FreeSOC - SOC basierend auf Open Source mitteln
FreeSOC ist ein full featured SOC welches auf Open Source mitteln beruht und dennoch nicht den Vergleich zu kommerziellen Produkten scheuen brauch.
Einleitung
Was ist überhaupt ein SOC
SOC ist die Abkürzung für Security Operation Center. Dies ist eine Zusammenfassung die aus mehrer...
Welche Produkte setzen wir in unserem FreeSOC ein
Das von mir zusammengefügte SOC nenne ich FreeSOC, da es auf freie Open Source Produkten beruht -...
Möglicher Datenaustausch im FreeSOC
Der zentrale Datenbestand liegt im Wazuh - hier werden alle Daten hin geliefert. Hier benötigen S...
SOC einrichten
Basis VM einrichten
Installieren eines Ubuntu 22.04 LTS Server als Minimalversion mit angepassten LVM Setup und aktiv...
Wazuh - SIEM
Wazuh ist ein SIEM mit XDR funktionalität und unsere zentrale Komponenten.
Wazuh installieren und einrichten, Agent installieren, Sysmon einrichten
Agent Update
Allgemeine Informationen: https://wazuh.com/install/ https://documentation.wazuh.com/current/...
Syslog einrichten
Artikel folgt noch ...
Erstellen eines eigenen Decoders
Sollten Sie Systeme mit Syslog erfassen welche noch nicht unterstützt sind, dann sind diese zwar ...
Index Management
Wazuh pflegt seine Daten auf dem Server unter unter /var/ossec/logs Die wichtigsten sind: /va...
Anpassen des Designs
Dieser Artikel folgt noch ...
Office 365 einrichten
Artikel folgt noch ...
Github einrichten
Artikel folgt noch ...
Wazuh Denoising
[Rule 510]: Trojaned version of file detected (/bin/diff) Lösung: Copy https://github.com/oss...
overwrites-custom-warnings.xml
<!-- Modify it at your will. --> <group name="overwrites-custom-warnings"> <rule id="60107" l...
overwrites-custom-misp.xml
<!-- Custom overwrites for MISP --> <group name="overwrites-misp,"> <rule id="116001" level...
overwrites-custom-o365.xml
<!-- Modify it at your will. --> <group name="overwrites-custom-o365,"> <rule id="118001" le...
overwrites-custom-sophos.xml
<!-- Modify it at your will. --> <!-- Rules for Sophos UTM Custom --> <group name="syslog,sop...
overwrites-unifi-udm-custom.xml
<!-- Modify it at your will. --> <group name="syslog,unifi,"> <rule id="114001" level="3"> ...
MISP - Malware Sharing Plattform
The Hive - SIRP
The Hive installieren
Artikel folgt noch ...
The Hive einrichten
Artikel folgt noch ...
The Hive updaten
Bevor sie updaten, stellen sie bitte sicher das sie in aktuelles Backup haben oder ein Snapshot e...
The Hive - bekannte Probleme
In der Version bis 5.0.23-1 hatte ich das Problem, das ich Cases und Alerts unter bestimmen Umstä...
Cortex - Analyzer
Cortex ist ein Analyzer, welchen wir an the Hive angebunden haben. Dieser kann jedoch auch allein...
Shuffle - Automation Plattform
Allgemeine Sicherheit
Datensicherung
Im Open Source Bereich sieht es im Thema Datensicherung nicht so gut aus. Jedoch bieten auch eini...
BSI bietet auch kostenlos Unterstützung an
Das BSI bietet mehrere Mittel um zu Unterstützen. So bietet es für Privatpersonen einen Newslett...
Containersicherheit
Fast immer nutzt man Docker Container, die von anderen bereitgestellt werden. Dabei ist man darau...
Agent Installationen
Wazuh Agent installieren
Meldet euch im Wazuh an und wählt dann unter den Agents > Deploy Agent. Alternativ aber auch hie...
Elastic Agent installieren
Elastic Agent installieren: $ProgressPreference = 'SilentlyContinue' Invoke-WebRequest -Uri http...
Wazuh Agent installieren auf Proxmox (PVE, PBS und evtl. PMR)
Die aktuellen Proxmox Versionen nutzen Debian 12 (Stand 04/2024). Diese sollten normalerweise unt...