SIEM: Wie Wazuh bei der Analyse eines MariaDB-Galera-Clusters unterstützt.

Wie Wazuh bei der Analyse eines MariaDB-Galera-Clusters unterstützt.

In einer typischen produktiven Umgebung wird häufig die Datenbank von MariaDB verwendet, oft in Kombination mit einem active-active-active Galera-Cluster-Verbund.

In diesem Beispiel greift eine Frontend-Anwendung gezielt über einen HA/LB-HAProxy mit einer ausfallsicheren virtuellen IP auf den Galera-Cluster-Verbund zu. Ferner hat auch der Administrator die Möglichkeit, sich direkt mit den Datenbank-Servern zu verbinden und dort lokal zuzugreifen.

Ziel ist es, dass die verschiedensten Abfragen an die Datenbank exakt geloggt und anschließend durch das SIEM Wazuh auf Anomalien analysiert werden. Zusätzlich soll ein Dashboard weitere visuelle Hilfen bieten.

Bei diesem Use-Case gibt es allerdings erste Probleme: MariaDB und dessen Standard-Logs lassen bereits grundlegende Vorgänge nachverfolgen, allerdings werden dort nicht alle Informationen erfasst, beispielsweise eindeutige „retcode“-Werte bei Abfragen oder detaillierte Daten zu den Queries.

Als Abhilfe wurde das MariaDB-Server-Audit-Plugin eingeführt, weil die normalen MariaDB-Logs nicht immer die Detailtiefe bieten, die für eine gründliche Analyse benötigt wird.

Um das Plugin einzurichten, musste ich die offizielle Dokumentation gründlich lesen und vor allem verstehen.

• https://mariadb.com/kb/en/mariadb-audit-plugin/
• https://mariadb.com/kb/en/mariadb-audit-plugin-log-format/
• https://mariadb.com/kb/en/mariadb-audit-plugin-status-variables/

Die Server-Audit-Logs liefern deutlich mehr Transparenz über das tatsächliche Geschehen, einschließlich spezifischer Fehlermeldungen und Query-Details. Dieses zusätzliche Maß an Informationen ist unverzichtbar, um nicht nur Sicherheitsvorfälle (z.B. unautorisierte Zugriffe oder auffällige Abfragen) zu erkennen, sondern auch um Performance- und Konfigurationsprobleme schnell aufzuspüren.

Da ein SIEM-System wie Wazuh die Auditing-Informationen automatisiert erfassen und auswerten soll, war es notwendig, dedizierte Decoder und Regeln zu entwickeln. Dabei sind Fehlermeldungen und Detailangaben in den MariaDB-Audit-Logs anders strukturiert als die üblichen Logs. Das bedeutete, dass ich die Events kategorisieren, die passenden Felder extrahieren und anschließend Regeln definieren musste, die den verschiedenen Situationen entsprechen (z.B. Abbrechen einer Query, ungewöhnliche Retcode-Werte, auffällige Zugriffe).

Das Server-Audit-Plugin von MariaDB kennt diese Felder:

[timestamp],[serverhost],[username],[host],[connectionid],[queryid],CREATE,[database],[object],
[timestamp],[serverhost],[username],[host],[connectionid],[queryid],READ,[database],[object],
[timestamp],[serverhost],[username],[host],[connectionid],[queryid],WRITE,[database],[object],
[timestamp],[serverhost],[username],[host],[connectionid],[queryid],ALTER,[database],[object],
[timestamp],[serverhost],[username],[host],[connectionid],[queryid],RENAME,[database],[object_old]|[database_new].[object_new],
[timestamp],[serverhost],[username],[host],[connectionid],[queryid],DROP,[database],[object],

Sowie diese Operationen:

CONNECT, DISCONNECT, QUERY, READ, WRITE, CREATE, ALTER, RENAME, DROP

Interessanterweise variieren die Log-Daten je nach Datenbank-Operation und je nachdem, ob der Zugriff lokal oder remote erfolgt. Folglich war der Testaufwand nicht zu unterschätzen, und die Komplexität der regulären Ausdrücke für die Wazuh-Dekodierlogik erforderte mehr Entwicklungsarbeit. Um jedoch mit der Arbeit zu beginnen, musste ich die verschiedenen Zustände erst einmal auslösen, um die echten Ausgaben zu bekommen.

Das Ganze habe ich schließlich in Wazuh integriert, um einen konsolidierten Blick auf sicherheitsrelevante Ereignisse zu erhalten. Dabei ist es wichtig zu erkennen, dass ein SIEM nicht nur klassische Sicherheitsvorfälle erkennt, sondern auch als Schnittstelle für geschäftsrelevante Informationen dienen kann. Threat Intelligence und Business Intelligence liegen näher beieinander, als man oft annimmt. Dieselben Daten, die Unregelmäßigkeiten im Datenverkehr aufdecken, können auch Einsichten in Unternehmensprozesse liefern oder Compliance-Anforderungen unterstützen. Genau diese Schnittmenge von Sicherheit und Geschäftsinteressen adressiert das Server-Audit-Plugin zusammen mit Wazuh.

Nachdem ich das Server-Audit-Plugin verstanden, die Log-Daten verarbeitet und dokumentiert sowie die Decoder und Regeln entwickelt hatte, ging es zum Aufbau des Dashboards. Als dieses fertig konstruiert war, musste nur noch das Server-Audit-Plugin in allen Galera-Cluster-Nodes integriert und konfiguriert werden (und natürlich alles sauber dokumentiert).

Das Dashboard zeigt nicht nur die aktuellen Live-Daten der Server-Audit Logs im unteren Teil, je Cluster-Node, sondern auch wie oft eine Aktion ausgeführt wurde, von wem und wo! Würde z.B. root eine neue Datenbank erstellen (z.B. ein Hacker), so würde das Dashboard direkt die Erstellung in der Heatmap im rechten Teil des Dashboards anzeigen. Auch die Timeline im linken Abschnitt hebt diese Aktion farblich hervor.

Ein anderes Detail bietet der Counter oben mittig an. Jede Aktion, pro Server-Node, wird gezählt … dies hilft u. a. die Lastenverteilung zu verstehen und ggf. andere Maßnahmen einzuleiten.

Die komplette Entwicklungsarbeit samt Testen und Dokumentation hat letztlich rund vier Tage in Anspruch genommen. Das ist nicht ungewöhnlich, wenn man zuverlässige Erkennungsregeln und eine saubere Arbeitsweise etablieren will.

Fazit: Datenbank-Analyse durch Wazuh

Die Kombination aus Wazuh zur Überwachung und der Analyse des Galera-Clusters hat bewiesen, wie wertvoll es ist, die Zeit in seriöses IT-Engineering zu investieren. Datenbank-Abfragen, die Lastenverteilung auf die einzelnen Cluster-Nodes und die Erkennung von Anomalien, sind keine Spielereien. Erst mit dem richtigen Einblick in hochkomplexe Themen lassen sich überhaupt erst IT-Sicherheitsstrategien entwickeln und auch potenziell schädliche Fehlkonfigurationen aufdecken.

Meine Dienstleistungen für Sie: SIEM-Systeme, Systemhärtung und Compliance-Anforderungen

Als Wazuh Gold Partner biete ich mit meinem Unternehmen Gray-Hat IT-Security Consulting professionelle Unterstützung bei der Implementierung von SIEM-Systemen auf Wazuh-Basis. Meine Expertise umfasst nicht nur die fachgerechte Etablierung eines SIEM-Systems, sondern auch die systematische Härtung Ihrer Server und Netzwerke, sodass selbst produktive Umgebungen optimal geschützt sind. Dabei berücksichtige ich wichtige Compliance-Anforderungen wie ISO 27001:2022 und NIS-2, um sicherzustellen, dass Ihre IT-Infrastruktur nicht nur sicher, sondern auch mit Ihrer Compliance bzw. ISMS konform sind.

Falls Sie ebenfalls Ihre IT-Infrastruktur mit Wazuh optimieren, Ihre Systeme härten oder spezifische Compliance-Anforderungen erfüllen möchten, unterstütze ich Sie gerne mit meiner intensiven Praxis-Erfahrung und einem umfassenden Angebot an Lösungen.