Proxmox "lsb-release" nachinstallieren

[pleibling]

Hallo liebe Mitstreiter,

ich habe mal wieder eine Frage. Ich würde gerne meine Proxmox Instanzen (PVE und PBS) an mein SIEM (Wazuh) anbinden, da diese relevante Teile meine Infrastruktur sind und somit besonders schützenswert sind. Dies sollte eigentlich kein Problem sein, da diese ja auf Debian beruhen.

Hierzu gibt es zwei Möglichkeiten:

a) Über Syslog (auch hier müsste ich anpassen, da ja in Debian 12 Bookworm auf JournalD umgestellt wurde). Hier bekommt man jedoch weniger Informationen, da nur die Syslog ausgaben ausgewrtet werden können.

b) Über einen Agent - hier würde man mehrere Informationen bekommen, das der Agent direkt auf der Maschine läuft.

Ich würde gerne Lösung "b" verwenden, jedoch würde dazu "lsb-release" benötigt. Bei einer kurzen Recherche habe ich jedoch gesehen, das es Probleme bei Updates usw. geben kann. Deswegen würde ich gerne von euch Profis wissen - wäre Lösung "b" zu verwenden, oder ratet ihr eher davon ab, da es zu Komplikationen kommen kann?

Danke mal wieder für eure Unterstützung.

 

[UdoB]

Also..., ich bin auch nur Nutzer, aber von so etwas wie

~# lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 12 (bookworm)
Release:        12
Codename:       bookworm

erwarte ich echt keine Probleme. Dein wazuh-agent ist doch viel problematischer: er greift auf viele Daten zu und läuft als aktiver Daemon. Wenn dies für dich ok ist, ist es lsb_release ebenfalls.

Ich habe jedenfalls lsb_release auf allen meinen Maschinen...

Viel Spaß

Nachtrag: richtig ist, dass man auf PVE generell keine weitere Software installieren sollte, weil Proxmox natürlich keine Garantie für "alles Mögliche" übernehmen kann. Aber PVE ist schlicht debian..., und wenn man weiß was man tut...

 

[pleibling]

Hallo Udo,

danke für deine schnelle Antwort und deine Einschätzung - ich habe mir das schon gedacht, war mir aber nicht sicher da ich in dem Kontext von problemen gelesen habe. Der Wazuh Agent ist auch auf fast allen meinen Maschinen installiert - sogar auf den Firewalls (die bieten diese jedoch auch als Plugin an).

Werde ich somit installieren.

 

[sb-jw]

Bei einem SIEM sollte immer die Variante mit einem Agent bevorzugt werden. Du willst ja mit einem SIEM entsprechende Events mitbekommen, die unterbrochene Verbindung von einem Agent wird dir wahrscheinlich deutlich früher auffallen, als wenn das Syslog keine Daten mehr liefert oder nur noch Käse.
Du solltest also immer dafür sorgen, dass die Informationen für dein SIEM auch valide und sinnvoll sind - ansonsten hast du keinen Mehrwert von einem SIEM.

Ich finde es grundsätzlich sehr löblich von dir, dass du ein SIEM einsetzen willst. Das Thema ist ja aktuell in erster Linie durch den § 8a Abs. 1a BSIG getrieben und ja in erster Linie von KRITIS umzusetzen, daher freut es mich aber auch wenn andere es diesen gleichtun wollen.
Dennoch darfst du nicht vergessen, dass ein SIEM letztlich ja keine Angriff abwehrt, insofern solltest du auch das Hardening deiner Infrastruktur nicht vergessen und auch bei dem SIEM Agent auf eine verschlüsselte Kommunikation achten.

Zum Thema lsb_release selbst, ich hatte noch nie auf einem System irgendwelche Probleme damit, eher waren die Probleme da, weil es nicht installiert war.

 

[pleibling]

Hi @sb-jw - das war die Intention dahinter denn Agent zu verwenden, dies ist zwar "nur" für mein Homenetz - aber ich habe einen YouTube Kanal (https://www.youtube.com/@FreeSOC-de) in dem ich mich mit dem Thema befasse. Grundsätzlich geht es da jedoch eher um Open Source basierte SIEM (Wazuh) die man mit weiteren freien Produkten zu einem SOC zusammensetzen kann. Nenne den gesamten Stack dann FreeSOC.

Tatsächlich komme ich auch beruflich mit dem Thema Kritis in Berührung .

Eine Übersicht zu den Stacks findest du hier im Posting: https://forum.proxmox.com/threads/frage-zu-backups-über-wan-strecke.138881/#post-620184