UEBA: NetWitness UEBA-Indikatoren

Document created by RSA Information Design and Development on Apr 28, 2019
Version 1Show Document
  • View in full screen mode

NetWitness UEBA-Indikatoren

In den folgenden Tabellen werden Indikatoren aufgelistet, die bei Erkennung potenziell bösartiger Aktivitäten angezeigt werden.

Windows-Dateiserver

                                                          
IndikatorWarnmeldungstypBeschreibung
Ungewöhnliche Dateizugriffszeit Nicht-Standard-Stunden Ein Benutzer hat zu einem ungewöhnlichen Zeitpunkt auf eine Datei zugegriffen.
Ungewöhnliche Änderung der Dateizugriffsberechtigung Änderungen zahlreicher Berechtigungen Ein Benutzer hat mehrere Freigabeberechtigungen geändert.
Ungewöhnliches Dateizugriffsereignis Ungewöhnlicher DateizugriffEin Benutzer hat auf ungewöhnliche Weise auf eine Datei zugegriffen.
Mehrere Änderungen der Dateizugriffsberechtigung Änderungen zahlreicher Berechtigungen Ein Benutzer hat mehrere Dateifreigabeberechtigungen geändert.
Mehrere Dateizugriffsereignisse Snooping-Benutzer Ein Benutzer hat mehrere Dateifreigabeberechtigungen geändert.
Mehrere gescheiterte Dateizugriffsereignisse Snooping-Benutzer Ein Benutzer hat mehrfach keinen Zugriff auf eine Datei erhalten.
Mehrere Datei-Öffnen-Ereignisse Snooping-Benutzer Ein Benutzer hat mehrere Dateien geöffnet.
Mehrfache Ordner-Öffnen-Ereignisse Snooping-Benutzer Ein Benutzer hat mehrere Ordner geöffnet.
Mehrere Datei-Löschen-Ereignisse Ungewöhnlicher Dateizugriff Ein Benutzer hat mehrere Dateien gelöscht.

Active Directory

                                                                              
IndikatorWarnmeldungstypBeschreibung
Ungewöhnliche Active Directory-Änderungszeit Nicht-Standard-Stunden Ein Benutzer hat Active Directory zu einem ungewöhnlichen Zeitpunkt geändert.
Ungewöhnliche Änderung von Active Directory Ungewöhnliche AD-Änderungen Es wurde eine ungewöhnlich Änderung an einem Active Directory-Attribut vorgenommen.
Mehrere Änderungen der Gruppenmitgliedschaft Mehrfachänderungen der Gruppen Ein Benutzer hat mehrere Änderungen an Gruppen vorgenommen.
Mehrere Änderungen an der Kontoverwaltung Ungewöhnliche AD-Änderungen Ein Benutzer hat mehrere Active Directory-Änderungen vorgenommen.
Mehrfache Änderungen an der Kontoverwaltung durch Benutzer Ungewöhnliche AD-Änderungen Ein Benutzer hat mehrere vertrauliche Active Directory-Änderungen vorgenommen.
Mehrere fehlgeschlagene Änderungen in der Kontoverwaltung Ungewöhnliche AD-Änderungen Einem Nutzer sind mehrere Änderungen im Active Directory fehlgeschlagen.
Geändertes Administratorpasswort Änderung des Administratorpassworts Das Passwort eines Administrators wurde geändert.
Aktivieren eines Nutzerkontos Sensible Änderungen des Nutzerstatus Das Konto eines Nutzers wurde aktiviert.
Nutzerkonto wurde deaktiviert Sensible Änderungen des Nutzerstatus Das Konto eines Nutzers wurde deaktiviert.
Nutzerkonto wurde entsperrt Sensible Änderungen des Nutzerstatus Das Konto eines Nutzers wurde freigeschaltet.
Art des Nutzerkontos geändert Sensible Änderungen des Nutzerstatus Ein Nutzertyp wurde geändert.
Nutzerkonto wurde gesperrt Sensible Änderungen des Nutzerstatus Das Konto eines Nutzers wurde gesperrt.
Nutzerpasswort wurde geändert Sensible Änderungen des Nutzerstatus Das Passwort eines Nutzers wurde geändert.

Anmeldeaktivität

                                      
IndikatorWarnmeldungstypBeschreibung
Ungewöhnliche Anmeldezeit Nicht-Standard-Stunden Ein Nutzer hat sich zu einem ungewöhnlichen Zeitpunkt angemeldet.
Ungewöhnlicher Computer Nutzeranmeldung auf ungewöhnlichem Host Ein Nutzer hat versucht, auf einen ungewöhnlichen Computer zuzugreifen.
Mehrere erfolgreiche Authentifizierungen Mehrere Anmeldungen durch den Nutzer Ein Nutzer hat sich mehrfach angemeldet.
Mehrfach fehlgeschlagene Authentifizierungen Mehrere fehlgeschlagene Anmeldungen Einem Nutzer sind mehrere Authentifizierungsversuche fehlgeschlagen.
Anmeldung auf mehreren Computern Nutzer auf mehreren Hosts angemeldet Ein Nutzer hat versucht, sich von mehreren Computern aus anzumelden.

NetWitness UEBA-Anwendungsfälle für Windows-Protokolle

NetWitness UEBA konzentriert sich auf die Bereitstellung von fortschrittlichen Erkennungsmöglichkeiten, mit denen Unternehmen vor Bedrohungen durch Insider geschützt werden. Diese könnten entweder vertrauenswürdige Nutzer des Netzwerks oder alternativ ein böswilliger externer Angreifer sein, der die erworbenen Berechtigungen für eine erweiterte Kontoübernahme nutzt.

Identitätsdiebstahl beginnt in der Regel mit dem Diebstahl von Berechtigungen. Diese werden für den unbefugten Zugriff auf Ressourcen genutzt, um die Kontrolle über das Netz zu erlangen. Angreifer können auch infizierte Nicht-Admin-Nutzer ausnutzen, um Zugriff auf Ressourcen zu erhalten, für die sie administrative Rechte haben, und diese Rechte dann eskalieren.

Ein Angreifer, der gestohlene Berechtigungen verwendet, kann während des Zugriffs auf Ressourcen verdächtige Netzwerkereignisse auslösen. Das Erkennen unerlaubter Berechtigungen ist möglich. Allerdings müssen Sie dazu die Angreiferaktivität von der hohen Menge rechtmäßiger Ereignisse trennen. Mithilfe von NetWitness UEBA können Sie möglicherweise bösartige Aktivitäten von den sonst ungewöhnlichen, aber nicht riskanten Nutzeraktionen trennen.

Die folgenden Anwendungsfälle definieren bestimmte Risikotypen und die entsprechenden Systemfunktionen, mit deren Hilfe sie erkannt werden. Sie können die Anwendungsfälle, die durch ihren Warnmeldungstyp und ihre Beschreibung dargestellt werden, überprüfen und so ein erstes Verständnis für das damit verbundene riskante Verhalten jedes einzelnen gewinnen. Mit NetWitness UEBA können Sie dann für die Indikatoren für möglicherweise riskante Nutzeraktivitäten einen Drill-down durchführen und erhalten so weitere Informationen. Weitere Informationen zu von NetWitness UEBA unterstützten Indikatoren finden Sie unter NetWitness UEBA-Indikatoren.

                                                                           
WarnmeldungstypBeschreibung
Mehrfachänderungen der GruppenAn Gruppen wurde eine ungewöhnliche Anzahl von Änderungen vorgenommen. Untersuchen Sie, welche Elemente geändert wurden, und entscheiden Sie, ob die Änderungen legitim waren oder möglicherweise das Ergebnis eines riskanten oder bösartigen Verhaltens sind. Dieser Aktivität wird in der Regel der Indikator Mehrere Änderungen der Gruppenmitgliedschaft zugeordnet.
Erweiterte Rechte erteiltAn einen Benutzer wurden erweiterte Kontorechte delegiert. Angreifer nutzen oft reguläre Nutzerkonten, die ihnen erweiterte Rechte gewähren, um das Netzwerk anzugreifen. Untersuchen Sie den Nutzer, der die erweiterten Rechte hat, und entscheiden Sie, ob diese Änderungen legitim waren oder möglicherweise das Ergebnis eines riskanten oder bösartigen Verhaltens sind. Dieser Aktivität wird in der Regel der Indikator Verschachteltes Mitglied zu wichtiger Enterprise-Gruppe hinzugefügt und der Indikator Mitglied zu wichtiger Enterprise-Gruppe hinzugefügt zugeordnet.
Mehrere fehlgeschlagene AnmeldungenBei der herkömmlichen Passwortentschlüsselung versucht der Angreifer, ein Passwort durch Vermutungen oder durch den Einsatz anderer Methoden mit geringem technischem Aufwand abzurufen und damit einen ersten Zugriff zu erhalten. Der Angreifer riskiert, erwischt oder ausgesperrt zu werden, weil er explizit versucht, sich zu authentifizieren. Aber mit einigen Vorkenntnissen über den Passwortverlauf des Opfers, kann er sich erfolgreich authentifizieren. Suchen Sie nach zusätzlichen ungewöhnlichen Hinweisen darauf, dass nicht der Kontoinhaber versucht, auf dieses Konto zuzugreifen. Dieser Aktivität wird in der Regel der Indikator Mehrere fehlgeschlagene Authentifizierungen zugeordnet.
Nutzeranmeldungen auf mehreren AD-WebsitesDomain-Controller speichern Hashes für Berechtigungspasswörter für alle Konten auf der Domain, sodass sie hochwertige Ziele für Angreifer sind. Nicht stringent aktualisierte und gesicherte Domain-Controller sind anfällig für Angriffe und Infizierung, die die Domain gefährden könnten. Nutzerrechte auf mehreren Domains könnten darauf hindeuten, dass eine übergeordnete Domain infiziert wurde. Bestimmen Sie, ob der Zugriff des Nutzers auf und von mehreren Websites legitim ist oder ein Hinweis auf eine mögliche Infizierung ist. Dieser Aktivität wird in der Regel der Indikator Anmeldungen auf mehreren Domains zugeordnet.
Nutzeranmeldung auf ungewöhnlichem HostHäufig müssen Angreifer Berechtigungen erneut erwerben und andere sensible Aktivitäten ausführen, wie zum Beispiel die Verwendung von Remotezugriff. Die Rückverfolgung der Zugriffskette kann zur Entdeckung anderer Computer führen, die möglicherweise in riskante Aktivitäten verwickelt sind. Wenn die Anwesenheit eines Angreifers auf einen einzigen infizierten Host oder auf viele infizierten Hosts beschränkt ist, kann dieser Aktivität der Indikator Ungewöhnlicher Computer zugeordnet werden.
DatenexfiltrationDie Datenexfiltration ist das unerlaubte Kopieren, Übertragen oder Abrufen von Daten von einem Computer oder Server. Datenexfiltration ist eine bösartige Aktivität, die in der Regel durch verschiedene Techniken von Cyberkriminellen über das Internet oder ein anderes Netzwerk durchgeführt wird. Dieser Aktivität können die Indikatoren Übermäßige Anzahl an Datei-Umbenennen-Ereignissen, Übermäßige Anzahl an Dateien, die aus dem Dateisystem verschoben wurden und Übermäßige Anzahl an Dateien, die auf das Dateisystem verschoben wurden zugeordnet werden.
Massenhafte DateiumbenennungRansomware ist eine Art Malware, mit der Desktop- und Systemdateien verschlüsselt und unzugänglich gemacht werden. Mit Ransomware, wie beispielsweise „Locky“, werden Dateien im Rahmen ihrer anfänglichen Ausführung verschlüsselt und umbenannt. Mithilfe des Indikators „Massenhafte Dateiumbenennung“ können Sie feststellen, ob das Dateisystem mit Ransomware infiziert wurde. Dieser Aktivität kann der Indikator Mehrere Datei-Umbenennen-Ereignisse zugeordnet werden.
Snooping-NutzerSnooping ist unbefugter Zugriff auf die Daten einer anderen Person oder eines Unternehmens. Snooping kann so einfach sein wie die gelegentliche Überwachung einer E-Mail auf dem Computer einer anderen Person oder das Beobachten der Eingabe einer Person auf einem Computer. Bei ausgefeilterem Snooping wird Aktivität mithilfe von Softwareprogrammen auf einem Computer oder Netzwerkgerät remote überwacht. Dieser Aktivität können die Indikatoren Mehrere Dateizugriffsereignisse, Mehrere fehlgeschlagene Dateizugriffsereignisse, Mehrere Datei-Öffnen-Ereignisse oder Mehrere Ordner-Öffnen-Ereignisse zugeordnet werden.
Mehrere Anmeldungen durch den NutzerAlle Authentifizierungsaktivitäten, ob böswillig oder nicht, erscheinen als normale Anmeldungen. Daher sollten Administratoren unerwartet autorisierte Aktivitäten überwachen. Der Schlüssel besteht darin, dass Angreifer diese gestohlenen Zugangsdaten für unbefugten Zugriff nutzen. Dies kann eine Möglichkeit zur Erkennung bieten. Wenn ein Konto für ungewöhnliche Aktivitäten verwendet wird, zum Beispiel bei einer Authentifizierung mit ungewöhnlicher Häufigkeit, kann das Konto infiziert sein. Dieser Aktivität kann in der Regel der Indikator Mehrere fehlgeschlagene Authentifizierungen zugeordnet werden.
Benutzer auf mehreren Hosts angemeldetAngreifer müssen in der Regel in regelmäßigen Abständen erneut Berechtigungen erwerben. Das liegt daran, dass ihr Schlüsselbund gestohlener Berechtigungen im Laufe der Zeit aufgrund von Passwortänderungen und Resets natürlich kleiner wird. Angreifer halten daher häufig in der infizierten Organisation einen Fuß in der Tür, indem sie Hintertüren installieren und sich die Berechtigungen von vielen Computern in der Umgebung sichern. Dieser Aktivität kann der Indikator Anmeldung auf mehreren Computern zugeordnet werden.
Änderung des AdministratorpasswortsFreigegebene Langzeitgeheimnisse, wie zum Beispiel privilegierte Kontopasswörter, werden häufig verwendet, um von Druckservern bis hin zu Domain-Controllern auf alles zuzugreifen. Wenn Sie Angreifer, die diese Konten zu nutzen versuchen, fernhalten möchten, achten Sie genau auf Passwortänderungen durch Administratoren und stellen Sie sicher, dass sie von vertrauenswürdigen Parteien gemacht wurden. Außerdem sollte kein weiteres ungewöhnliches Verhalten im Zusammenhang mit diesen Passwörtern auftreten. Dieser Aktivität kann der Indikator Änderung des Administratorpassworts zugeordnet werden.
Änderungen zahlreicher BerechtigungenBei einigen Diebstahltechniken für Berechtigungen, zum Beispiel Pass-the-Hash, wird ein iterativer, zweistufiger Prozess verwendet. Zuerst erhält ein Angreifer eine erweiterte Lese- und Schreibberechtigung für privilegierte Bereiche von flüchtigen Speicher- und Dateisystemen, die in der Regel nur für Prozesse auf Systemebene auf mindestens einem Computer zugänglich sind. Im zweiten Schritt versucht der Angreifer, den Zugriff auf andere Computer im Netz zu erhöhen. Prüfen Sie, ob auf den Dateisystemen ungewöhnliche Berechtigungsänderungen stattgefunden haben. So können Sie sicherstellen, dass sie nicht von einem Angreifer infiziert wurden. Dieser Aktivität können die Indikatoren Mehrere Änderungen an Dateizugriffsberechtigungen, Mehrfach fehlgeschlagene Änderungen an Dateizugriffsberechtigungen und Ungewöhnliche Änderung der Dateizugriffsberechtigung zugeordnet werden.
Ungewöhnliche AD-ÄnderungenWenn ein Angreifer einen hochgradig privilegierten Zugriff auf eine Active Directory-Domain oder einen Domain-Controller erhält, kann er mit diesem Zugriff auf die Gesamtstruktur zugreifen, sie kontrollieren oder sogar zerstören. Wenn ein einzelner Domain-Controller infiziert ist und ein Angreifer die AD-Datenbank ändert, replizieren sich diese Modifikationen auf jedem anderen Domain-Controller in der Domain und abhängig von der Partition, in der die Änderungen vorgenommen werden, auch in der Gesamtstruktur. Untersuchen Sie ungewöhnliche von Administratoren und Nicht-Administratoren in AD durchgeführte Änderungen und stellen Sie fest, ob sie die Domain möglicherweise wirklich infizieren. Dieser Aktivität können die Indikatoren Ungewöhnliche Active Directory-Änderung, Mehrere Änderungen an der Kontoverwaltung, Mehrere Änderungen an der Kontoverwaltung durch Benutzer und Mehrere fehlgeschlagene Änderungen in der Kontoverwaltung zugeordnet werden.
Sensible Änderungen des NutzerstatusEin Domain- oder Enterprise-Administratorkonto kann standardmäßig alle Ressourcen in der Domain kontrollieren, unabhängig davon, ob es eine böswillige oder gutartige Absicht dahintersteckt. Im Rahmen dieser Kontrolle können Konten erstellt und geändert, Daten gelesen, geschrieben oder gelöscht, Anwendungen installiert oder geändert und Betriebssysteme gelöscht werden. Einige dieser Aktivitäten werden organisch als Teil des natürlichen Lebenszyklus des Kontos ausgelöst. Untersuchen Sie diese sicherheitsrelevanten Nutzerkontoänderungen und stellen Sie fest, ob diese infiziert wurden. Dieser Aktivität können die Indikatoren Aktivieren eines Benutzerkontos, Benutzerkonto wurde deaktiviert, Benutzerkonto wurde entsperrt, Art des Benutzerkontos geändert, Benutzerkonto wurde gesperrt, Option „Benutzerpasswort läuft niemals ab“ wurde geändert, Benutzerpasswort wurde durch andere Person als Besitzer geändert und Änderung des Passworts zugeordnet werden.
Ungewöhnlicher DateizugriffÜberwachen Sie den ungewöhnlichen Dateizugriff, um unsachgemäßen Zugriff auf vertrauliche Dateien und Diebstahl sensibler Daten zu verhindern. Durch die selektive Überwachung von Ansichten, Änderungen und Löschungen von Dateien können Sie möglicherweise unberechtigte Änderungen an sensiblen Dateien erkennen, die durch einen Angriff oder einen Änderungsmanagementfehler verursacht wurden. Dieser Aktivität können die Indikatoren Ungewöhnliches Dateizugriffsereignis und Mehrere Datei-Löschen-Ereignisse zugeordnet werden.
Nicht-Standard-StundenAlle Authentifizierungsaktivitäten, ob böswillig oder nicht, erscheinen als normale Anmeldungen. Daher sollten Administratoren unerwartet autorisierte Aktivitäten überwachen. Der Schlüssel besteht darin, dass Angreifer diese gestohlenen Zugangsdaten für unbefugten Zugriff nutzen. Dies kann eine Möglichkeit zur Erkennung bieten. Wenn ein Konto für ungewöhnliche Aktivitäten verwendet wird, zum Beispiel für Authentifizierungen mit ungewöhnlicher Häufigkeit, kann das Konto infiziert sein. Durch die Angabe einer ungewöhnlichen Aktivitätszeit können Sie feststellen, ob das Konto von einem externen Akteur übernommen wurde. Dieser Aktivität können die Indikatoren Ungewöhnliche Dateizugriffszeit, Ungewöhnliche Änderungszeit des Active Directory und Ungewöhnliche Anmeldezeit zugeordnet werden.
Previous Topic:Einführung
You are here
Table of Contents > NetWitness UEBA-Indikatoren

Attachments

    Outcomes