Elastic SIEM MIP-Connector

Das Skript kann dazu verwendet werden, sicherheitsrelevante Ereignisse der meldepflichtige Kategorien gemäß § 4 Abs. 3 BSIG aus einem SIEM auf Basis eines Elastic Stacks zu extrahieren und diese automatisiert über die API des Melde- und Informationsportals des BSI zu übermitteln. Das Skript geht dabei wie folgt vor:

1. Datenextraktion aus dem SIEM: Das Skript ruft Daten von einem SIEM/SOC ab, das auf einem Elastic Stack basiert. Es verwendet spezifische Filter für die Elastic Count API, die es aus einer Konfigurationsdatei bezieht.
2. Verarbeitung und Vorbereitung der Daten: Die aus dem Elastic Stack extrahierten Daten werden in einer Memory-Tabelle gespeichert, um sie später für die Übermittlung an das Melde- und Informationsportal vorzubereiten. In diesem Schritt wird auch überprüft, ob die zu übermittelten Detailinformationen dsie maximale Länge nicht überschreiten.
3. Authentifizierung und Abruf des Bearer-Tokens: Das Skript authentifiziert sich bei der MIP-API des BSI, indem es Benutzername und Passwort aus der Konfigurationsdatei verwendet. Es ruft dann einen Bearer-Token ab, das für die weitere Kommunikation mit der API verwendet wird.
4. Datenübermittlung an die MIP-API: Nachdem die Daten vorbereitet und das Bearer-Token erhalten wurde, sendet das Skript die meldepflichtigen Daten an die MIP-API des BSI. Es überwacht den Erfolg der Übermittlung und protokolliert entsprechende Ereignisse.