<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="de">
	<id>https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Sichtbarkeit_im_SOC-Setup</id>
	<title>Sichtbarkeit im SOC-Setup - Versionsgeschichte</title>
	<link rel="self" type="application/atom+xml" href="https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Sichtbarkeit_im_SOC-Setup"/>
	<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Sichtbarkeit_im_SOC-Setup&amp;action=history"/>
	<updated>2026-07-05T23:56:37Z</updated>
	<subtitle>Versionsgeschichte dieser Seite in Xinux Wiki</subtitle>
	<generator>MediaWiki 1.35.1</generator>
	<entry>
		<id>https://wiki.ixheim.de/index.php?title=Sichtbarkeit_im_SOC-Setup&amp;diff=71605&amp;oldid=prev</id>
		<title>Thomas.will am 1. Juli 2026 um 16:24 Uhr</title>
		<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Sichtbarkeit_im_SOC-Setup&amp;diff=71605&amp;oldid=prev"/>
		<updated>2026-07-01T16:24:28Z</updated>

		<summary type="html">&lt;p&gt;&lt;/p&gt;
&lt;table class=&quot;diff diff-contentalign-left diff-editfont-monospace&quot; data-mw=&quot;interface&quot;&gt;
				&lt;col class=&quot;diff-marker&quot; /&gt;
				&lt;col class=&quot;diff-content&quot; /&gt;
				&lt;col class=&quot;diff-marker&quot; /&gt;
				&lt;col class=&quot;diff-content&quot; /&gt;
				&lt;tr class=&quot;diff-title&quot; lang=&quot;de&quot;&gt;
				&lt;td colspan=&quot;2&quot; style=&quot;background-color: #fff; color: #202122; text-align: center;&quot;&gt;← Nächstältere Version&lt;/td&gt;
				&lt;td colspan=&quot;2&quot; style=&quot;background-color: #fff; color: #202122; text-align: center;&quot;&gt;Version vom 1. Juli 2026, 16:24 Uhr&lt;/td&gt;
				&lt;/tr&gt;&lt;tr&gt;&lt;td colspan=&quot;2&quot; class=&quot;diff-lineno&quot; id=&quot;mw-diff-left-l2&quot; &gt;Zeile 2:&lt;/td&gt;
&lt;td colspan=&quot;2&quot; class=&quot;diff-lineno&quot;&gt;Zeile 2:&lt;/td&gt;&lt;/tr&gt;
&lt;tr&gt;&lt;td class='diff-marker'&gt; &lt;/td&gt;&lt;td style=&quot;background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;/td&gt;&lt;td class='diff-marker'&gt; &lt;/td&gt;&lt;td style=&quot;background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;/td&gt;&lt;/tr&gt;
&lt;tr&gt;&lt;td class='diff-marker'&gt; &lt;/td&gt;&lt;td style=&quot;background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;div&gt;==Einstieg: Warum das für ISB relevant ist==&lt;/div&gt;&lt;/td&gt;&lt;td class='diff-marker'&gt; &lt;/td&gt;&lt;td style=&quot;background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;div&gt;==Einstieg: Warum das für ISB relevant ist==&lt;/div&gt;&lt;/td&gt;&lt;/tr&gt;
&lt;tr&gt;&lt;td class='diff-marker'&gt;−&lt;/td&gt;&lt;td style=&quot;color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;div&gt;*&lt;del class=&quot;diffchange diffchange-inline&quot;&gt;Kein Werkzeugkasten-Vortrag — es geht um eine &lt;/del&gt;Frage: an welcher Stelle im Netz können wir überhaupt eine Aussage treffen?&lt;/div&gt;&lt;/td&gt;&lt;td class='diff-marker'&gt;+&lt;/td&gt;&lt;td style=&quot;color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;div&gt;*&lt;ins class=&quot;diffchange diffchange-inline&quot;&gt;Zentrale &lt;/ins&gt;Frage: an welcher Stelle im Netz können wir überhaupt eine Aussage treffen?&lt;/div&gt;&lt;/td&gt;&lt;/tr&gt;
&lt;tr&gt;&lt;td class='diff-marker'&gt; &lt;/td&gt;&lt;td style=&quot;background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;div&gt;*Sicherheit ≠ &amp;quot;wir haben ein Tool installiert&amp;quot; — Sicherheit = wir können zu jedem Zeitpunkt sagen, was passiert ist, wer es war, und ob es normal war&lt;/div&gt;&lt;/td&gt;&lt;td class='diff-marker'&gt; &lt;/td&gt;&lt;td style=&quot;background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;div&gt;*Sicherheit ≠ &amp;quot;wir haben ein Tool installiert&amp;quot; — Sicherheit = wir können zu jedem Zeitpunkt sagen, was passiert ist, wer es war, und ob es normal war&lt;/div&gt;&lt;/td&gt;&lt;/tr&gt;
&lt;tr&gt;&lt;td class='diff-marker'&gt; &lt;/td&gt;&lt;td style=&quot;background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;div&gt;*Blinde Flecken sind der Normalzustand, nicht die Ausnahme — jede Infrastruktur hat sie. Die Frage ist, ob man sie kennt&lt;/div&gt;&lt;/td&gt;&lt;td class='diff-marker'&gt; &lt;/td&gt;&lt;td style=&quot;background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;div&gt;*Blinde Flecken sind der Normalzustand, nicht die Ausnahme — jede Infrastruktur hat sie. Die Frage ist, ob man sie kennt&lt;/div&gt;&lt;/td&gt;&lt;/tr&gt;

&lt;!-- diff cache key my_wiki:diff::1.12:old-71604:rev-71605 --&gt;
&lt;/table&gt;</summary>
		<author><name>Thomas.will</name></author>
	</entry>
	<entry>
		<id>https://wiki.ixheim.de/index.php?title=Sichtbarkeit_im_SOC-Setup&amp;diff=71604&amp;oldid=prev</id>
		<title>Thomas.will: Die Seite wurde neu angelegt: „=Sichtbarkeit im SOC-Setup=  ==Einstieg: Warum das für ISB relevant ist== *Kein Werkzeugkasten-Vortrag — es geht um eine Frage: an welcher Stelle im Netz k…“</title>
		<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Sichtbarkeit_im_SOC-Setup&amp;diff=71604&amp;oldid=prev"/>
		<updated>2026-07-01T16:11:18Z</updated>

		<summary type="html">&lt;p&gt;Die Seite wurde neu angelegt: „=Sichtbarkeit im SOC-Setup=  ==Einstieg: Warum das für ISB relevant ist== *Kein Werkzeugkasten-Vortrag — es geht um eine Frage: an welcher Stelle im Netz k…“&lt;/p&gt;
&lt;p&gt;&lt;b&gt;Neue Seite&lt;/b&gt;&lt;/p&gt;&lt;div&gt;=Sichtbarkeit im SOC-Setup=&lt;br /&gt;
&lt;br /&gt;
==Einstieg: Warum das für ISB relevant ist==&lt;br /&gt;
*Kein Werkzeugkasten-Vortrag — es geht um eine Frage: an welcher Stelle im Netz können wir überhaupt eine Aussage treffen?&lt;br /&gt;
*Sicherheit ≠ &amp;quot;wir haben ein Tool installiert&amp;quot; — Sicherheit = wir können zu jedem Zeitpunkt sagen, was passiert ist, wer es war, und ob es normal war&lt;br /&gt;
*Blinde Flecken sind der Normalzustand, nicht die Ausnahme — jede Infrastruktur hat sie. Die Frage ist, ob man sie kennt&lt;br /&gt;
*ISB-Verantwortung: nicht Technik im Detail verstehen, aber wissen, WO Aussagen möglich sind und WO nicht — Grundlage für Risikobewertung und Meldepflichten (&amp;quot;können wir überhaupt rekonstruieren, was passiert ist?&amp;quot;)&lt;br /&gt;
&lt;br /&gt;
==Die vier Sichtbarkeits-Ebenen==&lt;br /&gt;
&lt;br /&gt;
===Netzwerk-Grenze (Filterlog + IPS)===&lt;br /&gt;
*Firewall-Filterlog: jedes Pass/Block-Ereignis an einer Zonengrenze (WAN↔DMZ, DMZ↔LAN) — beantwortet &amp;quot;wer hat versucht wohin zu kommunizieren&amp;quot;&lt;br /&gt;
*Suricata IPS inline: erkennt Angriffsmuster im Traffic selbst (Exploits, C2-Verkehr, Portscans) — beantwortet &amp;quot;war erlaubter Traffic trotzdem bösartig&amp;quot;&lt;br /&gt;
;ISB-Punkt&lt;br /&gt;
*Filterlog zeigt nur Regelverstöße gegen die eigene Policy — ein Angriff über eine erlaubte Regel (z.B. Port 443 zum Webserver) taucht dort NICHT als Anomalie auf. Dafür braucht's IPS&lt;br /&gt;
&lt;br /&gt;
===Identität (Auth-Logs, LDAP, SSH)===&lt;br /&gt;
*Wer hat sich wann, von wo, mit welchem Erfolg angemeldet&lt;br /&gt;
*Beantwortet die klassische Forensik-Frage: Account-Kompromittierung ja/nein&lt;br /&gt;
;ISB-Punkt&lt;br /&gt;
*Ohne das: technisch korrekter Zugriff sieht identisch aus wie Missbrauch mit gestohlenem Credential — kein Unterschied erkennbar ohne Kontext (Uhrzeit, Ort, Häufigkeit)&lt;br /&gt;
&lt;br /&gt;
===Content-Ebene (WAF + Proxy/AV)===&lt;br /&gt;
*WAF (Coraza) sieht den tatsächlichen HTTP-Request-Inhalt zu unseren eigenen Webanwendungen — SQL-Injection, XSS, Command Injection auf Anwendungsebene&lt;br /&gt;
*Proxy mit SSL-Bump + ClamAV (c-icap) sieht den Inhalt von ausgehendem Traffic der Nutzer — Malware-Download, Datenexfiltration&lt;br /&gt;
;ISB-Punkt&lt;br /&gt;
*Das ist die einzige Ebene, die tatsächlich in die Nutzlast reinschaut — alle anderen Ebenen sehen nur Metadaten oder Muster&lt;br /&gt;
&lt;br /&gt;
===Host-Integrität (FIM)===&lt;br /&gt;
;Was ist FIM&lt;br /&gt;
*FIM = File Integrity Monitoring — Überwachung von Dateien/Verzeichnissen auf unerwartete Änderungen (Inhalt, Rechte, Eigentümer)&lt;br /&gt;
*Was hat sich auf dem System selbst verändert — Dateien, Konfigurationen, Berechtigungen&lt;br /&gt;
;ISB-Punkt&lt;br /&gt;
*Letzte Verteidigungslinie: wenn ein Angreifer alle Netzwerk-Kontrollen umgangen hat, sieht man es hier trotzdem, weil er auf dem System etwas anfassen musste&lt;br /&gt;
&lt;br /&gt;
==Wo ist Verkehr überhaupt lesbar?==&lt;br /&gt;
*Ohne SSL-Bump: Firewall/IPS sehen nur Ziel-IP, Port, SNI (Servername) — der eigentliche Inhalt bleibt verschlüsselt und damit unsichtbar, auch für uns&lt;br /&gt;
*Mit SSL-Bump am Proxy: Inhalt wird entschlüsselt, geprüft, neu verschlüsselt — aber NUR für Traffic, der tatsächlich über den Proxy läuft&lt;br /&gt;
*Direkter TLS-Traffic (nicht über Proxy geroutet) bleibt für uns unsichtbar — Netzwerksegmentierung und Routing entscheiden, was überhaupt einsehbar sein kann&lt;br /&gt;
*WAF sieht nur, was auf sie terminiert (Layer 7 HTTP/S, unsere eigenen Anwendungen) — alles andere läuft dran vorbei&lt;br /&gt;
;ISB-Punkt&lt;br /&gt;
*Sichtbarkeit ist keine Eigenschaft eines Tools, sondern eine Eigenschaft der Netzwerkarchitektur — ein Tool kann nur sehen, was man ihm auch vorbeischickt&lt;br /&gt;
&lt;br /&gt;
==Eskalation==&lt;br /&gt;
*Alert entsteht am Sensor (Suricata / Filterlog / WAF / AV / FIM) → Wazuh-Agent → Wazuh-Manager&lt;br /&gt;
*Manager korreliert Ereignisse, vergibt einen Schweregrad (Level 0–15)&lt;br /&gt;
*Ab definierter Schwelle (z.B. Level ≥ 7) → automatische Mail-Benachrichtigung an das SOC-Postfach&lt;br /&gt;
*SOC prüft: False Positive? Reale Bedrohung? → Ticket / Rückmeldung an zuständigen Admin&lt;br /&gt;
;ISB-Punkt&lt;br /&gt;
*Die Eskalationskette ist nur so gut wie der schwächste Schritt — ein Sensor ohne Wazuh-Anbindung ist ein blinder Fleck, egal wie gut er lokal loggt&lt;br /&gt;
*Für die ISB-Bewertung zählt nicht &amp;quot;loggt das System&amp;quot;, sondern &amp;quot;kommt das Ereignis auch tatsächlich beim SOC an&amp;quot;&lt;/div&gt;</summary>
		<author><name>Thomas.will</name></author>
	</entry>
</feed>