Alternative zum SOC
Moderator: Securepoint
-
- Beiträge: 5
- Registriert: Mi 19.12.2018, 21:36
Alternative zum SOC
Hallo zusammen,
hat jemand von euch schon eine "gute" Alternative zum SOC gefunden?
Wir benötigen für all unsere Kunden eine alternative zum SOC, da die Cloud nicht genutzt werden soll.
Danke!
VG
Sascha
hat jemand von euch schon eine "gute" Alternative zum SOC gefunden?
Wir benötigen für all unsere Kunden eine alternative zum SOC, da die Cloud nicht genutzt werden soll.
Danke!
VG
Sascha
Wie es aussieht, sind wir die Einzigen, die das SOC für die Verwaltung der Kundengeräte verwenden. :-)
Ablaufende Lizenzen fürs SOC werden inzwischen nicht mehr verlängert.
Für mich ist das USC (Cloud) unhandlich und nicht wirklich vorteilhaft einsetzbar. Ich habe den Eindruck, dass die Leute, die das USC entwickelt haben, nie mehr als eine einstellige Zahl an Kunden-Geräten zu verwalten hatten.
Für uns wäre eine Software, die bequem einen schnellen Zugriff auf die Kunden-Geräte ermöglicht und die im Hintergrund regelmäßig Backups der Konfiguration erstellt schon für den Alltagsgebrauch ausreichend. Einige Features des SOC haben leider nie einen ausgereiften Zustand erreicht. Fürs USC fürchte ich Ähnliches.
Natürlich fördert die Umstellung auf die Cloud die „Bindung“ zwischen Hersteller und Endkunden. Ob das jedoch für alle Beteiligten ein Vorteil ist, wage ich zu bezweifeln...
Ablaufende Lizenzen fürs SOC werden inzwischen nicht mehr verlängert.
Für mich ist das USC (Cloud) unhandlich und nicht wirklich vorteilhaft einsetzbar. Ich habe den Eindruck, dass die Leute, die das USC entwickelt haben, nie mehr als eine einstellige Zahl an Kunden-Geräten zu verwalten hatten.
Für uns wäre eine Software, die bequem einen schnellen Zugriff auf die Kunden-Geräte ermöglicht und die im Hintergrund regelmäßig Backups der Konfiguration erstellt schon für den Alltagsgebrauch ausreichend. Einige Features des SOC haben leider nie einen ausgereiften Zustand erreicht. Fürs USC fürchte ich Ähnliches.
Natürlich fördert die Umstellung auf die Cloud die „Bindung“ zwischen Hersteller und Endkunden. Ob das jedoch für alle Beteiligten ein Vorteil ist, wage ich zu bezweifeln...
ich selber habe keine Erfahrung damit, aber guckt euch das mal an: https://mydashboard.ext-com.de/
Hallo in die Runde,
ich suche auch dringend Ersatz für die SOC-Software. Mein Problem ist das in der Cloud wegfallende Logging der UTM-Daten. Diese Daten konnte man bisher wunderbar über den internen SOC-Filter bearbeiten und gezielt in Textdateien exportieren.
Diese Daten habe ich über ein seit 5 Jahren entwickeltes Tool analysiert und den Kunden einen Bericht im Rahmen eines Wartungsvertrages zur Verfügung gestellt. Diese Leistung muss ich nun vermutlich einstellen.
Ich habe auch schon mit dem Projektteam darüber gesprochen, die Ausweichlösungen bin ich dabei zu prüfen. Hat da jemand aus dem Forum noch Ideen zur Lösung?
ich suche auch dringend Ersatz für die SOC-Software. Mein Problem ist das in der Cloud wegfallende Logging der UTM-Daten. Diese Daten konnte man bisher wunderbar über den internen SOC-Filter bearbeiten und gezielt in Textdateien exportieren.
Diese Daten habe ich über ein seit 5 Jahren entwickeltes Tool analysiert und den Kunden einen Bericht im Rahmen eines Wartungsvertrages zur Verfügung gestellt. Diese Leistung muss ich nun vermutlich einstellen.
Ich habe auch schon mit dem Projektteam darüber gesprochen, die Ausweichlösungen bin ich dabei zu prüfen. Hat da jemand aus dem Forum noch Ideen zur Lösung?
Ja ich meine die Log-Meldungen.
Ich werte konkret die Paketfiltermeldungen (Accept, DROP und Reject) aus.
Diese filtere ich mir aus dem historischen Log über einen Monat aus und exportiere diese über die Exportfunktion der SOC in entsprechende Textdateien a 10.000 Datensätze.
Diese lese ich über ein in VBA geschriebenes Modul ins Excel ein und analysiere diese Daten.
Im Endeffekt bekomme ich eine Übersicht über alle aus dem Netzwerk aufgebauten Verbindungen jedes Endgerätes mit lokalem Bezug.
Den Kunden informiere ich dann in diesem Bericht über aus meiner Sicht fragwürdige Verbindungen.
Bei einem Kunden mit etwa 10 Endgeräten fallen so 1 Millionen Datensätze im Monat an.
Ich kann sicher die LOG-Daten auf einen SYSLOG Server leiten, aber die SOC internen Filter- und Exportfunktionen fehlen mir dann trotzdem noch.
Der Aufwand, alles umzustellen, wäre riesig. Selbst das VBA-Modul zum Konvertieren ins Excel müsste ich anpassen, was wohl das geringste Problem wäre.
Ich werte konkret die Paketfiltermeldungen (Accept, DROP und Reject) aus.
Diese filtere ich mir aus dem historischen Log über einen Monat aus und exportiere diese über die Exportfunktion der SOC in entsprechende Textdateien a 10.000 Datensätze.
Diese lese ich über ein in VBA geschriebenes Modul ins Excel ein und analysiere diese Daten.
Im Endeffekt bekomme ich eine Übersicht über alle aus dem Netzwerk aufgebauten Verbindungen jedes Endgerätes mit lokalem Bezug.
Den Kunden informiere ich dann in diesem Bericht über aus meiner Sicht fragwürdige Verbindungen.
Bei einem Kunden mit etwa 10 Endgeräten fallen so 1 Millionen Datensätze im Monat an.
Ich kann sicher die LOG-Daten auf einen SYSLOG Server leiten, aber die SOC internen Filter- und Exportfunktionen fehlen mir dann trotzdem noch.
Der Aufwand, alles umzustellen, wäre riesig. Selbst das VBA-Modul zum Konvertieren ins Excel müsste ich anpassen, was wohl das geringste Problem wäre.
Moin,
für das Auswerten von Logs wäre auch Elastic Stack eine alternative.
Gruß
für das Auswerten von Logs wäre auch Elastic Stack eine alternative.
Gruß
Hallo,
fürs Logging kann ich nur einen Graylog-Server empfehlen
https://www.graylog.org/products/source-available/
Wir betreiben die freie Version 4 auf einem Debian.
Graylog hat z.B. auch sehr gute Filter- und Benachrichtigungs-Funktionen. Dort läuft auch Elastic.
Gruß
Rolf
fürs Logging kann ich nur einen Graylog-Server empfehlen
https://www.graylog.org/products/source-available/
Wir betreiben die freie Version 4 auf einem Debian.
Graylog hat z.B. auch sehr gute Filter- und Benachrichtigungs-Funktionen. Dort läuft auch Elastic.
Gruß
Rolf
-
- Beiträge: 5
- Registriert: Mi 19.12.2018, 21:36
Genau das ist es, was wir aktuell auch etwas vermissen: die regelmäßigen, automatischen Backups und vorallem die Übersichtlichkeit! Natürlich gibt es noch einige Punkte mehr, aber diese sind ausschlaggebend.Franz hat geschrieben: Wie es aussieht, sind wir die Einzigen, die das SOC für die Verwaltung der Kundengeräte verwenden. :-)
Ablaufende Lizenzen fürs SOC werden inzwischen nicht mehr verlängert.
Für mich ist das USC (Cloud) unhandlich und nicht wirklich vorteilhaft einsetzbar. Ich habe den Eindruck, dass die Leute, die das USC entwickelt haben, nie mehr als eine einstellige Zahl an Kunden-Geräten zu verwalten hatten.
Für uns wäre eine Software, die bequem einen schnellen Zugriff auf die Kunden-Geräte ermöglicht und die im Hintergrund regelmäßig Backups der Konfiguration erstellt schon für den Alltagsgebrauch ausreichend. Einige Features des SOC haben leider nie einen ausgereiften Zustand erreicht. Fürs USC fürchte ich Ähnliches.
Natürlich fördert die Umstellung auf die Cloud die „Bindung“ zwischen Hersteller und Endkunden. Ob das jedoch für alle Beteiligten ein Vorteil ist, wage ich zu bezweifeln...
Was bei uns jedoch noch sehr wichtig ist, ist das Logging. Ich werde die beiden genannten alternativen in diesem Beitrag einmal testen.
Für alles andere wird es glaube in Zukunft schwierig, eine alternative zu finden .. es sei denn, man erstellt sich selbst eine
Eine Cloud für das Thema kommt für uns bzw. für unsere Kunden auch nicht in Frage ...
Hallo in die Runde,
bezüglich der in der SOC noch verfügbaren Log-Funktion hatte mir SP als Ersatz das PRTG oder Greylog empfohlen. Ich bin dabei beides zu testen.
Mit PRTG bin ich im Gespräch über die Möglichkeit der Weiterverarbeitung der Log-Daten, die mir nach dem Einlesen als Nachrichten vorliegen.
Die Übernahme der Daten aus der UTM ist ohne Probleme über den verfügbaren SYSLOG-Sensor machbar. Auch eine Auswertung und Filterung bzw. Übernahme in das PRTG - Ticketsystem ist möglich.
Für komplette Netzüberwachung aus meiner Sicht eine gute Lösung. Die integrierte Berichterstellung ermöglicht aber keinen kompletten Nachrichtenexport, was mein Problem nicht löst.
Ich denke, man muss die Daten dann an einen extra SYSLOG-Server im Netzwerk weiterleiten und weiterverarbeiten.
Gruß
Jens
bezüglich der in der SOC noch verfügbaren Log-Funktion hatte mir SP als Ersatz das PRTG oder Greylog empfohlen. Ich bin dabei beides zu testen.
Mit PRTG bin ich im Gespräch über die Möglichkeit der Weiterverarbeitung der Log-Daten, die mir nach dem Einlesen als Nachrichten vorliegen.
Die Übernahme der Daten aus der UTM ist ohne Probleme über den verfügbaren SYSLOG-Sensor machbar. Auch eine Auswertung und Filterung bzw. Übernahme in das PRTG - Ticketsystem ist möglich.
Für komplette Netzüberwachung aus meiner Sicht eine gute Lösung. Die integrierte Berichterstellung ermöglicht aber keinen kompletten Nachrichtenexport, was mein Problem nicht löst.
Ich denke, man muss die Daten dann an einen extra SYSLOG-Server im Netzwerk weiterleiten und weiterverarbeiten.
Gruß
Jens
Siehe herzu auch unsere Anleitung im Wiki: https://wiki.securepoint.de/UTM/NET/Syslog-PRTG
Mit freundlichen Grüßen
Lauritz Laatzen
Support / Wiki
Tel. 04131/2401-0 ◦ Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28 ◦ D-21337 Lüneburg
Lauritz Laatzen
Support / Wiki
Tel. 04131/2401-0 ◦ Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28 ◦ D-21337 Lüneburg
Hallo in die Runde,
ich baue immer noch an dem SOC-Ersatz, dazu teste ich das Graylog auf Linux-Basis.
Hat sich auch als SYSLOG - Server für meine Zwecke der Datenauswertung als verwendbar gezeigt.
Allerdings habe ich noch ein Problem. Mit der lokalen UTM im gleichen Netz wie der Graylog-Server alles toll.
Da habe ich über den Input meine Daten. Wie komme ich aber an die SYSLOGS der Kunden UMT ran?
Der Graylog-Server hat kein Polling, liest also nur ankommende Daten an.
Ich denke ja, dass die SOC die Daten der UTM's abruft, oder?
Hat da jemand eine Idee?
Vielen Dank schon mal und viele Grüße
ich baue immer noch an dem SOC-Ersatz, dazu teste ich das Graylog auf Linux-Basis.
Hat sich auch als SYSLOG - Server für meine Zwecke der Datenauswertung als verwendbar gezeigt.
Allerdings habe ich noch ein Problem. Mit der lokalen UTM im gleichen Netz wie der Graylog-Server alles toll.
Da habe ich über den Input meine Daten. Wie komme ich aber an die SYSLOGS der Kunden UMT ran?
Der Graylog-Server hat kein Polling, liest also nur ankommende Daten an.
Ich denke ja, dass die SOC die Daten der UTM's abruft, oder?
Hat da jemand eine Idee?
Vielen Dank schon mal und viele Grüße
Hallo,
man kann in der UTM doch einen SYSLOG-Server angeben, an den alles geschickt werden soll: Netzwerk - Servereinstellungen - Syslog
Mit den Daten muss man aber vorsichtig sein, wenn sie nicht anonymisiert sind, die Übertragung am besten auch über VPN.
Ich würde einen Graylog-Server beim Kunden installieren.
Gruß
Rolf
man kann in der UTM doch einen SYSLOG-Server angeben, an den alles geschickt werden soll: Netzwerk - Servereinstellungen - Syslog
Mit den Daten muss man aber vorsichtig sein, wenn sie nicht anonymisiert sind, die Übertragung am besten auch über VPN.
Ich würde einen Graylog-Server beim Kunden installieren.
Gruß
Rolf
Hallo Rolf,
Danke für Deine Antwort.
Ich habe den Graylogserver in meinem lokalen Netzwerk laufen, klappt alles toll.
Habe über ein Produktvideo aber gehört, dass Graylog nur an dem Port lauscht und die ankommenden Daten aufnimmt.
Über die Securepoint SOC wird aber zu entfernten UTM eine Datenverbindung zur Datenübertragung aufgebaut.
Ich weiß nur nicht, ob das von der UTM oder dem SOC-Server ausgelöst wird, aus den LOG-Daten konnte ich das nicht erschließen.
Ich kann mir aber keine ständige Verbindung vorstellen. Meine Anschluß-IP habe ich natürlich als SOC-Server mit dem entsprechenden Port unter SYSLOG Server angegeben.
Bei z.B. 20 zu überwachenden UTM's beim Kunden je einen Graylog-Server zu installieren halte ich für mich zu aufwendig.
Viele Grüße
Jens
Danke für Deine Antwort.
Ich habe den Graylogserver in meinem lokalen Netzwerk laufen, klappt alles toll.
Habe über ein Produktvideo aber gehört, dass Graylog nur an dem Port lauscht und die ankommenden Daten aufnimmt.
Über die Securepoint SOC wird aber zu entfernten UTM eine Datenverbindung zur Datenübertragung aufgebaut.
Ich weiß nur nicht, ob das von der UTM oder dem SOC-Server ausgelöst wird, aus den LOG-Daten konnte ich das nicht erschließen.
Ich kann mir aber keine ständige Verbindung vorstellen. Meine Anschluß-IP habe ich natürlich als SOC-Server mit dem entsprechenden Port unter SYSLOG Server angegeben.
Bei z.B. 20 zu überwachenden UTM's beim Kunden je einen Graylog-Server zu installieren halte ich für mich zu aufwendig.
Viele Grüße
Jens
Funktioniert syslog nicht immer so?
Die Quelle (UTM) sendet die Log-Dateien "einfach" an den Syslog-Server
so ist es beim SOC auch:
entweder deine Kunden haben alle feste IPs, dann gibts du für diese IPs Port 514 an deinen Graylog-Server frei oder du richtest Site-to-Site-VPNs zu deinen Kunden ein und lässt die Logs über den Tunnel senden.
In der Konfig von den Kunden-UTMs setzt du "Hostname der UTM in den Syslog Meldungen protokollieren:", dann kannst du danach filtern. Evtl. bietet dir Graylog auch noch die Möglichkeit nach Absender zu filtern? (kenne Graylog nicht)
Die Quelle (UTM) sendet die Log-Dateien "einfach" an den Syslog-Server
so ist es beim SOC auch:
ich denke du hast folgende Möglichkeiten:Log Daten an Logcenter-Server senden
Damit die Log Daten im LogCenter gespeichert werden können, werden diese vom Log Daten produzierenden System an den SOC-Server gesendet. Dieses geschieht Standardmäßig über den Port 514 mit dem Protokoll UDP.
entweder deine Kunden haben alle feste IPs, dann gibts du für diese IPs Port 514 an deinen Graylog-Server frei oder du richtest Site-to-Site-VPNs zu deinen Kunden ein und lässt die Logs über den Tunnel senden.
In der Konfig von den Kunden-UTMs setzt du "Hostname der UTM in den Syslog Meldungen protokollieren:", dann kannst du danach filtern. Evtl. bietet dir Graylog auch noch die Möglichkeit nach Absender zu filtern? (kenne Graylog nicht)
Im Graylog-Server könnte/sollte man mehrere "Inputs" pro UTM definieren, die dann auf unterschiedlichen Ports laufen, danach lässt sich Filtern und wenn die Daten eines Kunden weg sollen/müssen, dann löscht man den Input.
Hallo in die Runde,
ich habe einen neuen Stand zu vermelden.
Den mich nervenden Fehler (keine Verbindung zu meiner IP) habe ich gefunden und beseitigt. Lag ganz woanders als vermutet.
Der extra von mir für diesen Zweck beantragte Anschluss des Providers hatte weder eine feste IP noch war diese IP öffentlich, obwohl ich es so beantragt hatte.
Nach meiner Anfrage beim Provider und 10 Minuten Wartezeit wurde das korrigiert und schon waren die LOG-Daten da (oh Wunder).
Ich danke allen für die Mitwirkung und halte Euch auf dem Laufenden, welche Struktur ich mir nun baue.
Eure Tipps werden mir da sicherlich von Nutzen sein.
Viele Grüße
Jens
ich habe einen neuen Stand zu vermelden.
Den mich nervenden Fehler (keine Verbindung zu meiner IP) habe ich gefunden und beseitigt. Lag ganz woanders als vermutet.
Der extra von mir für diesen Zweck beantragte Anschluss des Providers hatte weder eine feste IP noch war diese IP öffentlich, obwohl ich es so beantragt hatte.
Nach meiner Anfrage beim Provider und 10 Minuten Wartezeit wurde das korrigiert und schon waren die LOG-Daten da (oh Wunder).
Ich danke allen für die Mitwirkung und halte Euch auf dem Laufenden, welche Struktur ich mir nun baue.
Eure Tipps werden mir da sicherlich von Nutzen sein.
Viele Grüße
Jens
Unsere SOC-Alternative
Als letztes Jahr klar wurde, dass Securepoint das SOC endgültig sterben lassen wird, hat einer unserer Azubis den Auftrag übernommen, eine Ersatzlösung zu entwickeln.
Ein kleines Tool, mit dem möglichst komfortable auf die Admin-Weboberflächen der diversen Geräte unserer Kunden per automatisiertem Login zugegriffen werden kann. Außerdem erstellt es wöchentlich im Hintergrund lokale Konfigurationsbackups der UTM-Firewalls (erweiterbar auf andere Geräte und Hersteller).
Für Syslog und Monitoring gibt es ja bereits ausreichend Alternativen, uns ging es hauptsächlich um komfortable Administration.
Das Tool ist sicher noch nicht perfekt (alltagstaugliche Beta-Version), aber er lässt sich damit arbeiten.
Wenn jemand von euch Interesse an dem Tool hat, kann er sich gerne (per PN) bei mir melden.
Momentan überlegen wir noch, die Software eventuell als Freeware oder Open Source freizugeben.
Als letztes Jahr klar wurde, dass Securepoint das SOC endgültig sterben lassen wird, hat einer unserer Azubis den Auftrag übernommen, eine Ersatzlösung zu entwickeln.
Ein kleines Tool, mit dem möglichst komfortable auf die Admin-Weboberflächen der diversen Geräte unserer Kunden per automatisiertem Login zugegriffen werden kann. Außerdem erstellt es wöchentlich im Hintergrund lokale Konfigurationsbackups der UTM-Firewalls (erweiterbar auf andere Geräte und Hersteller).
Für Syslog und Monitoring gibt es ja bereits ausreichend Alternativen, uns ging es hauptsächlich um komfortable Administration.
Das Tool ist sicher noch nicht perfekt (alltagstaugliche Beta-Version), aber er lässt sich damit arbeiten.
Wenn jemand von euch Interesse an dem Tool hat, kann er sich gerne (per PN) bei mir melden.
Momentan überlegen wir noch, die Software eventuell als Freeware oder Open Source freizugeben.