Elastic: Auditd für alle

A presentation at IT Tage in in Frankfurt, Germany by Philipp Krenn

Der Linux Audit-Daemon sammelt sicherheitsrelevante Aktivitäten, auf die man mit Hilfe von ausearch und aureport zugreifen kann. Das Analysieren und Zentralisieren dieser Datensätze ist allerdings nicht so einfach, wie man es erwarten würden. Der neue Auditbeat von Elastic behebt dies, indem er die ursprüngliche Konfiguration beibehält, die gesammelten Daten jedoch zentral speichern sowie einfach visualisieren kann. Außerdem kann man Auditbeat auch verwenden, um Änderungen an wichtigen Dateien, wie Binärdateien und Konfigurationsdateien, zu erkennen und mögliche Verstöße gegen Sicherheitsrichtlinien zu erkennen.

Dieser Vortrag zeigt, was man tun kann, um Änderungen, Ereignisse und potenzielle Sicherheitsverletzungen auf interaktiven Dashboards so schnell wie möglich zu entdecken. Darüber hinaus kombinieren wir Auditd-Ereignisse mit Logs, die sicherheitsrelevant sind.

Resources

The following resources were mentioned during the presentation or are useful additional information.