[Software]

Anormales Verhalten erkennen mit Zabbix

/anormales-verhalten-erkennen-mit-zabbix
Anormales Verhalten erkennen mit Zabbix

In unserem vorherigen Blogbeitrag haben wir die Wichtigkeit der Überwachung der durchschnittlichen Auslastung deiner Infrastruktur hervorgehoben, um anormales Verhalten zu erkennen und Sicherheitsvorfälle zu vermeiden. Die neue ISO27001-Norm „8.16 Monitoring activities“ fordert explizit, dass Netzwerke, Systeme und Anwendungen auf anormales Verhalten überwacht und geeignete Maßnahmen ergriffen werden, um potenzielle Informationssicherheitsvorfälle zu bewerten.

Ein effektiver Weg, dies zu erreichen, ist die Automatisierung der Überwachung. In diesem Beitrag zeigen wir dir, wie du das mit Zabbix, einem mächtigen Open-Source-Monitoring-Tool, umsetzen kannst. Voraussetzung dafür ist ein bereits laufendes Zabbix-System.

Voraussetzungen

  • Bereits installiertes und funktionsfähiges Zabbix-System
  • Zabbix Agent auf den zu überwachenden Hosts
  • Verknüpftes Standard-Template „Windows by Zabbix agent“

Anpassung des Zabbix Standard Templates

Im Idealfall möchten wir über anormales Verhalten aller unserer Hosts informiert werden. Daher ist es sinnvoll, diese Anpassungen direkt im Standard-Template vorzunehmen.

In dieser Anleitung ermitteln wir die durchschnittliche CPU- und RAM-Auslastung der letzten 30 Tage und definieren anschließend Trigger, die bei einer Abweichung von ±20 % warnen.

Neue Items anlegen

Öffne das Template „Windows by Zabbix agent“ und füge zwei neue Items hinzu.

Item 1: Average CPU Usage (30 days)

  • Name: Average CPU Usage (30 days)
  • Typ: Calculated
  • Datentyp: Numeric Float
  • Formel:

avg(//system.cpu.util,30d)
  • Einheit: %
  • Update-Intervall: 1d

Item 2: Average RAM Usage (30 days)

  • Name: Average RAM Usage (30 days)
  • Typ: Calculated
  • Datentyp: Numeric Float
  • Formel:

avg(//vm.memory.util,30d)
  • Einheit: %
  • Update-Intervall: 1d

Damit werden CPU- und RAM-Auslastung automatisch über einen Zeitraum von 30 Tagen gemittelt und dienen als belastbare Baseline.

Erstellen der Trigger

Nun erstellen wir Trigger, die bei signifikanten Abweichungen warnen.

Trigger 1: CPU-Abweichung

  • Name: Average CPU Usage (30 days) above or below 20%
  • Schweregrad: Warning
  • Expression:

abs(
last(/Windows by Zabbix agent/avg_cpu_usage_30d)
- avg(/Windows by Zabbix agent/avg_cpu_usage_30d,30d)
) > 0.2 * avg(/Windows by Zabbix agent/avg_cpu_usage_30d,30d)

Trigger 2: RAM-Abweichung

  • Name: Average RAM Usage (30 days) above or below 20%
  • Schweregrad: Warning
  • Expression:

abs(
last(/Windows by Zabbix agent/avg_ram_usage_30d)
- avg(/Windows by Zabbix agent/avg_ram_usage_30d,30d)
) > 0.2 * avg(/Windows by Zabbix agent/avg_ram_usage_30d,30d)

Mit diesen Triggern wirst du benachrichtigt, sobald die CPU- oder RAM-Auslastung um mehr als 20 % von der durchschnittlichen Auslastung der letzten 30 Tage abweicht.
So erkennst du anormales Verhalten frühzeitig und erfüllst gleichzeitig die Anforderungen der ISO27001.

Anzeige

/comments0 Einträge

Kommentare

> NO_COMMENTS_FOUND

> INITIATE_COMMENT_PROTOCOL

MARKDOWN_SUPPORT: ENABLED
CHARS: 0