Realtime Monitoring

Ich mag Echtzeit-Alarme! Ich finde es nutzlos, wenn man erst nach Stunden feststellt, dass ein Angriff stattgefunden hat. Dann noch zu versuchen z.B. Datendiebstahl zu verhindern, ist wohl der vergebliche Versuch sein Gewissen zu beruhigen.

Über wazuh habe ich bereits viel geschrieben. Und Alarme, die ich mir in Echtzeit schicken lasse, müssen auch wirklich wichtig sein. Zugegeben: Ich lasse mir auch viele andere Informationen schicken, wie z.B. günstige Zeitpunkte für Benzin oder Öl. Aber diese vibrieren nicht am Handgelenk!

Wenn also wazuh mich darüber informiert, dass ein Host in meinem Netz in Quarantäne gestellt wurde, damit er z.B. nicht meinen Fileserver verschlüsseln kann, dann verschafft mir das mehr Zeit einen Schaden zu begrenzen, und der betroffenen Person seinen Rechner zeitnah wieder zur Verfügung zu stellen.

Als ich früher von der Arbeit bei meinen Eltern zu Besuch war, musste ich gelegentlich feststellen, dass jemand auf einen schädlichen Link geklickt hatte. Wenn ich dann sagte, dass wir den Rechner besser neu aufsetzen sollten, erntete ich nicht gerade viel Zustimmung. Neu installiert ist schnell. Aber bis all die persönlichen Einstellungen wieder hergestellt sind, Programme installiert, Drucker/Scanner und Fileserver angebunden sind... Darauf hatte dann scheinbar niemand so richtig Lust.

Dieses Lied muss ich wohl niemandem singen. Wahrscheinlich hat das jeder schon einmal erlebt. Und wer das einfach nicht noch einmal durchmachen will, beugt besser vor.

Woher kommen die Alarme?

Wer hier ein wenig mitgelesen hat, hat sicherlich eine Idee. Dennoch versuche ich mal ein paar Quellen aufzuzählen:

1. wazuh natürlich
2. frigate, wenn unbekanntes auf dem Grundstück zu sehen ist
3. uptime-kuma für Health-Monitoring von kritischen Systemen
4. iobroker für Allgemeines (z.B. "Irgendwo läuft Wasser!", "Person an Kellertür erkannt [ES IST NACHT ODER KEINER ZUHAUSE!]", "PV-Batterie gestört", "Wasser ablassen, ab übermorgen Temperaturen unter 4°C", natürlich auch die ungewöhnlichen Aktivitäten um das Wohnmobil ...)
5. aqbanking für Kontobewegungen
6. Asterisk für Informationen über Anrufer (Namen, Wohnort, Reputation etc.)
7. ...

Es gibt noch einiges mehr. Diese beachtliche Sammlung an Informationen hat sich schließlich bereits seit 2003 angehäuft.

Beispiel

Was möchte ist wissen? Vielleicht, ob ich irgendwo unwissentlich Wasser verbrauche? Was bräuchte ich, um das zu erkennen? Habe ich vielleicht schon Quellen, aus denen ich das ableiten kann?

Nun. Im Falle des Wassers ist das relativ einfach. Ich habe ja meine Zählerstände in der Hausautomation:

Man kann gut erkennen, dass in der Nacht meist lange Phasen existieren, in denen offensichtlich kein Wasser benötigt wird.

Sollte z.B. ein Schlauch im Garten undicht sein, eine Toilette oder Wasserhahn tropfen, müsste sich das auf dem Wasserzähler erkennen lassen. Und wie es der Zufall will, hatte ich vor kurzem genau dieses Problem.

Es gibt hier keine Ruhephasen mehr. Auch nachts ist jeder Messwert höher als sein Vorgänger. Und genau diese Eigenschaft mache ich mir zunutze. Wenn es innerhalb von einer halben Stunde keinen Wasserstillstand gibt (so lange sollte auch die Dusche nicht laufen 😉), versendet mein iobroker eine Info und nach einer Stunde einen Alarm (der dann an meiner Hand rüttelt 🙄).

Fazit

Die Art und Weise mit Sicherheitsvorfällen umzugehen hat ganz offensichtlich in mein Privatleben Einzug gehalten. Im Bereich der Security definiert man in gleicher Weise sogenannte Usecases. Es wird die Frage gestellt: "Was möchte ich wissen?" Dem folgt direkt: "Welche Quellen benötige ich, um das zu erkennen?" Und schon kann man mit den Informationen passende Abläufe erstellen, die schnell über den Sicherheitsvorfall informieren.