Security Dashboards ELK (15%)
1 Recherche - Security Dashboards/Rules​
1.1 Beschreiben Sie wie die Security Rules allgemein aufgebaut sind (mit Printscreens)​
Auslöser (Triggers): Definiert spezifische Muster oder Ereignisse in den Protokolldaten, wie z.B. bestimmte Ereignis-IDs, Fehlertypen oder ungewöhnliche Aktivitäten, die eine Überprüfung auslösen.
Bedingungen (Conditions): Schränkt die Auslösekriterien weiter ein, indem zusätzliche Parameter oder Schwellenwerte festgelegt werden, wie z.B. die Häufigkeit des Auftretens eines Ereignisses oder die Herkunft der Ereignisdaten.
Aktionen (Actions): Bestimmt, welche Massnahmen ergriffen werden sollen, wenn die Regelbedingungen erfüllt sind. Dazu können Benachrichtigungen, das Erstellen von Berichten oder die Integration mit anderen Sicherheitssystemen gehören.
Risikobewertung (Risk Scoring): Einige Regeln können ein Risikobewertungssystem enthalten, das den Schweregrad des ausgelösten Ereignisses bewertet, um Prioritäten für die Reaktion festzulegen.
2 Testing und Doku​
2.1 Suchen Sie sich ein Beispiel aus der Liste aus und dokumentieren Sie das Beispiel konkret (mit Printscreens)​
Die Regel Clearing Windows Event Logs überprüft ob z.B. in der powershell.exe der Befehl Clear-EventLogs ausgeführt wird. Dies wird alle 5 Minuten überprüft. Wurde ein Event-Log gelöscht, generiert er einen Alert.
2.2 Versuchen (und dokumentieren Sie den Versuch!) einen Alert für Ihre Rule zu generieren (mit Printscreens)​
Sobald ich den Befehl Clear-EventLogs in der powershell.exe ausfĂĽhre, erhalte ich einen Alert.
