Vor nicht allzu langer Zeit fanden die Securepoint SecDays 2023 statt. Leider war ich nicht vor Ort, habe aber von mehreren Seiten Verschiedenes gehört.
Ich möchte jetzt nicht unbedingt “Hörensagen” aufgreifen, aber möglicherweise ist manches nicht richtig verstanden oder ungünstig bzw. leider zudem falsch kommuniziert worden. Konkret geht es beispielsweise um das SOC und das USC. Daher hier mal (m)ein Versuch, das eine oder andere “gerade zu rücken”. Anbei zwei Kernaussagen:
- Das Securepoint Operations Center (kurz SOC) ist und bleibt abgekündigt.
Der Stichtag war der 31.07.2022, also ist bereits zu diesem Zeitpunkt ein Jahr her! - Das Unified Security Center (kurz USC) ist nicht der direkte Nachfolger oder eine Alternative zum SOC.
Lange ist schon bekannt, dass das SOC eingestellt wird, man hatte also mehr als genug Zeit sich Gedanken zu machen, Alternativen zu Testen und die eigenen Prozesse anzupassen. Ja, es gefällt nicht jedem, dass das SOC eingestellt wurde, zweifelsohne (und das sage ich als ehemaliger SOC-Nutzer) war es eine feine Sache. Die Meisten haben das SOC vermutlich zum Ausrollen von Updates und für den Fernzugang auf die UTMs genutzt. Im Support-Fall war zudem sehr gut das man unkompliziert auf das Log zugreifen konnte. Wer es allerdings übertrieb, verstopfte schnell die Internetleitung seiner Kunden als auch die eigene.
Das SOC über den Ablauf der Lizenz mit diversen Tricks weiter zu betreiben ist keine all zu gute Idee. Ein paar Funktionen bleiben selbst nach Ablauf der Lizenz erhalten, siehe Funktionalität im SOC nach Ablauf der Lizenz. Allerdings mit einer veralteten nicht mehr supporteten Software im Sicherheitsbereich weiterhin zu arbeiten ist zumindest fragwürdig, zumal es ja andere Möglichkeiten gibt, zu denen wir jetzt kommen.
Das USC ist, wie bereits erwähnt, nicht der direkte Nachfolger des SOC. Es übernimmt bestimmte Funktionen wie das Ausrollen der Updates oder den Fernzugang, aber eben nicht alles. Was das Logging oder das Monitoring betrifft ist man bei anderen Lösungen (imho) besser aufgehoben. Die UTM beispielsweise kennt die Standards SNMP und Syslog, d.h. man kann mit vielen üblichen Lösungen die Geräte überwachen. Ein Beispiel gibt es im Wiki für das sehr bekannte PRTG.
Schon länger gibt es in den UTMs das Alerting Center, das neben der sofortigen Benachrichtigung einen täglichen Bericht senden kann. So ist man über verschiedene Ereignisse ebenfalls im Bilde, allerdings gibt es an dieser Stelle keine aktuellen Leistungsdaten, das ist ohnehin eine Disziplin für andere Lösungen.
Wer es schnell, einfach und günstig möchte kann sich den entsprechenden Sensor bei Server-Eye anschauen. Hier mal zwei Auszüge von einem Kunden-System:
Bei den SecDays wurde zudem verkündet, das in der USC eine API zur Verfügung steht um beispielsweise Prometheus und in Folge Grafana anzubinden, so erhält man weitere Optionen für das Monitoring und die Visualisierung der Daten sowie für die Integration. Im zuvor unter API verlinkten Wiki-Artikel wird eine Beispielskonfiguration aufgezeigt, mit deren Hilfe man recht schnell und einfach die Kombination aus der API, Prometheus und Grafana grundlegend zum Laufen bekommt:
Securepoint UTM(s) mit Prometheus und Grafana überwachen – Ein Schnelleinstieg
Hinweis: Securepoint stellt lediglich die API zur Verfügung, für die Konfiguration von Dritt-Anbieter-Lösungen gibt es keinen Support von den Lüneburgern!
Eine kommerzielle Alternative zum SOC zum selber hosten stellt myDashboard von EXT-COM dar (Vielen Dank an Sebastian für den Tipp, vielen Dank an Patrick und Micha für das ausführliche Gespräch hierzu). Man erhält für kleines Geld die Möglichkeit der Überwachung, des Patch-Managements, Remote-Zugriff und mehr. Darüber hinaus sind Erweiterungen über Securepoint hinaus in Arbeit, so das MyDashboard nicht nur für diese UTMs einen echten Mehrwert bietet, sondern dies ebenfalls für weitere Produkte tun wird.
Die Lösung kann 30 Tage unverbindlich getestet werden und hier noch ein Goodie für euch: Mit dem Code “andysblogde” entfällt die einmalige Bereitstellungsgebühr von 199,00 € bei einer Bestellung von myDashboard.
Hinweis: MyDashboard wird von EXT-COM (und nicht von Securepoint) entwickelt und supported, d.h. Fragen und Tickets müssen nach Germering bei München und nicht nach Lüneburg gehen.
Meiner Meinung nach gibt es einige Alternativen und zudem ein besseres bzw. umfangreicheres Monitoring als es das SOC je geboten hat. Mit ziemlicher Sicherheit gibt es noch mehr Lösungen als die hier erwähnten die eine direkte oder indirekte Unterstützung für Securepoint-Geräte mitbringen.
Was nutzt ihr so für das Monitoring und ggf. Logging sowie die Wartung der Securepoint UTMs? Oder habt ihr noch Fragen? Schreibt mir einfach ein Kommentar.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
0 Kommentare
1 Pingback