OxiSec SIEM-Leitfaden

🎯 Übersicht

OxiSec SIEM wird von Ihrer Firewall und Ihren Netzwerkgeräten generiertSammeln Sie Syslog-Daten Analysatorist eine Plattform für das Management von Sicherheitsvorfällen. Jedes Protokoll, das im System ankommt:

1. Wird je nach Gerätetyp an einen speziellen Parser weitergeleitet (FortiGate / MikroTik / WG / Keenetic)
2. IP-AdressenGeoIPangereichert mit (Land, Stadt, ISP)
3. Bedrohungsintelligenz gegen Quellen geprüft (abuse_score, Tor-Exit, bekanntermaßen schlechte IP)
4. KI-Bewertung (Qwen 2.5 nativ) gibt jedem Protokoll einen Bedrohungswert von 0–100
5. läuft alle 5 MinutenKorrelationsmaschineScannt nach mehr als 20 Mustern (Post, Windows, Firewall)
6. Verwandte AlarmeVorfall Builderautomatisch gruppiert nach
7. Für jeden VorfallKI-Zusammenfassung + MITRE-Tags + Empfehlungenwird produziert

🚀 Schnellstart (15 Minuten)

📖 Grundkonzepte

Begriffe, die Sie im OxiSec-Panel häufig sehen werden:

🔥 FortiGate-Installation

Die Installation von Syslog über FortiGate FortiOS endet mit 3 Befehlen.

Installation über CLI (alle FortiOS-Versionen)

# Stellen Sie über SSH oder Konsole eine Verbindung zur FortiGate-CLI her
# Fügen Sie die folgenden Befehle ein (ersetzen Sie IP und Port durch die Ihnen gegebenen)

config log syslogd-Einstellung
    Status aktivieren setzen
    Stellen Sie den Server „syslog.oxisec.com“ ein.        # Die Ihnen gegebene Adresse
    set port 5514                          # Der Ihnen gegebene Port
    Einrichtung lokal einstellen7
    Formatstandard festlegen
    Modus udp einstellen
    Enc-Algorithmus deaktiviert setzen
Ende

# Alle Verkehrsprotokolle einbeziehen
config log syslogd-Filter
    Legen Sie Informationen zum Schweregrad fest
    Aktivieren Sie den Weiterleitungsverkehr
    Legen Sie die Aktivierung des lokalen Datenverkehrs fest
    Anomalie aktivieren
    Netscan-Entdeckung aktivieren
    Setzen Sie NetScan-Vulnerability Enable
Ende

Installation über GUI

1. Melden Sie sich bei der FortiGate-Weboberfläche an
2. Protokoll & Bericht → Protokolleinstellungen
3. Remote-Protokollierung → Syslog → Aktivieren
4. Server: syslog.oxisec.com · Port: 5514 · Einrichtung: Local7
5. Speichern Sie, warten Sie eine Minute und sehen Sie sich die Protokolle im Dashboard an

📡 MikroTik-Installation

Für RouterOS genügen 2 Befehle. Alle Protokollkategorien werden an OxiSec gesendet.

# RouterOS CLI (Winbox Terminal oder SSH)

#1. Remote-Syslog-Aktion hinzufügen
/system-Protokollierungsaktion
Fügen Sie name=oxisec target=remote remote=syslog.oxisec.com remote-port=5514 hinzu

# 2. Protokollthemen senden (Firewall, Informationen, Warnung, Fehler)
/system-Protokollierung
Themen=Firewall-Aktion=oxisec hinzufügen
füge themen=Info aktion=oxisec hinzu
füge themen=warnung aktion=oxisec hinzu
füge themen=Fehleraktion=oxisec hinzu
füge themen=kritische aktion=oxisec hinzu

Detaillierte Firewall-Protokolle (empfohlen)

# Protokoll zu allen Drop-Regeln hinzufügen
/ip-Firewallfilter
set [find Aktion=drop] log=yes log-prefix="drop:"

# Wenn Sie sich auch über NAT anmelden möchten
/ip Firewall nat
set [find] log=yes log-prefix="nat:"

🛡 WatchGuard Aufstellenu

Syslog-Einstellung für WatchGuard Fireware OS.

1. Melden Sie sich bei der WatchGuard-Webkonsole an
2. System Status → Syslog Server
3. Enable Syslog
4. Server: syslog.oxisec.com · Port: 5514 · Protocol: UDP
5. Protokollformat:IBM LEEFoderSyslog
6. Vergessen Sie nicht, das Häkchen „Protokoll“ in den Speicher- und Firewall-Richtlinien zu aktivieren.

🌐 Scharfe Installation

Syslog über CLI für Keenetic-Router.

# Keenetic CLI (Webschnittstelle → System → CLI)
System-Syslog-Server syslog.oxisec.com 5514
System-Syslog rotieren
Informationen zur Systemprotokollebene
Systemkonfiguration speichern

⚙ Generisches Syslog

Bei nicht unterstützten Geräten kommt der generische Parser ins Spiel. Die meisten Syslog-kompatiblen Geräte funktionieren:

• pfSense · OPNsense
• Cisco ASA · Meraki
• Sophos XG · SG
• Kontrollpunkt · FortiWeb
• SonicWallJuniper
• Linux syslog-ng/rsyslog

Allgemeiner Parser; Es ruft grundlegende Felder wie IP, Port, Protokoll, Aktion und Zeitstempel ab.Privater Parser im Unternehmen-PlanWir können uns verbessern.

🔒 2FA-Einrichtung

2FA fügt Ihrem Konto eine zusätzliche Sicherheitsebene hinzu. Auch wenn das Passwort kompromittiert ist, ist der Angreifer Sie können den 6-stelligen Code auf Ihrem Telefon nicht erreichen.

Unterstützte Authentifizierungs-Apps

• Google Authenticator (iOS / Android) – am häufigsten
• Microsoft Authenticator — gut mit Geschäftskonten
• Authy — Gerätesynchronisierung
• 1Password – mit Ihrem Passwort-Manager an einem Ort
• Bitwarden — Open-Source-Alternative

Installationsschritte

👥 Benutzer und Rollen

OxiSec bietet vier Rollen über RBAC. Jeder Benutzer kann mit einem oder mehreren Tenants verknüpft sein.

• Super Administrator — Alle Tenants, Pläne, Benachrichtigungsvorlagen, Adaptive-Parser-Freigabe
• Tenant Administrator — Geräte-, Benutzer-, Regel-, Webhook- und API-Schlüsselverwaltung
• Analyst — Logs, Alarme, Vorfalls, Hunt, Korrelation; keine Konfigurationsänderung
• Viewer — Schreibgeschütztes Dashboard und Berichte

Neuer Benutzer: Einstellungen → Users → + Neuer Benutzer. Im MSSP-Plan wechseln Sie über den Tenant-Selektor in der Kopfzeile zwischen Kunden.

⚡ Alarmregeln

Über 28 Regeln sind im Dashboard verfügbar. Ihre eigenen RegelnAlarmregelnSie können es von der Seite aus hinzufügen. Es gibt 14 verschiedene Regeltypen:

• Linkregel — src→dst:port flexible Filterung
• Portzugriffserkennung — Anzahl der Zugriffe auf einen bestimmten Port
• Geografischer Zugang – Länderbasierte Whitelist/Blacklist
• Bedrohungsintelligenz — Tor-Exit, Malware-IP usw.
• IP-Kommunikation auf die schwarze Liste setzen — bekannte schlechte IP
• Protokollschwellenwert — K Anzahl der Protokolle in N Minuten
• Gleiche IP-Duplizierung – wieder aus derselben Quelle
• Anzahl unterschiedlicher Werte — DDoS, port scan
• Bandbreite — Verkehrsaufkommen
• Anmeldung fehlgeschlagen — brute force
• Hotspot Brute Force – Gast-WLAN-Angriff
• Kontofreigabe – derselbe Benutzer mit mehreren IPs
• Protokollnachrichtenmuster — regex pattern match
• KI-Bedrohungsbewertung — 0–100 Punkteschwelle

📋 Vorfall-Stream

Der Vorfall Builder wird alle 3 Minuten ausgeführt. Gruppiert zusammengehörige Alarme nach 5 Regeln:

1. Gleiches /24-Subnetz — Alarme aus demselben Netzwerkblock
2. Gleicher Zielport — koordinierter Hafenangriff
3. Gleiche src_ip – gleicher Angreifer, anderes Muster
4. Kritische Einzelwarnung – eigenständiges Ereignis mit Schweregrad=kritisch
5. Devam eden olay — Die letzten 30 Minuten werden zum offenen Vorfall hinzugefügt

Zugriffsstatus – Kritische Metrik

Jeder Vorfall verfügt über einen Zugriffsstatus:

• blocked — Alle Versuche blockiert, KEIN Zugriff auf das System
• teilweise — Einige Versuche könnten erfolgreich gewesen sein, schauen Sie sich diese an
• kompromittiert — Erfolgreiche Anmeldung erkannt, sofortige Maßnahme

📁 Fallmanagement (Fälle)

Im Geschäft+-Plan können Vorfalls in offizielle Fälle umgewandelt werden. Das Fallmodul bietet SLA-Tracking, Zuweisung und Audit-Trail.

1. Einzelheiten zum VorfallIn Groß-/Kleinschreibung umwandeln– oder Fälle →+ Neues Gehäuse
2. Geben Sie den zugewiesenen Analysten, die Priorität und das angestrebte Abschlussdatum (SLA) ein.
3. Statusfluss: open → untersuchen → resolved → closed
4. Forensisches Paket und Aktivitätsprotokoll werden automatisch mit der Vorfallaufzeichnung verknüpft

Verwandte Alarme und Logs können auf der Seite Zeitleiste der Entität nach IP oder Benutzer auf einem Bildschirm eingesehen werden.

🔍 Jagd und Jagd-KI

Hunt Die Seite bietet eine erweiterte Protokollsuche: gespeicherte Abfragen, Aggregate, Zeitleistenmodi und MITRE-fokussierte vorgefertigte Filter.

Hunt A.I. (Geschäft+): Fragen Sie in natürlicher Sprache — der Assistent wandelt in SIEM-Filter um und listet Beweis-Logs. Beispiel: "Gab es in den letzten 24 Stunden RDP-Versuche aus Russland?"

• Untersuchungsmodus – 7 parallele Abfragen für IP oder Benutzer + KI-Urteil
• Geplante Jagd — Speichern Sie die Abfrage und führen Sie sie regelmäßig aus (Jagd → Speichern → Planen).
• Von der Alarmkarte auf dem SOC-BildschirmKI-SchubladeKurzübersicht/Erklärung mit

🤖 Auto-Mode

Automatische Aktion für IPs, die den Bedrohungsschwellenwert überschreiten. Pro Gerät aktivierbar.

• Skor 90+ — Automatisches Blacklisting (Genehmigungswarteschlange oder sofort)
• MikroTik-API — Adressliste mit Firewall-Blockierung; automatische Entfernung, wenn die Zeit abgelaufen ist
• FortiGate-API — IP zur Blockierungsgruppe hinzufügen (abhängig von der Gerätekonfiguration)
• Alle BlöckeAktivitätsprotokollund Webhook auto_mode.blocked_ip für die Veranstaltung angemeldet

Setup: Geräte → Gerätezeile → Auto-Modus umschalten. Geben Sie den API-Benutzer/das Passwort und den Sperrlistennamen für MikroTik ein.

🎯 Über 20 Korrelationsmuster

Jedes Muster erkennt ein bestimmtes Angriffsverhalten:

🪟 Windows-Ereignisprotokoll

Integration des Windows-Ereignisprotokolls für Active Directory-, RDP- und Dateiserverereignisse.

1. Zum ServerNXLogoder einen ähnlichen Agenten installieren
2. Syslog-Ziel: Ihnen gegeben syslog.oxisec.com:5514
3. Sicherheitskanal: Ereignis-ID 4624 (Erfolg), 4625 (Fehler), 4648, 4776
4. Panel →Windows Analytics– RDP-Brute-Force-Ansicht, Privilegieneskalationsansicht

📧 E-Post-Sicherheit

Senden Sie Plesk-, Postfix-, hMailServer- und MailEnable-Protokolle über Syslog.

• Plesk – Domänen → Protokolle → Remote-Syslog
• hMailServer — Einstellungen → Erweitert → TCP/IP → Syslog-Weiterleitung
• Panel →E-Post-Sicherheit– SMTP-Brute, Banner-Sweep, ausgehende Spam-Analyse

Für E-Post-Kommunikationsprotokolle im Rahmen von 5651,5651 Protokoll führenFlag aktivieren. Detail: 5651 Compliance-Seiten.

📊 SNMP-Überwachung

Überwachen Sie CPU-, Speicher- und Schnittstellenmetriken von Netzwerkgeräten außerhalb der Firewall/des Routers.

1. Geräte → Geben Sie SNMP-Gemeinschaft/v3-Informationen ein, wenn Sie Geräte hinzufügen oder bearbeiten
2. Panel →SNMP-Monitor– Betriebszeit, CPU %, Portstatus
3. Wenn das Gerät offline ist Gerät_offline Korrelationsmuster ausgelöst wird

⚖ 5651 Gesetzliche Protokollspeicherung

Verkehrs- und Kommunikationsprotokolle im Rahmen von 5651 werden mit HMAC-SHA256 archiviert und signiert.

1. Geräte → Gerät →5651 Protokoll führenumschalten
2. Das System erstellt stündlich ein signiertes Paket (CSV / tabulatorgetrennt)
3. Download unter Compliance → 5651 oder Forensische Pakete
4. Im Panel ist ein Hash-Verifizierungstool für Gerichte/Prüfungen verfügbar

Ausführliche Anleitung: 5651.html

📥 Sigma-Import

Konvertieren Sie Gemeinschaft Sigma-Regeln in OxiSec-Alarmregel (Starter+).

1. Menü →Sigma-Import
2. Fügen Sie die Sigma YAML-Datei ein oder laden Sie sie
3. Vorschau → Zuordnung zum OxiSec-Regeltyp → Speichern
4. Simulieren Führen Sie einen Probelauf der Daten der letzten 24 Stunden durch

🏢 MSSP & Tenant-Standorte

MSSP-Plan Es bietet separate Berichte pro unbegrenztem Mieter, White-Label-Marke und Kunde.

• Tenants — Neuen Kunden anlegen, Plan zuweisen
• Mieterfilialen — Gruppieren Sie Geräte nach Standortcode (Hauptsitz, Frankfurt, Virginia)
• Mieterprofile — Hotel-Hotspot usw. Korrelationsschwellenwertmultiplikator für
• Sofortiger Wechsel zwischen Kunden mit Header-Mandantenauswahl

📊 Berichte

Panel →Berichte— SOC-PDF-Bericht mit 10 Abschnitten:

• Zusammenfassung, Alarmtrend, Angreifer-/Zielprofil
• MITRE-Verteilung, Musterhäufigkeit, Vorfallzeitleiste
• MTTA/MTTR-metrics, KI-Einblicke

Starter+: Monatliche automatische PDF-E-Post.Geschäft+: KVKK / ISO 5651-Compliance-Checkliste PDF. Regelmäßiges Senden: Einstellungen → Berichte → Zeitplan.

📨 Telegrammbenachrichtigung

Bei kritischen Ereignissen erhalten Sie sofort eine Telegram-Nachricht auf Ihr Telefon.

📧 E-Post-SMTP

Der E-Post-Versand funktioniert in Cloud-Plänen automatisch. Bei der Bereitstellung vor Ort Sie können Ihren eigenen SMTP-Server unter Einstellungen → E-Post-SMTP konfigurieren.

SMTP-Host: smtp.gmail.com
SMTP-Port: 587 (STARTTLS) oder 465 (SSL)
Benutzername: siz@gmail.com
Passwort: Anwendungspasswort (wenn 2FA aktiv ist)
Absenderadresse: Warnungs@yourcompany.com
Verschlüsselung: STARTTLS

🔌 Webhook Integrationu

Wenn ein kritischer Alarm ausgelöst wird, sendet OxiSec eine Nachricht an den von Ihnen angegebenen HTTP-Endpunkt.HMAC-SHA256 signierte JSON-Nutzlastsendet. Slack, Teams, Discord, Integrieren Sie n8n/Zapier/Make mit Ihrem eigenen SOAR-System oder CRM.

Aufstellen

1. Melden Sie sich im Panel an → linkes Menü →Webhook
2. + Neuer Webhook Klicken Sie auf die Schaltfläche
3. Wählen Sie den Namen, die Ziel-URL und die Ereignisse aus, die Sie anhören möchten
4. Das Geheimnis wird automatisch generiert – kopieren und an einem sicheren Ort speichern (wird nicht erneut angezeigt)
5. 🧪 Test senden Mit der Schaltfläche können Sie eine Beispielnutzlast ausprobieren

Ereignistypen

Nutzlaststruktur

Jedes Ereignis verwendet dasselbe Schema der obersten Ebene. data Feld enthält ereignisspezifische Daten:

POST https://your-server.com/webhook
Inhaltstyp: application/json
Benutzeragent: OxiSec-Webhook/1.0
X-OxiSec-Ereignis: alarm.kritisch
X-OxiSec-Webhook-ID: 42
X-OxiSec-Delivery-ID: 1715430000123
X-OxiSec-Signatur: sha256=a8f3c9d2e7b4f1a9...

{
  "event": „alarm.kritisch“,
  „Zeitstempel“: "2026-05-11T14:32:05Z",
  „Mieter_ID“: 11,
  "data": {
    "AUSWEIS": 2847,
    "Titel": "SSH Brute Force from 203.0.113.45",
    "Schwere": "kritisch",
    „source_ip“: "203.0.113.45",
    „dst_ip“: "10.0.0.5",
    "dst_port": 22,
    "src_country": "NL",
    "tenant_name": „Anadolu Energie“,
    "Beschreibung": „247 fehlgeschlagene SSH-Versuche in 10 Minuten“,
    "created_at": "2026-05-11T14:32:05Z"
  }
}

Signaturüberprüfung (Sicherheit)

OxiSec signiert jede Nutzlast mit HMAC-SHA256.Durch Prüfung der Unterschrift auf KundenseiteDein Wunsch ist es wirklich Sie bestätigen, dass es von OxiSec stammt – betrügerische Anfragen werden abgelehnt.

PHP

$payload = file_get_contents('php://input');
$secret = 'webhook-secret-burada';
$expected = 'sha256=' . hash_hmac('sha256', $payload, $secret);
$erhalten = $_SERVER['HTTP_X_OXISEC_SIGNATURE'] ?? '';

if (hash_equals($expected, $erhalten)) {
    $data = json_decode($payload, true);
    //Verifiziert – Nutzlast verarbeiten
} else {
    http_response_code(401);
    die(„Ungültige Signatur“);
}

Python (Flask)

Import hmac, Hashlib
from flask Import request

SECRET = 'webhook-secret-burada'

@app.route('/webhook', methods=['POST'])
def webhook():
    body = request.get_data()
    signatur = request.headers.get('X-OxiSec-Signatur', '')
    expected = 'sha256=' + hmac.new(
        SECRET.encode(), Körper, hashlib.sha256
    ).hexdigest()

    wenn nicht hmac.compare_digest(Signatur, erwartet):
        return „Ungültige Signatur“, 401

    data = request.json
    # Verfahren...
    return 'OK'

Node.js (Express)

const crypto = erfordern('crypto');
const SECRET = 'webhook-secret-burada';

app.post('/webhook', express.raw({ type: 'application/json' }), (req, res) => {
  const Signatur = req.headers['x-oxisec-signatur'];
  const expected = 'sha256=' + crypto.createHmac('sha256', GEHEIM)
    .update(req.body).digest('hex');

  if (!crypto.timingSafeEqual(Buffer.from(signature), Buffer.from(expected))) {
    return res.status(401).send(„Ungültige Signatur“);
  }

  const data = JSON.parse(req.body.toString());
  //Verfahren...
  res.send('OK');
});

Fehlerverwaltung und Wiederholung

Audit-Protokoll

Alle Webhook-Einreichungen webhook_deliveries wird in der Tabelle festgehalten. Auf der Detailseite jedes Webhooks im PanelLetzte 50 Beiträgeerscheint: bestanden/nicht bestanden, HTTP-Antwortcode, Dauer, Anzahl der Versuche, Fehlermeldung. „Ist er gekommen oder nicht?“ Keine Frage.

🔑 REST-API

Im Geschäft+-Plan können API-Schlüssel für programmatischen Zugriff erstellt werden.

1. Einstellungen →API-Schlüssel→ + Neuer Schlüssel
2. Umfang auswählen: alerts:read, hunt:query, logs:read (nach Ihrem Plan)
3. Sie sehen den Schlüssel nur einmal – bewahren Sie ihn gut auf
4. Header in Anfragen: Autorisierung: Inhaber <api_key>

# Beispiel: Letzte offene Alarme
curl -s -H "Autorisierung: Bearer ox_live_xxxx" \
  „https://mssp.oxisec.com/api/alerts?status=open&limit=10“

Zur Ereignisauslösung und Automatisierung Webhook Sie können auch die Integration nutzen. Die vollständige OpenAPI-Dokumentation wird in Kürze veröffentlicht.

🎯 MITRE ATT&CK Mapping

Jedes Muster wird automatisch Taktiken und Techniken im MITRE ATT&CK-Framework zugeordnet. Sichtbar in Berichten und verfügbar in Audits.

Gesamt12 Muster → MITRE-MappingUnd21 TechnikenFertig geladen. neue TechnikenEinstellungen → MITRESie können es von der Seite aus hinzufügen.