wznutzer 37 Geschrieben vor 2 Stunden Melden Geschrieben vor 2 Stunden (bearbeitet) Hallo und guten Tag, mit zunehmendem Wachstum hätte ich gerne ein anderes Monitoring. Das Windows Eventlog Forwarding ist ganz nett und man kann sich so natürlich auch hier und da mal eine Mail schicken lassen, aber schön und übersichtlich ist es nicht. Mich würde interessieren was Ihr da so verwendet. Derzeit überlege ich ob ich das Event Forwarding lasse und dann die zentralen Logs irgendwie besser auswerte, z. B. mit Graylog, habe das aber noch nicht probiert. Gespannt auf Eure Meinungen. bearbeitet vor 2 Stunden von wznutzer Schreibfehler
cj_berlin 1.509 Geschrieben vor 2 Stunden Melden Geschrieben vor 2 Stunden Moin, Graylog ist ein guter Einstieg und kann auch sehr gut skalieren. Ich sehe viel Splunk und Microsoft Sentinel, ein wenig IBM QRadar, einiges an Elastic (kann man auch kostenlos einsteigen) und noch wenig, aber Tendenz steigend, CrowdStrike als SIEM. Eingeschworene Fortinet-Jünger machen manchmal FortiSIEM, aber da hatte ich noch keine rechte Berührung zu. 1
mwiederkehr 396 Geschrieben vor 1 Stunde Melden Geschrieben vor 1 Stunde Seq eignet sich für kleinere Umgebungen, in denen weder Docker noch Linux-Know-how vorhanden ist. Es lässt sich auf Windows installieren und bringt die Datenbank mit. Kostenlos ist es nicht, aber bezahlbar. Es enthält aber keine vordefinierten Filter für Ereignisse. Man muss die Alarmierungs-Regeln selbst definieren. Dafür ist man sehr flexibel bezüglich der Datenquellen. Ein Kunde nutzt es, um die Logs von Batch-Jobs zentral zu sammeln und auszuwerten. Es ersetzt ihm PowerShell-Scripts, welche Logs nach Fehlern durchsucht und per E-Mail informiert haben. 1
testperson 1.862 Geschrieben vor 1 Stunde Melden Geschrieben vor 1 Stunde Hi, ich würde noch Wazuh als Open Source SIEM / XDR in den Raum werfen. Gruß Jan 1
wznutzer 37 Geschrieben vor 1 Stunde Autor Melden Geschrieben vor 1 Stunde (bearbeitet) vor einer Stunde schrieb testperson: ich würde noch Wazuh als Open Source SIEM / XDR in den Raum werfen. Das habe ich mal in einer VM installiert und ein Client angebunden. Hat funktioniert, aber ich habe keinen Einstieg gefunden die Logik der Konfiguration zu verstehen. Wenn ich da ein gutes Tutorial fände, würde ich mir das nochmals anschauen. Bei Graylog scheint mir das brauchbar: https://woshub.com/central-windows-event-logs-collector-graylog/ https://woshub.com/graylog-centralized-log-collection-analysis/ bearbeitet vor 34 Minuten von wznutzer Schreibfehler
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden