Wie eine skalierbare SIEM-Lösung auf Open-Source-Basis hilft, Angriffsversuche zu erkennen – ideal für moderne IT-Umgebungen.
Cyberangriffe erkennen, bevor sie Schaden anrichten – mit einer cleveren SIEM-Lösung aus Open-Source-Komponenten. In diesem Beitrag zeige ich, wie man eine zentrale Log-Verwaltung aufbaut, Angriffsversuche erkennt, Sicherheitslücken frühzeitig identifiziert und das System effektiv absichert – am Beispiel eines Setups mit ModSecurity, Wazuh und OpenSearch.
Warum ein SIEM-System?
Wer ein sicheres IT-System betreiben möchte, kommt an einem SIEM (Security Information and Event Management) kaum vorbei. Es sammelt Logdaten aus verschiedenen Quellen, analysiert sie und schlägt bei Auffälligkeiten Alarm. Im Rahmen meiner Studienarbeit habe ich ein Open-Source-basiertes SIEM entwickelt – flexibel einsetzbar für verschiedene Anwendungsbereiche.
Der technische Aufbau
Das System besteht aus mehreren Bausteinen:
Eine Web Application Firewall (WAF) filtert eingehende HTTP(S)-Anfragen.
Die WAF und eine Beispielanwendung schreiben Logs.
Ein zentraler Punkt analysiert diese Logs und reagiert auf sicherheitsrelevante Ereignisse.
Zusätzlich schützt das Agent-Server-Sicherheitssystem Wazuh die Hosts.
Welche Technologien kommen zum Einsatz?
Web Application Firewall (WAF)
Getestet wurden zwei Lösungen: ModSecurity mit dem OWASP Core Ruleset und open-appsec, das Machine Learning nutzt. Die Tests erfolgten mit Tools wie ZAProxy, DVWA und OWASP JuiceShop – typische Werkzeuge für Sicherheitsanalysen.
ModSecurity erwies sich als robuster und kompatibler, insbesondere mit Apache-Reverse-Proxies. Daher fiel die Wahl auf diese Lösung.
Zentrales Logging
Zur Auswahl standen ElasticSearch, Grafana Loki und OpenSearch. OpenSearch überzeugte aus mehreren Gründen:
Gute Integration mit Wazuh
Unterstützung des Sigma-Regelstandards
Flexibel und Open Source
Die Logs werden über Logstash gesammelt, formatiert und an OpenSearch übermittelt. Damit erhält man volle Transparenz über sicherheitsrelevante Vorgänge im System.
Was kann Wazuh?
Wazuh bringt umfangreiche SIEM-Funktionalitäten mit:
Angriffserkennung direkt auf dem Host
Überwachung der Dateiintegrität
Automatische Reaktionen auf Vorfälle
Compliance-Checks
Der Agent lässt sich einfach auf jedem Host installieren. Beispielsweise erkennt er fehlgeschlagene SSH-Logins und kann automatisch verdächtige IP-Adressen blockieren.
OpenSearch + Wazuh: Ein starkes Duo
OpenSearch übernimmt Visualisierung und Alarmierung: Es lassen sich Schwellenwerte definieren, E-Mail-Benachrichtigungen auslösen und Logdaten übersichtlich aufbereiten. Mit Sigma-Regeln erkennt man Angriffe auch ohne tiefgreifendes Vorwissen – sie sind herstellerunabhängig und flexibel anpassbar.
Effektivität & Learnings
In Tests wurden Brute-Force-Angriffe erfolgreich erkannt. OpenSearch versendete bei einem Vorfall automatisch eine E-Mail. Auch SQL-Injections wurden erkannt – Path Traversal-Angriffe hingegen nur teilweise. Wazuh identifizierte Konfigurationsschwächen auf Hostebene.
Wichtig: Ohne Feinjustierung kommt es zu False Positives. Beispielsweise wurden zufällig generierte Passwörter fälschlicherweise als Angriffe gewertet.
Verbesserungspotenzial
Einige Ansätze zur Optimierung:
WAF-Regeln gezielter konfigurieren, um Fehlalarme zu reduzieren
OpenSearch durch Wazuh ersetzen, um Ressourcen zu sparen
Filebeat statt Logstash einsetzen, wenn ein leichtgewichtiges Setup gefragt ist
Fazit
Ein SIEM-System auf Open-Source-Basis ist ein echter Sicherheitsgewinn – besonders für kleine bis mittelgroße IT-Umgebungen. Dank Containerisierung lässt es sich flexibel anpassen und skalieren. Wichtig ist, die Regeln regelmäßig zu pflegen und auf die eigene Umgebung abzustimmen – so ist man potenziellen Angreifern immer einen Schritt voraus.
Dieser Blogbeitrag entstand zusammen mit Leon Eltrich im Rahmen seiner Thesis.
Der Beitrag SIEM Security Monitoring mit Open Source: Skalierbare Lösung für mehr IT-Sicherheit erschien zuerst auf Business -Software- und IT-Blog – Wir gestalten digitale Wertschöpfung.
