CVE-2024-30314 (Last Update: 16.05.2024 11:36) - Products: Dreamweaver Desktop - Info: Git local configuration leading to Arbitrary Code Execution upon opening .ste file || CVE-2024-29990 (Last Update: 14.05.2024 16:24) - Products: Azure Kubernetes Service - Info: Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability || CVE-2024-21334 (Last Update: 08.05.2024 22:04) - Products: System Center Operations Manager (SCOM) 2019, System Center Operations Manager (SCOM) 2022, Open Management Infrastructure - Info: Open Management Infrastructure (OMI) Remote Code Execution Vulnerability || CVE-2024-21400 (Last Update: 08.05.2024 22:04) - Products: Azure Kubernetes Service - Info: Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability || CVE-2024-0057 (Last Update: 16.04.2024 17:09) - Products: .NET 8.0, .NET 7.0, .NET 6.0, Microsoft Visual Studio 2022 version 17.2, Microsoft Visual Studio 2019 version 16.11 (includes 16.0 - 16.10), Microsoft Visual Studio 2022 version 17.4, Microsoft Visual Studio 2022 version 17.6, Microsoft Visual Studio 2022 version 17.8, NuGet 5.11.0, NuGet 17.4.0, NUGET 17.6.0, NuGet 17.8.0, PowerShell 7.2, PowerShell 7.3, PowerShell 7.4, Microsoft .NET Framework 4.8, Microsoft .NET Framework 3.5 AND 4.8, Microsoft .NET Framework 3.5 AND 4.7.2, Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2, Microsoft .NET Framework 3.5 AND 4.8.1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2 - Info: NET, .NET Framework, and Visual Studio Security Feature Bypass Vulnerability || CVE-2024-21326 (Last Update: 16.04.2024 17:09) - Products: Microsoft Edge (Chromium-based) - Info: Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability || CVE-2024-21410 (Last Update: 11.04.2024 19:33) - Products: Microsoft Exchange Server 2016 Cumulative Update 23, Microsoft Exchange Server 2019 Cumulative Update 13, Microsoft Exchange Server 2019 Cumulative Update 14 - Info: Microsoft Exchange Server Elevation of Privilege Vulnerability || CVE-2024-21403 (Last Update: 11.04.2024 19:33) - Products: Azure Kubernetes Service - Info: Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability || CVE-2024-21376 (Last Update: 11.04.2024 19:33) - Products: Azure Kubernetes Service - Info: Microsoft Azure Kubernetes Service Confidential Container Remote Code Execution Vulnerability || CVE-2024-21364 (Last Update: 11.04.2024 19:33) - Products: Azure Site Recovery - Info: Microsoft Azure Site Recovery Elevation of Privilege Vulnerability || CVE-2024-21413 (Last Update: 11.04.2024 19:33) - Products: Microsoft Office 2019, Microsoft 365 Apps for Enterprise, Microsoft Office LTSC 2021, Microsoft Office 2016 - Info: Microsoft Outlook Remote Code Execution Vulnerability || CVE-2024-21401 (Last Update: 11.04.2024 19:33) - Products: Entra - Info: Microsoft Entra Jira Single-Sign-On Plugin Elevation of Privilege Vulnerability || CVE-2024-20758 (Last Update: 10.04.2024 11:49) - Products: Adobe Commerce - Info: [Adobe Cloud] RCE through frontend gift registry sharing || CVE-2023-24943 (Last Update: 09.04.2024 16:44) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows 10 Version 20H2, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 11 version 22H2, Windows 10 Version 22H2, Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability || CVE-2023-24941 (Last Update: 09.04.2024 16:44) - Products: Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Windows Network File System Remote Code Execution Vulnerability || CVE-2023-44324 (Last Update: 15.03.2024 16:38) - Products: Adobe Framemaker Publishing Server - Info: ZDI-CAN-21344: Adobe FrameMaker Publishing Server Authentication Bypass Vulnerability || CVE-2024-20738 (Last Update: 15.03.2024 16:32) - Products: Adobe Framemaker Publishing Server - Info: Adobe FrameMaker Publishing Server Authentication Bypass Vulnerability | CVE-2023-44324 bypass || CVE-2023-21709 (Last Update: 12.03.2024 16:51) - Products: Microsoft Exchange Server 2019 Cumulative Update 12, Microsoft Exchange Server 2016 Cumulative Update 23, Microsoft Exchange Server 2019 Cumulative Update 13 - Info: Microsoft Exchange Server Elevation of Privilege Vulnerability || CVE-2023-35385 (Last Update: 12.03.2024 16:51) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 11 version 22H2, Windows 10 Version 22H2, Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability || CVE-2023-36911 (Last Update: 12.03.2024 16:51) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 11 version 22H2, Windows 10 Version 22H2, Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability ||

In einem digital getriebenen Zeitalter ist es für Organisationen von entscheidender Bedeutung, einen klaren Überblick über ihre IT-Infrastrukturen zu haben. Zwei Hauptinstrumente in diesem Prozess sind das Monitoring und das Logging. Beide spielen entscheidende Rollen, werden jedoch unterschiedlich eingesetzt und bieten verschiedene Einblicke.

Jens Decker erklärt im folgenden Beitrag die Unterschiede und wozu ein gutes Logging nützlich sein kann.

Monitoring vs. Logging

Der Hauptunterschied zwischen den Daten, die durch Monitoring und Logging erzeugt werden, liegt in ihrem Fokus und ihrer Granularität.

Lassen Sie mich das anhand der folgenden Tabelle verdeutlichen:

MonitoringLogging
HauptzweckÜberwachung der Systemgesundheit in EchtzeitErfassen von detaillierten Ereignisinformationen
HauptvorteilFrüherkennung von ProblemenTiefgehende Fehleranalyse und Forensik
DatentypAggregierte Performance-DatenGranulare Ereignisdetails
BeispielDurchschnittliche CPU-Auslastung in den letzten 10 MinutenEinzelnes Log-Ereignis, das einen spezifischen Fehler während einer Transaktion zeigt
Tabelle: Monitoring vs. Logging

Erklärung zur Datenart

  • Monitoring:
    • Aggregierte Daten: Monitoring-Daten sind in der Regel aggregierte Daten, die über einen bestimmten Zeitraum gesammelt werden. Dies können Durchschnittswerte, Maxima, Minima oder andere zusammengefasste Datenpunkte sein.
    • Trendinformation: Durch den Fokus auf aggregierte Daten können Monitoring-Systeme Trends und Muster identifizieren. Dies ermöglicht die Früherkennung von Problemen und hilft, Systemengpässe oder Ausfälle zu vermeiden.
    • Beispiel: Wenn das Monitoring-Tool eine durchschnittliche CPU-Auslastung von 95% über einen Zeitraum von 10 Minuten meldet, gibt das einen Hinweis darauf, dass der Server überlastet sein könnte.
  • Logging:
    • Granulare Daten: Logging-Daten sind detailliert und spezifisch für einzelne Ereignisse oder Transaktionen. Jedes Log-Ereignis enthält spezifische Informationen wie Timestamps, Benutzer-IDs, IP-Adressen, Fehlercodes und Nachrichten.
    • Forensische Details: Das granulare Detailniveau von Logs macht sie wertvoll für die Fehlerbehebung und forensische Untersuchungen. Sie können genau zeigen, was zu einem bestimmten Zeitpunkt auf einem System passiert ist.
    • Beispiel: Ein Log-Ereignis könnte zeigen, dass eine bestimmte Datenbanktransaktion um 14:03:15 Uhr einen Fehler verursacht hat, zusammen mit dem spezifischen Fehlercode und einer detaillierten Nachricht.

Zusammenfassend lässt sich sagen, dass das Monitoring dazu dient, einen allgemeinen Überblick über den Zustand eines Systems zu geben, während das Logging die detaillierten Informationen liefert, die benötigt werden, um spezifische Probleme oder Vorfälle zu verstehen und zu behandeln.

Warum ein zentrales Logging?

Das Wachstum und die Komplexität von IT-Umgebungen haben zu einer Explosion von Daten geführt. Ohne eine zentrale Stelle zur Sammlung dieser Daten ist es nahezu unmöglich, einen klaren Überblick zu behalten oder Muster zu erkennen.

  1. Voller Überblick über alle Systeme: Ein zentrales Logging-System sammelt Daten aus verschiedensten Quellen, wodurch ein Gesamtbild der IT-Landschaft ermöglicht wird. Durch die Zusammenführung dieser Daten können Sie sehen, wie sich ein Ereignis in einem System auf ein anderes auswirkt.
  2. Fehlerdiagnose: Ein detailliertes Protokoll der Systemaktivitäten ermöglicht es, die Ursache von Problemen effektiv zu ermitteln. Das spart nicht nur Zeit, sondern auch wertvolle Ressourcen.
  3. Sicherheit: In einer Zeit, in der Sicherheitsverletzungen immer häufiger vorkommen, sind Logs oft der Schlüssel zur Aufdeckung, wie ein Angreifer eingedrungen ist und was er während seines Aufenthalts getan hat.
  4. Compliance: Viele Branchen unterliegen strengen Vorschriften, und ein zentrales Logging hilft, die Einhaltung dieser Vorschriften sicherzustellen.

Wie funktioniert das Zusammenspiel von Monitoring und zentralem Logging?

Das Monitoring bietet einen Echtzeit-Überblick über die Systemgesundheit. Es ist wie ein Arzt, der den Puls, den Blutdruck und die Temperatur eines Patienten misst. Das zentrale Logging hingegen ist wie eine medizinische Aufzeichnung, die jedes Detail über den Patienten enthält.

Ein Beispiel aus unserer Praxis

Was ist passiert?

Am späten Freitagabend, wenn nur wenige Nutzer online sein sollten, beobachtet das Monitoring-System einen ungewöhnlichen Anstieg des ausgehenden Datenverkehrs von einem Kundenserver und reagiert wie es reagieren soll, es alarmiert die Bereitschaft.

Die Netzwerkauslastungsdiagramme zeigen einen konstanten, hohen Datenfluss von dem Server zu einer externen IP-Adresse. Dies ist untypisch für den normalen Betrieb und könnte auf einen Datenexfiltrationsversuch hindeuten.

Der Gesamtzustand des „Patienten“ hatte sich in eine ungewöhnliche Richtung entwickelt und es wäre ein guter Zeitpunkt zu schauen warum das so ist und mögliche Gegenmaßnahmen einzuleiten.

Wie hat uns das zentrale Logging geholfen die Situation zu lösen?

Wir mussten schnell feststellen, welche Daten kompromittiert sein könnten und wie der ungewöhnliche Datenverkehr zustande kam.

Die detaillierten Log-Daten zeigten, dass eine ältere, nicht aktualisierte Anwendung eine offensichtlich Schwachstelle aufwies. Die Logs protokollieren den Zugriff auf verschiedene Datenbanken und Dateien. Insbesondere konnten wir sehen, welche Datenbanktabellen abgefragt wurden und welche Dateien übertragen wurden. Zusätzlich enthielten die Logs die IP-Adresse des Angreifers, den genutzten Port und den Zeitpunkt des Zugriffs.

Somit konnten wir den Server zügig vom Netz nehmen, die weitere Exfiltration von Daten wurde verhindert und wir konnten zusätzlich, durch eine gezielte Auswertung aller Loggingdaten zum gleichen Zeitpunkt, ausschließen das der Angreifer weitere Server erfolgreich infiltrieren konnte.

Schlussfolgerung

In der komplexen Welt der IT ist es für Administratoren und Manager unerlässlich, sowohl einen Überblick (durch Monitoring) als auch detaillierte Einblicke (durch Logging) zu haben. Während das Monitoring den schnellen Überblick bietet, liefert das Logging die nötige Tiefe für die Problembehandlung, Sicherheitsforensik und Compliance.

Weitere nützliche Themen

In unserer Beitragsserie zeigen wir Ihnen wie Sie mit einfachen Mitteln die richtigen Schritte zum mehr Transparenz in Ihrer IT und damit mehr Sicherheit gehen und hier lesen Sie welche wichtige Rolle das Management in der IT Sicherheit spielt.

Was in den ersten 48h eines Angriffs passieren kann, lesen Sie hier.