Log4j-Sicherheitslücke: Monitoring von Schwachstellen mit Elasticsearch

Ende des letzten Jahres wurden gravierende Sicherheitslücken im Java-Loggingframework Log4j bekannt. Daraufhin machten sich Heerscharen von IT-Administratoren auf die Suche, ob betroffene Versionen dieses Moduls auf Ihren Systemen im Einsatz sind. Einige Softwarehersteller reagierten sofort und stellten Patches bereit, mit der die Sicherheitslücken geschlossen werden konnten. Was aber tun, wenn nach wie vor betroffene Log4j-Module vorhanden sind? 

Ein guter Ansatz ist die Etablierung eines Monitorings, welches erkennt, ob die Sicherheitslücke aktiv ausgenutzt wird und bei Bedarf alarmiert. 

Eine Möglichkeit, dieses Vorhaben umzusetzen, ist die Nutzung von Elasticsearch als SIEM-Werkzeug. Elastic SIEM ist eine offene und kostenfreie Anwendung innerhalb des Elastic Stacks und ermöglicht Nutzern das Erkennen von Sicherheitsvorfällen anhand von Audit- und Loginformationen sowie definierten Erkennungsregeln. Die Lösung basiert auf dem MITRE ATT&CK-Framework und kann durch eigene Regeln beliebig erweitert werden.

Bereits kurz nach der Veröffentlichung der Sicherheitslücke hat Elastic eine Regel bereitgestellt, um aus den Daten von Endpoint-Security oder Auditbeat zu erkennen, ob die Sicherheitslücke aktiv auf den überwachten Servern ausgenutzt wird.

Weitere Information zum Ausnutzen der Sicherheitslücke und wie Sie die Erkennungsregel selber erfolgreich einsetzen können, finden Sie hier: https://www.elastic.co/de/blog/detecting-log4j2-with-elastic-security

Weitere Informationen zu Elasticsearch und unseren Serviceleistungen finden Sie hier: https://www.robotron.de/leistungen/elastic-stack .