UEBA: Untersuchen von Top-Warnmeldungen

Document created by RSA Information Design and Development on Apr 28, 2019
Version 1Show Document
  • View in full screen mode

Anomalien, die bei eingehenden Ereignissen gefunden werden, werden mit der Baseline verglichen und in stündlichen Warnmeldungen zusammengefasst. Relativ starke Abweichungen von der Baseline in Kombination mit einer einzigartigen Zusammensetzung von Anomalien erhalten eher eine höhere Warnmeldungsbewertung.

Sie können schnell die wichtigsten Warnmeldungen in Ihrer Umgebung sehen und diese entweder auf der Registerkarte „ÜBERSICHT“ oder auf der Registerkarte „WARNMELDUNGEN“ untersuchen. In der folgenden Abbildung ist ein Beispiel für die Top-Warnmeldungen auf der Registerkarte „ÜBERSICHT“ dargestellt. Die Warnmeldungen werden in der Reihenfolge des Schweregrads und der Anzahl der Nutzer aufgelistet, die die Warnmeldungen generieren.

UEBA Overview view

Zum Untersuchen einer Warnmeldung auf dieser Seite klicken Sie im Abschnitt Top-Warnmeldungen auf eine Warnmeldung, sodass die entsprechenden Details angezeigt werden.

In der folgenden Abbildung sind Details über das Ereignis, das die Warnmeldung verursacht hat, und den Zeitrahmen seines Auftretens dargestellt.

User profile page of event that caused an alert

Auf der Registerkarte „ÜBERSICHT“ können Sie im Bereich „Schweregrade für Systemwarnungen“ zum Überprüfen der wichtigsten Warnmeldungen auf der Registerkarte „WARNMELDUNGEN“ auf eine Leiste im Diagramm klicken (siehe folgende Abbildung).

Top alerts in the Alerts tab

Die Untersuchung von Warnmeldungen ist besonders nützlich, wenn Sie sich auf einen Zeitrahmen konzentrieren wollen, in dem Ihr System vermutlich infiziert wurde. Sie können forensische Informationen anhand eines Zeitrahmens einsehen und detaillierte Informationen über Ereignisse sammeln, die sich während dieser Zeit auf der Registerkarte „Warnmeldungen“ ereignet haben.

Alerts tab with date range

Starten einer Ermittlung kritischer Warnmeldungen

Sie können Ihre Ermittlung kritischer Warnmeldungen auf folgende Weise beginnen:

Flow diagram of investigating alerts workflow

  1. Auf der Registerkarte „Übersicht“ sehen Sie den Schweregrade für Systemwarnungen.
    Alerts Severity pane
    Gibt es eine gleichmäßige Verteilung der Warnmeldungen oder ist an einigen Tagen ein spürbarer Anstieg zu verzeichnen? Eine Spitze könnte auf etwas Verdächtiges wie Malware hinweisen. Notieren Sie sich diese Tage, damit Sie die Warnmeldungen überprüfen können (die Leiste aus dem Diagramm enthält einen direkten Link zu den Warnmeldungen für einen bestimmten Tag).
  2. Sortieren Sie die Anzahl der Indikatoren auf der Registerkarte „Warnmeldungen“:
    Alerts tab sorted by number of indicators
    Stellen Sie sicher, dass die in den meisten Indikatoren aggregierten Warnmeldungen oben in der Liste angezeigt werden. Ähnlich wie bei der Identifizierung der Nutzer mit der höchsten Anzahl von Warnmeldungen kann mithilfe vieler Indikatoren ein aussagekräftigeres Bild erstellt werden und Sie erhalten eine solidere Zeitleiste zur Nachverfolgung.
  3. Erweitern Sie die wichtigsten Warnmeldungen in der Liste:

    • Suchen Sie nach Warnmeldungen mit unterschiedlichen Datenquellen. Diese zeigen ein breiteres Verhaltensmuster.
    • Suchen Sie nach einer Vielzahl verschiedener Indikatoren.
    • Suchen Sie nach Indikatoren mit hohen numerischen Werten, insbesondere nach hohen Werten, die nicht auf durch einen Menschen manuell ausführbare Aktivitäten hindeuten (z. B. wenn ein Nutzer auf 8.000 Dateien zugegriffen hat).
  4. Suchen Sie nach einzigartigen Windows-Ereignistypen, die Nutzer normalerweise nicht ändern, da diese verdächtige administrative Aktivitäten anzeigen können.
  5. Suche nach Indikatoren:
    Indicators displayed in the Alerts tab
    In der Liste wird die Anzahl der ausgegebenen Warnmeldungen aufgeführt, die jeden Indikator enthalten.
    • Suchen Sie nach den häufigsten Indikatoren. Filtern Sie nach einem bestimmten Indikator und suchen Sie nach Nutzern mit der höchsten Anzahl dieses Indikators.
    • In der Regel können Sie zeitbasierte Warnmeldungen (z. B. ungewöhnliche Anmeldezeit) ignorieren, da diese sehr häufig sind. Sie bieten jedoch einen guten Kontext, wenn sie mit interessanteren Indikatoren kombiniert werden.
  6. Zeigen Sie Details an:
    • Erstellen Sie mithilfe von Warnmeldungsnamen ein Bedrohungsnarrativ. Der einflussreichste Indikator legt in der Regel den Namen der Warnmeldung fest. Nutzen Sie diese Tatsache als Erläuterung für den Grund der Markierung dieses Nutzers.
    • Skizzieren Sie die gefundenen Aktivitäten mithilfe der Zeitleiste und suchen Sie nach möglichen Ursachen für die beobachteten Verhaltensweisen.
    • Prüfen Sie weiterhin jeden Indikator und zeigen Sie, wie Supportinformationen in Form von Grafiken oder Ereignissen die Analysen bei der Überprüfung eines Incidents unterstützen können. Schlagen Sie mögliche nächste Untersuchungsphasen mit externen Ressourcen vor (z. B. SIEM, Netzwerkforensik und direkter Kontakt zum Nutzer oder Geschäftsführer).
    • Bitten Sie um Feedback und Kommentare und schließen Sie damit die Untersuchung ab.
  7. Ergreifen Sie Maßnahmen, mit denen Sie die durch Ihre Ermittlung der Warnmeldungen ermittelten Bedrohungen beheben. Weitere Informationen finden Sie unter Ergreifen von Maßnahmen für Nutzer mit hohem Risiko.

In den folgenden Themen werden verschiedene Möglichkeiten für die Untersuchung von Warnmeldungen beschrieben.

You are here
Table of Contents > Untersuchen von Top-Warnmeldungen

Attachments

    Outcomes