zurück zur Übersicht

SIEM in Aktion: Jump Host Bypassing erkennen

jumpSzenario Bypassing Jump Host

Im Beitrag SIEM in Aktion: Account Sharing erkennen habe ich einen Weg gezeigt, wie man mehrfach genutzte oder gehackte Accounts erkennen kann. Auch der heutige Fall hat mit Logins zu tun. Um Sicherheitsmaßnahmen zu bündeln werden in Netzwerken oft sogenannte Jump Hosts verwendet. Um zu verhindern, dass z.B. Logins mit privilegierten Konten (admin, superuser) von beliebigen Systemen aus durchgeführt werden können, ist es sinnvoll, sie als digitale Türsteher einzurichten. Das bedeutet, dass Zugriffe auf kritische Systeme nur über diese „Jump Hosts“ möglich sein sollen. Eine Konzentrierung der Zugänge über ein oder einige ausgewählte Systeme macht es einfacher den Zugang zu Systemen zu kontrollieren und zu schützen. Ein typisches Szenario der Angriffserkennung ist daher das Detektieren von Usern, die „Jump Hosts“ nicht nutzen, obwohl es die Richtlinie vorschreibt, bzw. diese absichtlich umgehen. Die exemplarische Umsetzung eines solchen Szenarios wird anhand des SIEM Systems „HPE ArcSight ESM“ erklärt.

Voraussetzung & Umsetzung

Hier soll sichergestellt werden, dass ein Zugang zu bestimmten Systemen nur über einen Jump Host möglich ist und bei einer Nichteinhaltung alarmiert wird.

Folgende Quellen sollten an das SIEM-System angebunden werden, damit es später möglich ist unerlaubte Zugänge zu detektieren (Szenario 2.3):

  • Windows Login events:
    • Windows 2003 und früher:
      • Security Log Event ID 528: Successful Logon
      • Security Log Event ID 540: Successful Network Logon
    • Windows 2008/Vista:
      • Security Log Event ID 4624: An account was successfully logged on
    • UNIX Login events (Network Syslog)
    • Remote Login events (z.B. Remote Access über NCP, Juniper MAG etc.)

Benötigte Ressourcen in der IT-Infrastruktur:

  • Jump Host Server

Schritt 1:

Anlegen einer „Active List“ in „HP ArcSight ESM“, welche die Jump Host Informationen speichert (z.B. IP-Adresse und/oder Hostname).

Anlegen einer zweiten „Active List“ in „HP ArcSight ESM“, die die Adressen/Hostnamen der Systeme speichert, die überwacht werden sollen.

Ändern sich diese Informationen häufig, so ist es von Vorteil diese Daten automatisiert in das SIEM-System zu importieren. „HP ArcSight“ bietet hierzu eine Vielzahl von sogenannten „FlexConnectoren“, die es z.B. ermöglichen CSV-Dateien zu importieren.

Schritt 2:

Definition einer Regel, die alle relevanten Login Events darauf gehend analysiert, ob sich die Quelle in der Liste der Jump Hosts befindet und ob sich das Ziel in der Liste der zu überwachenden Systeme befindet. Ist dies nicht der Fall wird ein Alarm generiert und ggf. eine Nachricht an zuständige Personen gesendet.

SIEM Use Case: Jump Host Bypassing
Event Graph in HP ArcSight ESM

Fazit

Use-Cases wie dieser sind die Inhalte, die ein SIEM-System mit Leben füllen. Durch die automatisierte Auswertung von Informationen und Log-Daten ist es möglich, gefährliches oder böswilliges Verhalten sofort zu erkennen. Sinnvolle, gut implementierte Security-Use-Cases und strukturierte Eskalationsprozesse sorgen also dafür, dass Vorfälle schnell klassifiziert und analysiert werden. So wird die Voraussetzung für eine schnelle Reaktionszeit geschaffen und die IT-Sicherheit einer Organisation gestärkt.

Aus jahrelanger Erfahrung mit unzähligen SIEM-Projekten verfügt die iT-CUBE SYSTEMS AG über einen umfangreichen Katalog an Use Cases für verschiedene Anwendungsfälle und Branchen. Mit mehr als 15 Consultants und Operation Engineers stellen wir das größte Professional-Service-Team im Bereich SIEM im deutschsprachigen Raum. Wir können auch Ihrem SIEM-System beibringen, wie es Bedrohungen schnell und zuverlässig erkennt.

Schreibe einen Kommentar