UEBA: Einführung

Document created by RSA Information Design and Development on Apr 28, 2019
Version 1Show Document
  • View in full screen mode

RSA NetWitness UEBA (Analyse des Nutzer- und Entitätsverhaltens) ist eine fortschrittliche Analyselösung zur Entdeckung, Untersuchung und Überwachung von riskanten Verhaltensweisen für alle Nutzer und Entitäten in Ihrer Netzwerkumgebung. NetWitness UEBA wird für folgende Zwecke verwendet:

  • Erkennen von böswilligen Nutzern
  • Erkennen von hochriskanten Verhaltensweisen
  • Erkennen von Angriffen
  • Untersuchen von aufkommenden Sicherheitsbedrohungen

Hinweis: Standardmäßig werden nur Windows-Protokolle unterstützt. Sie können zusätzliche Protokollquellen hinzufügen, mit denen bestehende Modelle aufgefüllt werden. Weitere Informationen finden Sie unter Unterstützte Protokollquellen.

NetWitness UEBA nutzt vorhandene Daten in NetWitness Platform-Protokollen und stellt SOC-Managern im Unternehmen und Analysten Erkenntnisse und Ermittlungsmöglichkeiten zur Verfügung, mit denen Cyberbedrohungen verringert werden können.

Dieser Leitfaden ist für Analysten und SOC-Manager konzipiert und bietet Informationen und Anweisungen für die Nutzung aller NetWitness UEBA-Funktionen. Es werden die wichtigsten Ermittlungsmethoden, die wichtigsten Systemfunktionen, gängige Anwendungsfälle und Schritt-für-Schritt-Anleitungen für empfohlene Workflow-Strategien beschrieben.

Funktionsweise von NetWitness UEBA

Basierend auf Analysen erkennt NetWitness UEBA Anomalien in Protokolldaten und leitet daraus Verhaltensergebnisse ab. Dieser Prozess besteht aus fünf grundlegenden Schritten, die im folgenden Diagramm veranschaulicht werden:

Flow diagram describing how UEBA gathers data and displays results

Die folgende Tabelle enthält eine kurze Beschreibung dieser Schritte.

                                      
SchrittBeschreibungWeitere Informationen
1. Protokolldaten abrufen NetWitness UEBA ruft Protokolldaten aus der NetWitness Platform-Datenbank (NWDB) ab und erstellt auf der Grundlage dieser Daten Analyseergebnisse.Siehe Abrufen von Protokolldaten
2. Baselines erstellenBaselines werden aus einer detaillierten Analyse des normalen Nutzerverhaltens abgeleitet und dienen als Grundlage für den Vergleich mit dem Nutzerverhalten im Laufe der Zeit. Siehe Erstellen von Baselines
3. Anomalien erkennenEine Anomalie ist eine Abweichung vom normalen Baselineverhalten eines Nutzers. NetWitness UEBA führt eine statistische Analyse durch, in der jede neue Aktivität mit der Baseline verglichen wird. Nutzeraktivitäten, die von den erwarteten Baselinewerten abweichen, werden entsprechend bewertet, sodass der Schweregrad der Abweichung reflektiert wird.Siehe Erkennen von Anomalien
4. Warnmeldungen generierenAlle in Schritt 3 gefundenen Anomalien werden in Stundenstapeln zusammengefasst. Jeder Stapel wird auf der Grundlage der Einzigartigkeit seiner Indikatoren bewertet. Wenn die Indikatorzusammensetzung im Vergleich zu den historischen Stundenstapeln eines Nutzers einzigartig ist, ist es wahrscheinlich, dass dieser Stapel in eine Warnmeldung umgewandelt wird. Siehe Generieren von Warnmeldungen
5. Nutzer mit riskantem Verhalten priorisierenNetWitness UEBA priorisiert das potenzielle Risiko eines Nutzers durch die Verwendung einer zusätzlichen vereinfachten Bewertungsformel. Jeder Warnmeldung wird ein Schweregrad zugewiesen, durch den die Bewertung eines Nutzers um eine vorgegebene Punktzahl erhöht wird. Nutzer mit hohen Punktzahlen verfügen entweder über mehrere Warnmeldungen oder über Warnmeldungen mit hohem Schweregrad.Siehe Nutzer mit riskantem Verhalten priorisieren

Abrufen von Protokolldaten

Der NetWitness UEBA-Server verbindet sich zum Abrufen von Protokolldaten aus den Concentrators mit dem Broker- oder Concentrator-Service. Sie können den Broker-Service nutzen, der auf dem NetWitness-Admin-Server verfügbar ist, wenn Sie in der Bereitstellung nicht über einen exklusiven Broker verfügen. Während der NetWitness UEBA-Installation gibt der Administrator die IP-Adresse des Broker-Service an.

Weitere Informationen finden Sie im Thema „(Optional) Aufgabe 2 – Installieren von NetWitness UEBA“ im NetWitness Platform 11.2 Installationsleitfaden für physische Hosts.

Erstellen von Baselines

NetWitness UEBA analysiert mehrere Aspekte der Aktionen eines Nutzers innerhalb eines Datenflusses auf der Grundlage von maschinellem Lernen und baut nach und nach eine mehrdimensionale Baseline für das typische Verhalten jeden Nutzers auf. Zum Beispiel kann die Baseline Informationen über die Stunden enthalten, in denen sich ein Nutzer typischerweise einloggt.

Verhaltensbaselines werden auch auf globaler Ebene erstellt. Damit werden allgemeine Aktivitäten beschrieben, die im gesamten Netzwerk beobachtet werden. Wenn eine Arbeitsstunde für einen Nutzer ungewöhnlich war, aber für die Organisation nicht ungewöhnlich ist, verringern die falsch-positiven Reduktionsalgorithmen die Auswirkungen auf die Punktzahl für die Warnmeldung.

Modelle werden häufig aktualisiert und verbessern sich im Laufe der Zeit ständig.

Hinweis: Damit NetWitness UEBA eine angemessene Baseline für alle Nutzer in Ihrem Netzwerk erstellen kann, sind historische Protokolldaten über 28 Tage erforderlich. RSA empfiehlt jedoch, NetWitness UEBA so zu konfigurieren, dass Sie zwei Monate vor dem Bereitstellungsdatum <today-60days> mit der Erstellung der Baseline für Ihre Daten beginnen. Die ersten 28 Tage werden für das Modelltraining genutzt und nicht genutzt. Die restlichen 32 Tage werden genutzt, um das Modell zu verbessern und zu aktualisieren. Außerdem werden diese Tage für den Anfangswert gewertet.

Hinweis: Für Version 11.2 gibt es nur eine begrenzte Unterstützung für Umgebungen mit mehreren Domains. Die unterschiedlichen Werte für Nutzernamen, die unter verschiedenen Domains registriert werden, werden normalisiert und dann zu einer modellierten Entität zusammengefasst. Infolgedessen werden verschiedene Nutzer, die den gleichen Nutzernamen in verschiedenen Domains teilen, fälschlicherweise einer einzigen normalisierten Entität zugeschrieben.

Erkennen von Anomalien

Sobald eine Verhaltensbaseline für alle Nutzer in der Umgebung erstellt wurde, wird jedes eingehende Ereignis mit der Baseline verglichen. Auf dieser Grundlage wird eine Punktzahl vergeben, die anzeigt, ob das neue Verhalten ungewöhnlich ist und insbesondere ob es eine starke Abweichung von der Baseline darstellt. Wenn z. B. die normalen Arbeitszeiten eines Nutzers von 9:00 Uhr bis 17:00 Uhr sind, stellt eine neue Aktivität um 6:00 Uhr oder 7:00 Uhr keine starke Abweichung dar und wird wahrscheinlich nicht als Anomalie gewertet. Eine Authentifizierung um Mitternacht ist jedoch eine starke Abweichung und wird als Anomalie gewertet.

Erkannte Anomalien werden in Indikatoren für eine Infizierung umgewandelt, die in der Benutzeroberfläche als Indikatoren bezeichnet werden. Mithilfe dieser Indikatoren definiert NetWitness UEBA validierte ungewöhnliche Aktivitäten, wie zum Beispiel verdächtige Nutzeranmeldungen, Brute-Force-Passwortangriffe, ungewöhnliche Nutzeränderungen und ungewöhnliche Dateizugriffe. Indikatoren stellen entweder in einem einzigen Ereignis gefundene Anomalien oder mehrere Ereignisse dar, die im Laufe der Zeit zusammengefast wurden.

Generieren von Warnmeldungen

Alle gefundenen Anomalien sind in Benutzernamen- und Stundenstapeln gruppiert. Jeder Stapel wird auf der Grundlage der Einzigartigkeit seiner Indikatoren bewertet. Wenn eine Zusammensetzung im Vergleich zu den historischen Daten eines Nutzers einzigartig ist, ist es wahrscheinlich, dass dieser Stapel in eine Warnmeldung und die Anomalien in Indikatoren umgewandelt werden. Ein Stapel mit hoch bewerteten Anomalien wird zu einer Warnmeldung mit validierten Indikatoren für die Infizierung.

Selbst wenn eine ungewöhnliche Aktivität Hunderte Male am Tag in einem großen Unternehmensumfeld auftritt, spiegelt sie allein nicht unbedingt eine Kontoinfizierung wider. Allerdings könnte ein ungewöhnliches Verhalten, das zusammen mit vielen anderen ungewöhnlichen Verhaltensweisen auftritt, darauf hindeuten, dass das Konto infiziert ist. Treten diese drei Verhaltensweisen gemeinsam auf, könnte dies darauf hindeuten, dass zusätzliche Analysen erforderlich sind.

  • Authentifizierung eines ungewöhnlichen Computers
  • Mehrere in kurzer Zeit identifizierte Authentifizierungsversuche

  • Mehrere Dateien wurden von diesem Nutzer aus der Firmendatei gelöscht

Hinweis: Die NetWitness UEBA-Benutzeroberfläche kann zunächst leer sein, da Warnmeldungen erst nach der Einrichtung der Baselines erzeugt werden. Wenn es bei aktiviertem NetWitness UEBA keine historischen Prüfdaten gibt, beginnt das System mit der Generierung der Baselines ab dem Zeitpunkt der Bereitstellung. Danach dauert es 28 volle Tage, bevor das System beginnt, neue Warnmeldungen zu generieren. Wenn historische Prüfdaten bei aktiviertem NetWitness UEBA verarbeitet werden, werden Warnmeldung erst nach der Verarbeitung der historischen Daten angezeigt – in der Regel innerhalb von zwei bis vier Tagen.

Nutzer mit riskantem Verhalten priorisieren

Die Nutzerwerte sind ein primäres Werkzeug für die Priorisierung von Incidents. Die Nutzerbewertung basiert auf einer einfachen additiven Berechnung der Warnmeldungen des Nutzers. Warnmeldungen und Analystenfeedback sind die einzigen Faktoren in der Berechnung der Nutzerbewertung, wobei der Einfluss auf die Punktzahl durch ihren Schweregrad bestimmt wird.

Für Nutzer- und Warnmeldungsbewertungen wird ein einheitlicher Farbcode verwendet:

                                 
SchweregradFarbeBewertung
KritischRot+20
HochOrange+15
MittelGelb+10
NiedrigGrün+1

Unterstützte Protokollquellen

NetWitness UEBA unterstützt nativ folgende Windows-Protokollquellen:

  • Windows Active Directory
  • Windows-Anmelde- und -Authentifizierungsaktivität
  • Windows-Dateiserver

Empfohlene Workflows

Es gibt zwei Workflows, mit denen Sie NetWitness UEBA am effektivsten nutzen können: Erkennungsworkflow und forensischer Workflow.

Erkennungsworkflow

Mit dem Erkennungsworkflow können Sie sich einen Überblick über den Zustand Ihrer Umgebung verschaffen und sich dann darauf konzentrieren, die wichtigsten Nutzer mit hohem Risiko und Warnmeldungen zu untersuchen, die auf der Registerkarte „Übersicht“ angezeigt werden.

Im folgenden Flussdiagramm sind die möglichen Schritte dargestellt, mit denen Sie verdächtiges Verhalten in Ihrer Umgebung erkennen.

Flow diagram of UEBA detection workflow

In der folgenden Tabelle werden die einzelnen Workflows beschrieben.

                                 
Schritt BeschreibungAnweisungen
Anzeigen der wichtigsten fünf Nutzer oder der wichtigsten 10 WarnmeldungenAuf der Registerkarte „Übersicht“ sind die Nutzer mit den riskantesten Verhaltensweisen und den kritischsten Warnmeldungen zu erkennen.Untersuchen von Nutzern mit hohem Risiko und Untersuchen von Top-Warnmeldungen
Untersuchen von Details zu Nutzern und WarnmeldungenSchauen Sie sich die detaillierten Informationen über risikoreiches Nutzerverhalten und kritische Warnmeldungen an. So können Sie die Ursache und Lösung dieser Aktionen ermitteln. Untersuchen von Nutzern mit hohem Risiko und Untersuchen von Indikatoren
Bestimmen des ErmittlungsergebnissesIdentifizieren Sie anhand der in der Benutzeroberfläche aus den vorherigen Schritten bereitgestellten zusammenfassenden Informationen Bereiche, auf die Sie sich zur Lösung der gefundenen Probleme konzentrieren müssen.Identifizieren von Nutzern mit hohem Risiko und Untersuchen von Indikatoren
Ergreifen von Maßnahmen zur Lösung der gefundenen ProblemeKonzentrieren Sie sich auf Benutzerverhalten und -ereignisse und nutzen Sie die Ergebnisse zur Verbesserung und genaueren Definition zukünftiger Ermittlungen.Ergreifen von Maßnahmen für Nutzer mit hohem Risiko

Forensischer Workflow

Der forensische Workflow wird empfohlen, wenn Sie ein Verständnis für die typischen Benutzerverhaltensweisen und Anomalien in Ihrer Umgebung gewonnen haben. Mit diesem Workflow können Sie sich auf bestimmte, auf einem Benutzerverhalten basierende forensische Informationen oder auf einen bestimmten Zeitrahmen konzentrieren, in dem verdächtige Ereignisse aufgetreten sind.

Anhand von forensischen Informationen können die Analysten die vom Angreifer sehr wahrscheinlich angewendeten Handlungen und Verhaltensweisen bestimmen und folgende Fragen beantworten:

  • Welche grundlegenden Techniken und Verhaltensweisen sind über alle Angriffe hinweg verbreitet?
  • Welche Beweise hinterlassen diese Techniken?
  • Was tun Angreifer?
  • Was sind normale Verhaltensweisen für meine Konten und Entitäten?
  • Welche meiner Maschinen sind besonders empfindlich und wo befinden sie sich?

Im folgenden Flussdiagramm ist dargestellt, wie Sie forensische Informationen untersuchen, die auf einem bestimmten Benutzerverhalten oder auf einem bestimmten Zeitrahmen basieren, in dem verdächtige Ereignisse aufgetreten sind.

Flow diagram of Forensic workflow.

In der folgenden Tabelle werden die einzelnen Workflows beschrieben.

                                      
Schritt BeschreibungAnweisungen
Wissen über die zu erwartenden Verhaltensweisen und Anomalien in Ihrer Umgebung gewinnenLegen Sie eine Baseline für normale Verhaltensweisen, erwartete Anomalien und unerwartete Anomalien fest, sodass Sie sich auf Anomalien konzentrieren können, die für Ihre Umgebung von Bedeutung sind.Abrufen von Protokolldatenabrufen, Erkennen von Anomalien und Generieren von Warnmeldungen.
Nutzer mit der höchsten Punktzahl auf ein bestimmtes Verhalten untersuchenWählen Sie einen Nutzer mit einer hohen Punktzahl für ein bestimmtes Verhalten aus und sammeln Sie detaillierte Informationen.Untersuchen von Nutzern mit hohem Risiko und Untersuchen von Indikatoren
Warnmeldungen untersuchen, die in einem bestimmten Zeitrahmen auftretenLegen Sie einen bestimmten Zeitrahmen fest und wählen Sie diesen auf der Registerkarte „Warnmeldungen“ aus, um detaillierte Informationen über Warnmeldungen anzuzeigen, die während dieses Zeitraums aufgetreten sind.Untersuchen von Indikatoren
Bestimmen des ErmittlungsergebnissesKonzentrieren Sie sich auf der Grundlage Ihres Wissens über das erwartete Nutzerverhalten auf die während des angegebenen Zeitraums angezeigten Indikatoren und bestimmen Sie, ob die entdeckten Anomalien behoben werden müssen.Untersuchen von Indikatoren und Identifizieren von Nutzern mit hohem Risiko
Ergreifen von Maßnahmen zur Lösung der gefundenen ProblemeKonzentrieren Sie sich auf Nutzerverhalten und -ereignisse und nutzen Sie die Ergebnisse zur Verbesserung und genaueren Definition zukünftiger Ermittlungen.Ergreifen von Maßnahmen für Nutzer mit hohem Risiko

Zugriff auf NetWitness UEBA

Hinweis: Für den Zugriff auf den NetWitness UEBA-Service und die Registerkarte „Benutzer“ müssen Sie entweder der UEBA_Analyst-Rolle oder der Administratorrolle zugeordnet werden. Weitere Informationen über die Zuordnung dieser Rollen finden Sie im Thema „So funktioniert Role-Based Access Control“ im Handbuch Systemsicherheit und Benutzerverwaltung. Darüber hinaus müssen Sie die richtige NetWitness UEBA-Lizenzierung konfiguriert haben. Informationen über die NetWitness UEBA-Lizenzierung finden Sie unter „Analyse des Nutzer- und Entitätsverhaltens“ im Leitfaden zum Lizenzierungsmanagement.

Für den Zugriff auf NetWitness UEBA melden Sie sich bei NetWitness Platform an und gehen Sie zu Untersuchen > Benutzer. Die Ansicht „Benutzer“ mit allen NetWitness UEBA-Funktionen wird angezeigt.

Users view, Overview tab

You are here
Table of Contents > Einführung

Attachments

    Outcomes