UEBA: Untersuchen von Nutzern mit hohem Risiko

Document created by RSA Information Design and Development on Apr 28, 2019
Version 1Show Document
  • View in full screen mode

Auf der Grundlage der Bewertung und des Schweregrads der Warnmeldungen wird eine Nutzerbewertung erstellt. Mit Hilfe der Nutzerbewertung können Sie Nutzer identifizieren, die sofortige Aufmerksamkeit benötigen, eine tiefere Untersuchung durchführen und erforderliche Maßnahmen ergreifen. Sie können Nutzer mit hohem Risiko entweder auf der Registerkarte Übersicht oder auf der Registerkarte Benutzer identifizieren.

Die folgende Abbildung ist ein Beispiel für die fünf Nutzer mit dem höchsten Risiko, die im Bereich Übersicht angezeigt werden.

Users view, Overview tab

Die folgende Abbildung ist ein Beispiel für alle Nutzer mit hohem Risiko in der Umgebung, die auf der Registerkarte Benutzer angezeigt werden.

High-risk users view

Im Folgenden finden Sie ein übergeordnetes Verfahren zur Untersuchung von Nutzern mit hohem Risiko in Ihrer Umgebung.

  1. Identifizieren Sie die Nutzern mit hohem Risiko. Sie können die Nutzern mit hohem Risiko auf folgende Weise identifizieren:
    • Auf der Registerkarte Übersicht sind die fünf Nutzer mit dem höchsten Risiko in Ihrer Umgebung aufgeführt. Identifizieren Sie unter den aufgelisteten Nutzern die Nutzer mit kritischem Schweregrad oder einer Nutzerbewertung von mehr als 100 Punkten.
    • Auf der Registerkarte Benutzer werden alle risikoreichen Nutzer in Ihrer Umgebung sortiert nach Risikobewertung angezeigt. Identifizieren Sie, wie viele Nutzer mit einem Schweregrad von „Kritisch“, „Hoch“ und „Mittel“ markiert sind, oder identifizieren Sie das bösartige Nutzerverhalten von Nutzern auf der Grundlage der forensischen Untersuchung und erstellen Sie Nutzerlisten mithilfe von Verhaltensfiltern. Zusätzlich können Sie zum Identifizieren einer Zielgruppe risikoreicher Nutzer auch verschiedene Filtertypen (Risikoreich, Administrator oder Überwachungsliste) verwenden.

    Hinweis: Die Untersuchung sollte sich vor allem auf die Schweregrade „Kritisch“, „Hoch“ und „Mittel“ konzentrieren. Nutzer mit geringen Punktzahlen sind in der Regel keiner Untersuchung wert.

    Bewegen Sie den Mauszeiger über die Anzahl der Warnmeldungen, die risikoreichen Nutzern zugeordnet sind. So können Sie schnell erkennen, wie sie aussehen und ob es sich um eine gute Mischung handelt.

    Hinweis: Die Anzahl der Warnmeldungen korreliert nicht immer mit den höchsten Punktzahlen, da einige Warnmeldungen nur wenige Punkte zur Gesamtpunktzahl eines Nutzers beitragen, aber je mehr Warnmeldungen vorhanden sind, desto einfacher ist es, eine Zeitleiste der Aktivität anzuzeigen, die zu der hohen Punktzahl geführt hat.

    Weitere Informationen finden Sie unter Identifizieren von Nutzern mit hohem Risiko.

  2. In der Ansicht Benutzerprofil untersuchen Sie die Warnmeldungen und Indikatoren eines Nutzers.
    1. Überprüfen Sie die Liste der mit dem Nutzer verbundenen Warnmeldungen sowie die nach Schweregrad sortierten Bewertungen der einzelnen Warnmeldungen.
    2. Wenn Sie den Verlauf einer Bedrohung ermitteln möchten, erweitern Sie die Namen der Warnmeldungen. Der stärkste Indikator bestimmt den Namen der Warnmeldung, der auch andeutet, warum diese Stunde markiert ist.
    3. Mithilfe der Zeitleiste des Warnmeldungsflusses können Sie die ungewöhnlichen Aktivitäten erkennen.
    4. Überprüfen Sie die Details aller Indikatoren einer Warnmeldung. Dazu gehört auch die Zeitleiste, in der die Anomalie aufgetreten ist. Außerdem können Sie den Incident mithilfe externer Ressourcen wie SIEM, Netzwerkforensik oder durch direkten Kontakt zum Nutzer oder Geschäftsführer usw. untersuchen.

    Weitere Informationen finden Sie unter Starten von Untersuchungen für Nutzer mit hohem Risiko .

  3. Nach Abschluss der Untersuchung können Sie Ihre Beobachtung wie folgt aufzeichnen:

    1. Geben Sie an, ob eine Warnmeldung kein Risiko ist

    2. Speichern Sie das Verhaltensprofil für den in Ihrer Umgebung gefundenen Anwendungsfall

    3. Zum Verfolgen der Nutzeraktivität können Sie Nutzer in die Überwachungsliste aufnehmen und das Nutzerprofil verfolgen

    Weitere Informationen finden Sie unter Ergreifen von Maßnahmen für Nutzer mit hohem Risiko.

You are here
Table of Contents > Untersuchen von Nutzern mit hohem Risiko

Attachments

    Outcomes