ATD: NetWitness Suite – Automatisierte Bedrohungserkennung

Document created by RSA Information Design and Development on May 8, 2018
Version 1Show Document
  • View in full screen mode
 

Die automatisierte Bedrohungserkennung von RSA NetWitness® Suite verwendet vorkonfigurierte ESA Analytics-Module, um bestimmte Arten von Bedrohungen zu identifizieren. Ein ESA Analytics-Modul ist eine Pipeline aus Aktivitätsobjekten, die ein Ereignis durch mathematische Berechnungen um zusätzliche Informationen ergänzen. ESA Analytics-Module befinden sich in den ESA Analytics-Services. Die ESA Analytics-Services verwenden abfragebasierte Aggregation (Query-Based Aggregation, QBA), um gefilterte Ereignisse für die Module von Concentrators zu erfassen. Nur die von einem Modul benötigten Daten werden zwischen dem Concentrator und dem ESA Analytics-System übertragen.

Es gibt zwei ESA-Services, die auf einem ESA-Host ausgeführt werden können:

  • Event Stream Analysis (ESA-Korrelationsregeln)
  • Event Stream Analytics Server (ESA Analytics)

Der erste Service ist der Event Stream Analysis-Service, der Warnmeldungen aus ESA-Regeln, auch bekannt als ESA-Korrelationsregeln, erstellt, die Sie manuell erstellen oder von Live herunterladen. Der zweite Service ist der ESA Analytics-Service, der für die automatisierte Bedrohungserkennung verwendet wird. Da der ESA Analytics-Service für die automatisierte Bedrohungserkennung vorkonfigurierte Module verwendet, müssen Sie keine Regeln erstellen oder herunterladen, um die automatisierte Bedrohungserkennung verwenden zu können.

Die automatisierte Bedrohungserkennung für NetWitness Suite verfügt derzeit über zwei Module „Verdächtige Domains“, Command and Control (C2) für Pakete und C2 für Protokolle.

Da jedes ESA Analytics-Modul unterschiedliche Datenanforderungen hat, achten Sie darauf, dass alle modulspezifischen Anforderungen erfüllt sind, bevor Sie ein Modul für die automatisierte Bedrohungserkennung bereitstellen.

Automatisierte Bedrohungserkennung für verdächtige Domains

Das Modul „Verdächtige Domains“ untersucht Ihren HTTP-Datenverkehr, um Domains zu erkennen, die wahrscheinlich Schadsoftware-Command-and-Control-Server sind und sich mit Ihrer Umgebung verbinden. Nachdem die automatisierte Bedrohungserkennung von NetWitness Suite für verdächtige Domains Ihren HTTP-Datenverkehr untersucht hat, erzeugt sie Bewertungen basierend auf verschiedenen Aspekten des Verhaltens Ihres Datenverkehrs (z. B. die Häufigkeit und Regelmäßigkeit, mit der eine bestimmte Domain kontaktiert wird). Wenn diese Bewertungen einen festgelegten Schwellenwert erreichen, wird eine ESA-Warnmeldung erzeugt. Diese ESA-Warnmeldung wird an der Ansicht „Reagieren“ weitergeleitet. Die Warnmeldung in der Ansicht „Reagieren“ wird mit Daten erweitert, die Ihnen helfen, die Bewertungen zu interpretieren, um festzustellen, welche Gegenmaßnahmen zu ergreifen sind. 

Die Module „Verdächtige Domains“ der automatisierten Bedrohungserkennung erlauben Bewertungen, um Command-and-Control-Kommunikation zu erkennen. Command-and-Control-Kommunikation erfolgt, wenn Schadsoftware ein System infiziert hat und Daten zurück zu einer Quelle sendet. Oft kann Command-and-Control-Schadsoftware über Beaconing-Verhalten erkannt werden. Beaconing tritt auf, wenn die Schadsoftware regelmäßig Kommunikation zurück an den Command-and-Control-Server sendet, um ihn zu informieren, dass eine Maschine infiziert wurde und dass die Schadsoftware auf weitere Anweisungen wartet. Die Fähigkeit, die Schadsoftware an diesem Punkt der Infizierung zu ergreifen, kann weiteren Schaden an der infizierten Maschine vermeiden und gilt als kritische Phase in der „Kill Chain“.  

Die automatisierte Bedrohungserkennung von NetWitness Suite löst einige häufige Probleme, die bei der Suche nach Schadsoftware auftreten:

  • Fähigkeit zur Verwendung von Algorithmen anstatt Signaturen. Da viele Ersteller von Schadsoftware inzwischen polymorphe oder verschlüsselte Codesegmente verwenden, für die nur sehr schwer eine Signatur erstellt werden kann, kann dieser Ansatz manchmal Schadsoftware nicht entdecken. Da die automatisierte Bedrohungserkennung von NetWitness Suite einen verhaltensbasierten Algorithmus verwendet, kann sie Schadsoftware schneller und effizienter erkennen.
  • Möglichkeit zur Automatisierung der Jagd. Das manuelle Durchsuchen von Daten ist eine effektive, aber sehr zeitaufwändige Methode zum Auffinden von Schadsoftware. Die Automatisierung dieses Prozesses erlaubt es Analysten, ihre Zeit effizienter zu nutzen. 
  • Fähigkeit, einen Angriff schnell zu entdecken. Anstatt Daten in Batches zu sammeln und dann zu analysieren, analysiert die automatisierte Bedrohungserkennung Daten, während sie von NetWitness Suite aufgenommen werden, sodass die Angriffe nahezu in Echtzeit gefunden werden können. 

Workflow für Modul „Verdächtige Domains“

Die automatisierte Bedrohungserkennung von NetWitness Suite funktioniert ähnlich wie ein Filtersystem. Sie überprüft, ob ein bestimmtes Verhalten auftritt (oder bestimmte Bedingungen bestehen), und wenn dieses Verhalten oder diese Bedingung auftritt, fährt es mit dem nächsten Schritt im Prozess fort. Damit wird das System effizienter und es bleiben Ressourcen frei, da Ereignisse, die als nicht bedrohlich eingestuft werden, nicht im Arbeitsspeicher gehalten werden. Das folgende Diagramm bietet eine vereinfachte Version des Workflows für das Modul „Verdächtige Domains“. 

C2-Workflow

1.) Pakete oder Protokolle werden zum ESA-Service geleitet. Die HTTP-Pakete oder Protokolle werden vom Decoder oder Log Decoder analysiert und an den ESA-Host gesendet.

2.) Die Whitelist wird geprüft. Wenn Sie eine Whitelist über Context Hub erstellt haben, prüft der ESA-Service diese Liste, um Domains auszuschließen. Wenn eine Domain im Ereignis auf der Whitelist steht, wird das Ereignis ignoriert.

3.) Das Profil der Domain wird geprüft. Automatisierte Bedrohungserkennung prüft, ob die Domain neu in Erscheinung tritt (ca. drei Tage), über wenige Quell-IP-Verbindungen verfügt, viele Verbindungen ohne einen Referrer oder Verbindungen mit seltenen Benutzeragenten hat.  Wenn eine oder mehrere dieser Bedingungen zutrifft, wird die Domain als nächstes auf regelmäßiges Beaconing geprüft.

4.) Die Domain wird auf regelmäßiges Beaconing geprüft. Beaconing tritt auf, wenn die Schadsoftware regelmäßig Kommunikation zurück an den Command-and-Control-Server sendet, um ihn zu informieren, dass eine Maschine infiziert wurde und dass die Schadsoftware auf weitere Anweisungen wartet. Wenn die Website Beaconing-Verhalten zeigt, werden die Registrierungsinformationen der Domain geprüft. 

5.) Registrierungsinformationen der Domain werden geprüft. Der Whois-Service wird verwendet, um festzustellen, ob die Domain vor kurzem registriert wurde oder fast abgelaufen ist. Domains, die eine sehr kurze Lebensdauer haben, sind oft Kennzeichen für Schadsoftware. 

6.) Command and Control (C2) aggregiert Bewertungen. Jeder der oben genannten Faktoren erzeugt eine separate Bewertung, die gewichtet wird, um verschiedene Niveaus der Wichtigkeit zu kennzeichnen. Die gewichteten Bewertungen bestimmen, ob eine Warnmeldung erzeugt werden soll. Wenn eine Warnmeldung generiert wird, werden die zusammengefassten Warnmeldungen in der Ansicht „Reagieren“ angezeigt und können dann von dort aus weiter untersucht werden. Sobald die Warnmeldungen in der Ansicht „Reagieren“ angezeigt werden, werden sie weiter unter dem zugehörigen Incident aggregiert. Dies erleichtert das Durchgehen großer Mengen von Warnmeldungen, die für einen Command-and-Control-Incident generiert werden können. 

Analysten können die Warnmeldungen in der Ansicht „Reagieren“ anzeigen.

Automatisierte Bedrohungserkennung für verdächtige Domains für Pakete im Vergleich zu Webproxy-Protokollen

RSA NetWitness Suite bietet Ihnen die Möglichkeit, eine automatisierte Bedrohungserkennung für verdächtige Domains über Pakete oder Webproxy-Protokolle auszuführen. Während die Paketdaten direkt über das Internet in die NetWitness Suite-Installation gestreamt und direkt analysiert werden können, kann die Verwendung eines Webproxy in Ihrer Installation vorteilhaft sein, sofern dies möglich ist. Da einige Installationen Netzwerkadressübersetzung oder SSL-Verschlüsselung verwenden, kann die echte Quell-IP einer ausgehenden Verbindung maskiert sein, wenn Sie sie auf Paketebene beobachten. Durch die Verwendung eines Webproxys profitieren Sie von der Möglichkeit zum Beschleunigen und Entschlüsseln von SSL-Datenverkehr sowie der Möglichkeit, die tatsächlichen Quell-IP-Adressen des überwachten Datenverkehrs zu verfolgen.

Verdächtige Domains für Pakete (C2 für Pakete) und verdächtige Domains für Protokolle (C2 für Protokolle) sollten dieselben Ergebnisse liefern. Im Hinblick auf die Ergebnisse bietet keine der beiden Möglichkeiten einen echten Vorteil.

You are here
Table of Contents > NetWitness Suite – Automatisierte Bedrohungserkennung

Attachments

    Outcomes