Securepoint Support Forum

Hallo zusammen,

hat jemand von euch schon eine "gute" Alternative zum SOC gefunden?

Wir benötigen für all unsere Kunden eine alternative zum SOC, da die Cloud nicht genutzt werden soll.

Danke!

VG
Sascha

Wie es aussieht, sind wir die Einzigen, die das SOC für die Verwaltung der Kundengeräte verwenden. :-)
Ablaufende Lizenzen fürs SOC werden inzwischen nicht mehr verlängert.

Für mich ist das USC (Cloud) unhandlich und nicht wirklich vorteilhaft einsetzbar. Ich habe den Eindruck, dass die Leute, die das USC entwickelt haben, nie mehr als eine einstellige Zahl an Kunden-Geräten zu verwalten hatten.

Für uns wäre eine Software, die bequem einen schnellen Zugriff auf die Kunden-Geräte ermöglicht und die im Hintergrund regelmäßig Backups der Konfiguration erstellt schon für den Alltagsgebrauch ausreichend. Einige Features des SOC haben leider nie einen ausgereiften Zustand erreicht. Fürs USC fürchte ich Ähnliches.

Natürlich fördert die Umstellung auf die Cloud die „Bindung“ zwischen Hersteller und Endkunden. Ob das jedoch für alle Beteiligten ein Vorteil ist, wage ich zu bezweifeln...

ich selber habe keine Erfahrung damit, aber guckt euch das mal an: https://mydashboard.ext-com.de/

Hallo in die Runde,

ich suche auch dringend Ersatz für die SOC-Software. Mein Problem ist das in der Cloud wegfallende Logging der UTM-Daten. Diese Daten konnte man bisher wunderbar über den internen SOC-Filter bearbeiten und gezielt in Textdateien exportieren. 
Diese Daten habe ich über ein seit 5 Jahren entwickeltes Tool analysiert und den Kunden einen Bericht im Rahmen eines Wartungsvertrages zur Verfügung gestellt. Diese Leistung muss ich nun vermutlich einstellen.
Ich habe auch schon mit dem Projektteam darüber gesprochen, die Ausweichlösungen bin ich dabei zu prüfen. Hat da jemand aus dem Forum noch Ideen zur Lösung?

Mit Logging meinst du die Log-Meldungen?
Da kannst du einen anderen Syslog-Server betreiben und in der UTM hinterlegen.

Welche Daten hast du in den Berichten hinterlegt?

Ja ich meine die Log-Meldungen.
Ich werte konkret die Paketfiltermeldungen (Accept, DROP und Reject) aus.
Diese filtere ich mir aus dem historischen Log über einen Monat aus und exportiere diese über die Exportfunktion der SOC in entsprechende Textdateien a 10.000 Datensätze.
Diese lese ich über ein in VBA geschriebenes Modul ins Excel ein und analysiere diese Daten.
Im Endeffekt bekomme ich eine Übersicht über alle aus dem Netzwerk aufgebauten Verbindungen jedes Endgerätes mit lokalem Bezug.
Den Kunden informiere ich dann in diesem Bericht über aus meiner Sicht fragwürdige Verbindungen.
Bei einem Kunden mit etwa 10 Endgeräten fallen so 1 Millionen Datensätze im Monat an.

Ich kann sicher die LOG-Daten auf einen SYSLOG Server leiten, aber die SOC internen Filter- und Exportfunktionen fehlen mir dann trotzdem noch.
Der Aufwand, alles umzustellen, wäre riesig. Selbst das VBA-Modul zum Konvertieren ins Excel müsste ich anpassen, was wohl das geringste Problem wäre.

Moin,

für das Auswerten von Logs wäre auch Elastic Stack eine alternative.

Gruß

Hallo,

fürs Logging kann ich nur einen Graylog-Server empfehlen
https://www.graylog.org/products/source-available/
Wir betreiben die freie Version 4 auf einem Debian.
Graylog hat z.B. auch sehr gute Filter- und Benachrichtigungs-Funktionen. Dort läuft auch Elastic.

Gruß
Rolf

Franz hat geschrieben: Wie es aussieht, sind wir die Einzigen, die das SOC für die Verwaltung der Kundengeräte verwenden. :-)
Ablaufende Lizenzen fürs SOC werden inzwischen nicht mehr verlängert.

Für mich ist das USC (Cloud) unhandlich und nicht wirklich vorteilhaft einsetzbar. Ich habe den Eindruck, dass die Leute, die das USC entwickelt haben, nie mehr als eine einstellige Zahl an Kunden-Geräten zu verwalten hatten.

Für uns wäre eine Software, die bequem einen schnellen Zugriff auf die Kunden-Geräte ermöglicht und die im Hintergrund regelmäßig Backups der Konfiguration erstellt schon für den Alltagsgebrauch ausreichend. Einige Features des SOC haben leider nie einen ausgereiften Zustand erreicht. Fürs USC fürchte ich Ähnliches.

Natürlich fördert die Umstellung auf die Cloud die „Bindung“ zwischen Hersteller und Endkunden. Ob das jedoch für alle Beteiligten ein Vorteil ist, wage ich zu bezweifeln...

Genau das ist es, was wir aktuell auch etwas vermissen: die regelmäßigen, automatischen Backups und vorallem die Übersichtlichkeit! Natürlich gibt es noch einige Punkte mehr, aber diese sind ausschlaggebend.
Was bei uns jedoch noch sehr wichtig ist, ist das Logging. Ich werde die beiden genannten alternativen in diesem Beitrag einmal testen.
Für alles andere wird es glaube in Zukunft schwierig, eine alternative zu finden .. es sei denn, man erstellt sich selbst eine

Eine Cloud für das Thema kommt für uns bzw. für unsere Kunden auch nicht in Frage ...

Hallo in die Runde,

bezüglich der in der SOC noch verfügbaren Log-Funktion hatte mir SP als Ersatz das PRTG oder Greylog empfohlen. Ich bin dabei beides zu testen.
Mit PRTG bin ich im Gespräch über die Möglichkeit der Weiterverarbeitung der Log-Daten, die mir nach dem Einlesen als Nachrichten vorliegen. 
Die Übernahme der Daten aus der UTM ist ohne Probleme über den verfügbaren SYSLOG-Sensor machbar. Auch eine Auswertung und Filterung bzw. Übernahme in das PRTG - Ticketsystem ist möglich.
Für komplette Netzüberwachung aus meiner Sicht eine gute Lösung. Die integrierte Berichterstellung ermöglicht aber keinen kompletten Nachrichtenexport, was mein Problem nicht löst. 
Ich denke, man muss die Daten dann an einen extra SYSLOG-Server im Netzwerk weiterleiten und weiterverarbeiten.


Gruß

Jens


  

Siehe herzu auch unsere Anleitung im Wiki: https://wiki.securepoint.de/UTM/NET/Syslog-PRTG

Hallo in die Runde,
ich baue immer noch an dem SOC-Ersatz, dazu teste ich das Graylog auf Linux-Basis.
Hat sich auch als SYSLOG - Server für meine Zwecke der Datenauswertung als verwendbar gezeigt.
Allerdings habe ich noch ein Problem. Mit der lokalen UTM im gleichen Netz wie der Graylog-Server alles toll.
Da habe ich über den Input meine Daten. Wie komme ich aber an die SYSLOGS der Kunden UMT ran?
Der Graylog-Server hat kein Polling, liest also nur ankommende Daten an.
Ich denke ja, dass die SOC die Daten der UTM's abruft, oder?
Hat da jemand eine Idee?
Vielen Dank schon mal und viele Grüße
 

Hallo,

man kann in der UTM doch einen SYSLOG-Server angeben, an den alles geschickt werden soll: Netzwerk - Servereinstellungen - Syslog

Mit den Daten muss man aber vorsichtig sein, wenn sie nicht anonymisiert sind, die Übertragung am besten auch über VPN.
Ich würde einen Graylog-Server beim Kunden installieren.

Gruß
Rolf

Hallo Rolf,
Danke für Deine Antwort.
Ich habe den Graylogserver in meinem lokalen Netzwerk laufen, klappt alles toll.
Habe über ein Produktvideo aber gehört, dass Graylog nur an dem Port lauscht und die ankommenden Daten aufnimmt.
Über die Securepoint SOC wird aber zu entfernten UTM eine Datenverbindung zur Datenübertragung aufgebaut.
Ich weiß nur nicht, ob das von der UTM oder dem SOC-Server ausgelöst wird, aus den LOG-Daten konnte ich das nicht erschließen. 
Ich kann mir aber keine ständige Verbindung vorstellen. Meine Anschluß-IP habe ich natürlich als SOC-Server mit dem entsprechenden Port unter SYSLOG Server angegeben.
Bei z.B. 20 zu überwachenden UTM's beim Kunden je einen Graylog-Server zu installieren halte ich für mich zu aufwendig.

Viele Grüße

Jens

Funktioniert syslog nicht immer so?
Die Quelle (UTM) sendet die Log-Dateien "einfach" an den Syslog-Server

so ist es beim SOC auch:

Log Daten an Logcenter-Server senden

Damit die Log Daten im LogCenter gespeichert werden können, werden diese vom Log Daten produzierenden System an den SOC-Server gesendet. Dieses geschieht Standardmäßig über den Port 514 mit dem Protokoll UDP.

ich denke du hast folgende Möglichkeiten:
entweder deine Kunden haben alle feste IPs, dann gibts du für diese IPs Port 514 an deinen Graylog-Server frei oder du richtest Site-to-Site-VPNs zu deinen Kunden ein und lässt die Logs über den Tunnel senden.
In der Konfig von den Kunden-UTMs setzt du "Hostname der UTM in den Syslog Meldungen protokollieren:", dann kannst du danach filtern. Evtl. bietet dir Graylog auch noch die Möglichkeit nach Absender zu filtern? (kenne Graylog nicht)

Im Graylog-Server könnte/sollte man mehrere "Inputs" pro UTM definieren, die dann auf unterschiedlichen Ports laufen, danach lässt sich Filtern und wenn die Daten eines Kunden weg sollen/müssen, dann löscht man den Input.

Hallo in die Runde,

ich habe einen neuen Stand zu vermelden.
Den mich nervenden Fehler (keine Verbindung zu meiner IP) habe ich gefunden und beseitigt. Lag ganz woanders als vermutet.
Der extra von mir für diesen Zweck beantragte Anschluss des Providers hatte weder eine feste IP noch war diese IP öffentlich, obwohl ich es so beantragt hatte.
Nach meiner Anfrage beim Provider und 10 Minuten Wartezeit wurde das korrigiert und schon waren die LOG-Daten da (oh Wunder).
Ich danke allen für die Mitwirkung und halte Euch auf dem Laufenden, welche Struktur ich mir nun baue.
Eure Tipps werden mir da sicherlich von Nutzen sein.

Viele Grüße


Jens