Entwicklermeeting bei der Hochschule Hannover

Am 15. Februar 2017 fand wieder ein Meeting der Entwickler des CLEARER-Projektes statt. Diesmal wurden die von der DECOIT® GmbH entwickelten Storm Bolts / Spout zur Diskussion gestellt. Des Weiteren wurde das Datenaustauschformat nach IDMEF und die Szenarien besprochen.

Hierzu hat die DECOIT® GmbH ihre in Java Entwickelten Storm Komponenten für AMQP, Esper und Cassandra vorgestellt. Für AMQP wurde ein Fork eines Github Projektes gemacht, das Events aus AMQP holt und diese an die Storm Topologie weiterleitet. Hier wurde festgestellt, dass es lohnenswert wäre, eine neue Implementation zu forcieren, die bei der späteren Benutzung einige Komfortfunktionen berücksichtigt. Der AMQP Bolt ermöglicht das Senden von Nachrichten aus der Storm-Topologie an den AMQP. Hierbei werden die Nachrichten mit CBOR1 codiert und übertragen. Dadurch wird eine effiziente Übertragungsgröße der einzelnen Nachrichten möglich, die gerade bei einem SIEM-artigen System mit vielen Nachrichten zu beachten ist. Auch die beiden Bolts für Esper und Cassandra müssen noch überarbeitet werden, bieten allerdings bereits eine gute Grundlage.

Für die CLEARER-Topologie wurde festgelegt, dass Events erst in der Storm-Topologie gefiltert werden. So müssen Änderungen nur an einer Stelle vorgenommen werden. Im Wesentlichen besteht die Storm-Topologie aus vier Ebenen:

  1. Spot (Eventeingang)
  2. Szenario-Filter
  3. Szenarien
  4. Reporting.

Das CLERER-System wird keine klassischen Regeln besitzen, sondern auf Szenarien basieren, für die dann die Bolts und Spouts entwickelt werden. Dadurch wird erwartet, dass die False-Negativ Fälle verringert werden.

Abbildung 1: IDMEF-Message Beispiel
Abbildung 1: IDMEF-Message Beispiel²

Als Austauschformat wurde das Intrusion Detection Message Exchange Format (IDMEF)3 (siehe Abbildung 1) verwendet. Es definiert viele allgemeine Datenformate, die innerhalb von SIEM-Systemen benötigt werden. Das CLEARER-Projekt wollte vermeiden, dass immer nur neue Felder für das Austauschformat hinzugefügt werden und gleich von Anfang an ein allgemein gültiges Format benutzen. Weiterer Vorteil ist der hierarchische Aufbau von IDMEF, der sich besonders gut für Java eignet. Umgesetzt wurde das Format mithilfe von Jackson.

Die Partner haben nun die Feinspezifikation des CLEARER-Systems weitestgehend definiert und erkannte Defizite beseitigt. In den folgenden Monaten werden nun die ersten Szenarien umgesetzt und erste Tests des Systems können stattfinden.

1 http://cbor.io/

2 Chloebrn78. Schéma du format IDMEF. Wikipedia. [Online] 4. April 2016. [Zitat vom: 11. Oktober 2016.] https://en.wikipedia.org/wiki/File:IDMEF-Schema.png.

3 https://www.ietf.org/rfc/rfc4765.txt

Zurück