Welche Produkte setzen wir in unserem FreeSOC ein
Das von mir zusammengefügte SOC nenne ich FreeSOC, da es auf freie Open Source Produkten beruht - die Projektseite ist https://freesoc.de und derzeit noch im Aufbau.
Dies sind die folgenden:
Die Zentrale Komponente ist dabei Wazuh - dies ist ein Open Source SIEM mit XDR Funktionalitäten. Alle Daten laufen erst in WAZUH zusammen, von dort werden diese ausgewertet und weiterverarbeitet. Angebunden werden, können dort:
- Windows Clients/Server
- MacOS Clients
- Linux/Unix Clients/Server
- Geräte wie Firewalls, Switches, Router, Telefonanlagen, VPN Gateway, Mailrelays und mehr mehr über Syslog
Weiterhin können auch folgende Zentrale Clouddienste überwacht werden, wie z.B.:
- Github
- Office/Microsoft 365 (und natürlich Azure)
- AWS
Die Agent überwacht folgendes:
- Vulnarability
- Compliance (PCI, GDPR usw.)
- Status mit Berichtserstellung
- Und noch vieles mehr
MISP ist eine zentrale Malware and Sharing Plattform, welche mehrere Feeds anbieten mit vielen interessanten Informationen wie z.B.:
- Bad IP Adresses
- Spam Adressen
- Tor Exitnodes
- IoC wie URL, IP, Hashes, Dateinamen usw.
- Und vieles mehr
Hier werden die Datenbanken gepflegt, die uns unterstützen um z.B. IoC's zu finden.
The Hive ist ein SIRP, hier werden alle Informationen gemeldet und weiterverarbeitet. Mit Hilfe unserer automatisierungsplattform Shuffel sammeln wir alle IoCs ein und übergeben diese an Cortex, unserem Analyzer - der wieder rum nutzt mehrere Systeme wie MISP, Virustotal, AbuseIP usw. um dort Informationen zu sammeln und diese in dem Vorgang in The Hive anzureichern.
Nach der Bearbeitung können diese Vorgänge geschlossen und an MISP gegeben werden - um ggf. angebundenen Partnern zu Informieren.
Hier mal ein Beispiel vom gesamten Workflow:
Ein Beispiel wir unser SOC agiert seht ihr hier in dem Beispiel (leider erst mal nur in Englisch):