Host-basierte Sicherheit & Auditing

Host-basierte Sicherheit und Auditing

Lernen Sie die Grundlagen der host-basierten Sicherheit und des Auditings unter Linux kennen, indem Sie sich auf die Spuren konzentrieren, die ein Angreifer auf dem System hinterlässt. Während der Netzwerkverkehr lediglich darauf hinweist, dass ein Ereignis stattgefunden hat, liefern Host-Artefakte die Details darüber, was verändert wurde, wer darauf zugegriffen hat und wie der Angriff abgelaufen ist. Dieser Kurs vermittelt Ihnen den Einsatz von Datei-Integritätsüberwachung (File Integrity Monitoring), auditd und Systemprotokollanalysen, um Manipulationen zu erkennen, verdächtige Aktivitäten zu untersuchen und Linux-Hosts abzusichern.

Warum das wichtig ist

Angreifer hinterlassen selten ein unverändertes System. Sie modifizieren Dateien, authentifizieren sich bei Diensten, eskalieren Berechtigungen und interagieren mit sensiblen Verzeichnissen. Wenn Sie diese Aktionen auf Host-Ebene überwachen können, lassen sich Aktivitäten aufdecken, die in reinen Netzwerk-Tools oft verborgen bleiben.

Dieser Kurs richtet sich an Verteidiger, die praktische Einblicke in Linux-Systeme benötigen. Sie lernen, wie Sie eine Baseline für vertrauenswürdige Dateien erstellen, Low-Level-Audit-Regeln konfigurieren, Betriebsprotokolle auswerten und diese Signale in einem realistischen Workflow zur Härtung und Untersuchung von Systemen zusammenführen.

Was Sie lernen werden

• Erstellen und Überprüfen von Datei-Integritäts-Baselines zur Erkennung unbefugter Änderungen.
• Konfiguration von auditd-Regeln zur Überwachung sensibler Dateien, Befehle und Verzeichnisse.
• Analyse von Linux-Authentifizierungs- und Systemprotokollen auf Brute-Force-Versuche und den Missbrauch von Berechtigungen.
• Korrelation von Integritäts-, Audit- und Protokolldaten für eine ganzheitliche Host-Untersuchung.
• Anwendung verschiedener Host-Kontrollmechanismen in einem realistischen Szenario zur Sicherheits-Härtung.

Kursübersicht

• File Integrity Monitoring (FIM): Einsatz von AIDE zur Erstellung einer vertrauenswürdigen Baseline und zur Identifizierung unbefugter Dateimodifikationen.
• System-Auditing mit Auditd: Konfiguration von Kernel-basierten Audit-Regeln zur präzisen Nachverfolgung sensibler Vorgänge.
• Systemprotokollanalyse: Auswertung von auth.log und syslog zur Identifizierung fehlgeschlagener Anmeldeversuche, sudo-Missbrauch und verdächtiger Zugriffsmuster.
• Host-Sicherheits-Härtung: Kombination von Integritätsüberwachung und Auditing zur Untersuchung und Eindämmung einer simulierten Bedrohung durch Insider.

Zielgruppe

• SOC-Analysten und Verteidiger, die ihre Fähigkeiten bei der Untersuchung auf Host-Ebene vertiefen möchten.
• Linux-Administratoren, die praktische Techniken für Auditing und Härtung suchen.
• Lernende, die den Übergang von der Paketanalyse zur Endpunkt- und Serversicherheit vollziehen.

Lernergebnisse

Nach Abschluss dieses Kurses sind Sie in der Lage, kritische Linux-Hosts auf Manipulationen zu überwachen, verdächtige Zugriffe zu untersuchen und eine robustere Audit-Abdeckung für reale Betriebsumgebungen aufzubauen.