich auch immer wieder für ELK, aber was steckt da wirklich im realen Betrieb dahinter und taugt es auch was?????
Mir fehlt da einfach die Vorstellungskraft...
Gibt ja Iptables, fail2ban, auditd, SELinux und was weiß ich was noch alles. Also wo ist da der Nutzen???
- Registriert
- Apr. 2015
- Beiträge
- 1.191
Das sind eben auch vollkommen verschiedene Systeme.
Das eine geht ehr in Richtung SIEM bzw. ist SIEM, das andere ein aktiver Schwachstellenscan im Netzwerk.
@Skysnake Naja durch die Möglichkeit alle logs zusammen zu führen, versuchen SIEMs das ganze zu interpretieren und damit dann auch Muster im Netzwerkverkehr erkennen. z.B. steckst du dein Notebook an die DockingStation mit Netzwerk und das NAC schickt die Logs ans SIEM.
Dann gibts eventuell logs von Fileservern auf die du zugreifst und ob das lesend oder schreibend ist.
Und bei Zugriffen, die nicht in das Muster passen, gibts dann eben nen Alarm.
Zum Beispiel wenn ein Useraccount der IT Abteilung anfängt, Daten aus der PA zu lesen, oder wenn aus Logs hervor geht, dass jemand massig Daten von nem Fileserver kopiert. Oder ein PC anfängt Portscanns zu betreiben.
Das eine geht ehr in Richtung SIEM bzw. ist SIEM, das andere ein aktiver Schwachstellenscan im Netzwerk.
@Skysnake Naja durch die Möglichkeit alle logs zusammen zu führen, versuchen SIEMs das ganze zu interpretieren und damit dann auch Muster im Netzwerkverkehr erkennen. z.B. steckst du dein Notebook an die DockingStation mit Netzwerk und das NAC schickt die Logs ans SIEM.
Dann gibts eventuell logs von Fileservern auf die du zugreifst und ob das lesend oder schreibend ist.
Und bei Zugriffen, die nicht in das Muster passen, gibts dann eben nen Alarm.
Zum Beispiel wenn ein Useraccount der IT Abteilung anfängt, Daten aus der PA zu lesen, oder wenn aus Logs hervor geht, dass jemand massig Daten von nem Fileserver kopiert. Oder ein PC anfängt Portscanns zu betreiben.
R
Ramschbude
Gast
ein SIEM korreliert Logs ja erstmal. Klingt simpel, ist aber essentiel um eine Übersicht zu erhalten
Der nächste Schritt, den die meisten SIEMs dann anbieten sind automatisierte Rückschlüsse aus den Logs zu erhalten.
Von Azure gibts dazu Sentinel. Wird Splunk in den nächsten Jahren den Rang ablaufen mMn.
Der nächste Schritt, den die meisten SIEMs dann anbieten sind automatisierte Rückschlüsse aus den Logs zu erhalten.
Dashboards, Alarmierungen, erkennen, das Event A auf System 1234 mit Event Z auf System 9876 zusammenhängt ....Skysnake schrieb:
Von Azure gibts dazu Sentinel. Wird Splunk in den nächsten Jahren den Rang ablaufen mMn.
WhiteHelix
Commander
- Registriert
- März 2022
- Beiträge
- 2.782
Hat jemand von euch die ExtremeCloudIQ im Einsatz? Wir nutzen auf diversen SSIDs 802.1X zur Authentifizierung, müssen im Moment aber sämtliche APs im Radius Server als NAS eintragen. Kann ich das in der Cloud auch auf 2-3 APs beschränken? Mit den Docs bin ich nicht wirklich weiter gekommen, gerade mit der neuen Oberfläche nicht.