*Dies ist ein Gastbeitrag von Helge Klein, Gründer und Managing Director von vast limits, dem Anbieter von uberAgent.
Viele Bedrohungen setzen an einem Endpunkt an, und damit man sie erkennt, muss man wissen, was auf den Endgeräten vor sich geht. In diesem Blog-Beitrag nehmen wir verschiedene Datenquellen für die Aktivitäten am Endpunkt unter die Lupe und vergleichen die Vorzüge und Funktionen von Splunk Universal Forwarder mit uberAgent von vast limits und selbst entwickelten Lösungen.
Universal Forwarder
Splunk Universal Forwarder (UF) ist bei Splunk die Standardmethode zur Erfassung und Weiterleitung von Daten aus Remote-Quellen. Die Lösung unterstützt eine breite Palette von Plattformen (darunter Windows, macOS und Linux), und die Konfiguration ist ähnlich wie bei der Datenerfassung in Splunk Enterprise bzw. Splunk Cloud.
Datenquellen und Metriken
Splunk Universal Forwarder ist ein Agent zur Einspeisung von Endpunktdaten in Splunk Enterprise oder Splunk Cloud. Er unterstützt eine Reihe allgemeiner Datenquellen, die im Kontext der Informationssicherheit von Bedeutung sind:
- Log-Dateien
- Windows-Ereignisprotokolle
- Skriptausgaben
Darüber hinaus kann Universal Forwarder Daten aus verschiedenen Windows-spezifischen Quellen erfassen, beispielsweise Leistungsindikatoren, WMI, Registry-Änderungen, Active-Directory-Änderungen, Netzwerkaktivitäten, Host-Bestandsaufnahmen und Druckvorgänge.
Universal Forwarder kann beliebige Tools oder Skripte (wie PowerShell auf Windows-Systemen) ausführen, deren Ausgaben erfassen und an Splunk senden. Darum ist UF ein vielseitiges Tool, das in vielen unterschiedlichen Szenarien nützlich ist.
Daten an Splunk-Empfänger senden
Splunk Universal Forwarder kann Daten entweder über TCP oder HTTP an das Splunk-Backend senden, bei beiden Protokollen auch mit TLS-Verschlüsselung. Die Lösung unterstützt außerdem erweiterte Optionen wie Indexer-Bestätigung und Warteschlangen für persistente Datenträger.
uberAgent
uberAgent ist ein von vast limits entwickelter Endpunkt-Agent für Windows und macOS; er kann entweder in Verbindung mit Universal Forwarder oder eigenständig eingesetzt werden.
uberAgent ist eine schlanke Lösung mit minimalem Datenvolumen. Sie benötigt in der Regel weniger CPU- und Speicherressourcen als Splunk Universal Forwarder. In den Fällen, in denen sich die Funktionen mit denen von UF überschneiden, generiert uberAgent häufig weniger Datenvolumen (beispielsweise beim Netzwerkmonitoring).
Datenquellen und Metriken
In den Bereichen Sicherheit (uberAgent ESA) sowie Benutzererfahrung und Performance (uberAgent UXM) liegt der Fokus von uberAgent auf einer größeren Transparenz bei Benutzer- und Anwendungsaktivitäten.
uberAgent ESA verfügt über ein Modul zum Aktivitätsmonitoring, das riskantes Verhalten wirksam erkennt und das entsprechende Event zur weiteren Analyse in Splunk kennzeichnet. Aus Effizienzgründen werden die Monitoring-Regeln direkt auf dem Endpunkt verarbeitet. Zum Lieferumfang von uberAgent ESA gehört ein umfangreicher Satz vordefinierter Regeln, die die wichtigsten Use Cases der Endpunktsicherheit abdecken. Außerdem hat das Produkt einen Konverter für Sigma-Erkennungsregeln.
Darüber hinaus sammelt uberAgent detaillierte Informationen zu Anwendungsperformance, zu Netzwerkverbindungen, Web-Apps und Citrix und erfasst auch die Dauer von Systemstarts und Benutzeranmeldungen. Insgesamt sammelt uberAgent ESA Daten aus etwa 80 verschiedenen Kategorien. Ähnlich wie bei Universal Forwarder können die Agentenfunktionen durch Skripte erweitert werden, deren Ausgabe erfasst wird.
Die Funktionen von uberAgent ESA im Überblick:
- Modul zum Aktivitätenmonitoring
- uAQL-Abfragesprache (wird am Endpunkt verarbeitet)
- Konverter für Sigma-Regeln
- Umfangreiche Kontextinformationen (Bestand, App-Nutzung, Performance)
- Web-App-Monitoring (alle gängigen Browser)
- Citrix-Monitoring
Daten an Splunk-Empfänger senden
Die Daten sendet uberAgent entweder an einen lokal installierten Universal Forwarder, der dann die Weiterleitung an das Splunk-Backend übernimmt, oder direkt an Splunk Enterprise bzw. Splunk Cloud.
Dashboards und Datenmodelle
uberAgent hat mehr als 60 Splunk-Dashboards, über die alle Metriken, die der Agent erfasst, visualisiert werden können. Da alles – von der Datenerstellung bis zur Dashboard-Visualisierung – von einem einzigen Anbieter abgedeckt wird, kann die Implementierung deutlich schneller geschehen, und Endbenutzer erleben den Umgang damit als reibungslos.
Die von uberAgent erfassten Daten bekommen automatisch CIM-konforme Event-Tags. Die Datenmodelle bieten ein Schema für sämtliche Felder und Quelltypen. Dadurch kann uberAgent sofort eingesetzt und in Splunk Enterprise Security integriert werden – die SIEM-Lösung, auf die viele Kunden setzen, weil sie Transparenz und eine zentrale Sicht auf alle Daten bietet, unabhängig davon, mit welchen Mechanismen, Techniken und Tools diese erfasst werden.
Sysmon
Eine selbst entwickelte Datenerfassungslösung für Endpunktsicherheit basiert in der Regel auf einer Kombination von Microsoft Sysmon und eigenen Skripten.
Sysmon ist ein Agent für Monitoring und Protokollierung, mit dem man potenziell schädliche und anomale Aktivitäten erkennen kann. Wenn Sysmon Vorgänge bemerkt, die einer der Regeln in seiner Konfigurations-XML-Datei entsprechen, wird ein Ereignis in das Windows-Ereignisprotokoll geschrieben.
Datenquellen und Metriken
Monitoring-Regeln gehören nicht zum Lieferumfang von Sysmon. Die Lösung muss vom Kunden von Grund auf konfiguriert werden, wobei im Internet bereits viele Regeln verfügbar sind. Der Regelsatz von SwiftOnSecurity ist offenbar der beliebteste.
Die Funktionen von Sysmon konzentrieren sich auf niederschwellige Systemereignisse wie die Erstellung von Prozessen oder Threads, das Laden von Bildern oder Treibern, Aktivitäten der Registry oder des Dateisystems, WMI-Events oder DNS-Abfragen.
Daten an Splunk-Empfänger senden
Die von Sysmon generierten Events müssen aus dem Windows-Ereignisprotokoll ausgelesen und von einem Tool wie Splunk Universal Forwarder an Splunk weitergeleitet werden.
Eigene Skripte werden in der Regel durch einen Agenten ausgeführt, der auch deren Ausgaben erfasst und an Splunk sendet. Splunk Universal Forwarder und uberAgent sind für diese Aufgabe ebenso gut geeignet.
Dashboards und Datenmodelle
Bei einer selbst entwickelten Lösung muss man auch eigene Dashboards für die erfassten Daten erstellen.
Welche Methode ist die richtige für euch?
Universal Forwarder ist ein flexibles und skalierbares Tool. Es wird von Splunk unterstützt und sollte ein solider Baustein für Kunden sein, die zur Datenerfassung am Endpunkt ein Tool benötigen, das sich an jede Situation anpassen lässt. Für Unternehmen, die eine Data-to-Everything-Strategie umsetzen, ist Universal Forwarder ein ganz entscheidender Baustein.
uberAgent geht bei der Daten- und Metrikerfassung mehr in die Tiefe. Das Tool verfügt über eine gute voreingestellte Konfiguration, wodurch der Start und die Implementierung in Splunk Cloud bzw. Splunk Enterprise ganz leicht fallen. Die Dashboards von uberAgent füllen sich schon wenige Minuten nach der Installation des ersten Endpunkt-Agenten mit Daten. Als kommerzielles Produkt bietet es neben einem einzigartigen Satz von Metriken vollen Support und eine umfangreiche Dokumentation.
Eine selbst entwickelte Lösung für die Endpunktsicherheit erfordert einen der beiden Agenten als Grundlage für Aufgaben wie die Datensammlung und die Weiterleitung an das Splunk-Backend. Eine solche Lösung kommt für Kunden in Frage, die maßgeschneiderte Suchabfragen und Dashboard-Visualisierungen bevorzugen.
Letztendlich haben alle Methoden ihre Vorteile. Es gibt keine Einzellösung, die allen Anforderungen und Use Cases gerecht wird. Als Splunk-Kunden ist euch der Splunk Universal Forwarder wahrscheinlich vertraut. Falls ihr vor dem Lesen dieses Artikels noch nie etwas von uberAgent gehört habt, fordert ihr am besten eine 60 Tage gültige Testlizenz an.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier: Endpoint Security Data Collection Strategy: Splunk UF, uberAgent, or Sysmon?
