cyber-watchdog.com

observe. detect. remember.
Der digitale Wachhund für Sichtbarkeit & Forensik

Always watching.
Never guessing.

cyberwatchdog steht für kompromisslose Telemetrie: still, präzise und konsequent. Kein Aktionismus – sondern belastbare Fakten aus Logs, Sessions und Korrelation.
Logs don’t lie.

Stack ansehen Kontakt / Impressum

Was „cyberwatchdog“ bedeutet

Ein Watchdog schläft nicht. Er beobachtet, erkennt Abweichungen und schlägt Alarm, wenn es zählt. Security beginnt nicht beim Blocken – sondern bei Visibility, Detection und Memory.

Visibility Detection Correlation Forensics Evidence

Claim

cyberwatchdog — observe. detect. remember.

“I have seen you before you knew you were there.”

Topology Stack

Systematische Auflistung der einzelnen Stacks
Layer 0
Physical / Tap

Was sieht das System überhaupt?

SPAN/Mirror oder TAP, saubere Segmentierung, getrenntes Management.

  • Switch SPAN / Mirror Ports, Network TAPs
  • Inline-Bridge (optional, IPS-Modus)
  • Mgmt-NIC getrennt (wichtig)
Output: Raw Packets (PCAP)
Layer 1
Capture

Capture & Normalization

Hier entscheidet sich, ob der Watchdog gut oder blind ist. Zeit ist kritisch.

  • Zeek (Protokoll-Intelligenz), Arkime (Sessions)
  • tcpdump/dumpcap als Fallback
  • NTP/Chrony: ohne saubere Zeit keine Forensik
Output: Sessions + Protocol Logs + Metadata
Layer 2
Enrichment

Context schlägt Rohdaten

Aus Traffic wird Information: Auflösung, Identität, Zuordnung, Fingerprints.

  • DNS / Passive DNS, GeoIP / ASN
  • VLAN/VRF-Mapping, Asset/CMDB-Context
  • TLS-Metadaten (SNI, Cert Chain, Fingerprints)
Layer 3
Storage

Memory & Retention

Trenne Hot/Warm/Cold – Security ≠ Compliance, aber beides braucht Historie.

  • Hot: Elastic/OpenSearch
  • Warm: Splunk Indexer / Archiv
  • Cold: PCAP / Object Storage / NAS
Core: searchable history + evidence-ready
Layer 4
Detection

Rule-based + Behaviour

Nicht blocken – verstehen. Baselines, Protokoll-Missbrauch, Lateral Movement.

  • Zeek Notices, Sigma/Rules, Thresholds
  • Behaviour/Baseline: normal vs. Abweichung
  • Optional: ML-Assist (nicht autonom)
Output: Events, nicht Noise
Layer 5
Correlation

Ein Event allein ist wertlos

Erst Ketten ergeben Bedeutung: DNS → TLS → SMB → LDAP → Privilege.

Beispiel-Kette:
DNS anomaly → unknown TLS fingerprint → SMB to DC → abnormal LDAP query
Layer 6
Alerting

Der Hund bellt – aber nur wenn es zählt

Severity Scoring, context-aware Alerts, Webhooks. Response optional – Watcher first.

  • Mail / Webhook / ChatOps
  • Optional: NAC/Firewall Push (vorsichtig)
Layer 7
Forensics

Replay & Beweisführung

Session Replay, PCAP Extraction, Timeline Reconstruction – der Layer, den viele nie erreichen.

  • Arkime Session Replay
  • PCAP Pull / Export
  • Timeline / Case Notes
Mantra: Without logs, there is no truth.

Prinzipien

Cyber-Watchdog.com

Watcher first

cyberwatchdog beobachtet still und greift nur ein, wenn es nötig ist. Kein Lärm, keine Show.

Evidence over opinions

Telemetrie, Korrelation und Zeitkonsistenz – damit Forensik nicht zur Gefühlssache wird.

One-liner

Security starts with visibility.

Kontakt / Impressum

gemäß DGSVO Art. 5 © 2026

cyberwatchdog
Betreiber: Thomas Anderson
E-Mail: admin@cyber-watchdog.com
Standort: Berlin, Deutschland

Hinweis: Diese Webseite ist ausschließlich für einen geschlossenen Benutzerkreis zugänglich und dient rein privaten nicht geschäftsmäßigen Zwecken. Ein Impressum gemäß § 5 TMG ist daher nicht erforderlich.