ATD: Konfigurieren der automatisierten Bedrohungserkennung für verdächtige Domains

Document created by RSA Information Design and Development on May 8, 2018
Version 1Show Document
  • View in full screen mode
 

Dieses Thema enthält Informationen für Administratoren und Analysten zur Konfiguration eines „Suspicious Domains“-Moduls für die automatisierten Bedrohungserkennung von NetWitness Suite. Mit der Funktion der automatisierten Bedrohungserkennung können Sie die Daten auf einem oder mehreren Concentrators analysieren, indem Sie vorkonfigurierte ESA Analytics-Module verwenden. Beispielsweise kann ein ESA Analytics-Service mithilfe eines „Suspicious Domains“-Moduls Ihren HTTP-Datenverkehr untersuchen, um die Wahrscheinlichkeit dafür zu ermitteln, dass böswillige Aktivitäten in Ihrer Umgebung stattfinden.

Es gibt zwei Arten von vorkonfigurierten „Suspicious Domains“-Modulen in NetWitness Suite: Befehl und Kontrolle (Command and Control, C2) für Pakete und C2 für Protokolle. Das Modul „Suspicious Domains“ definiert eine Untergruppe von Ereignissen sowie die bei Eintreten dieser Ereignisse ausgeführten Aktivitäten zur Identifikation verdächtiger C2-Domains.

Bevor Sie ein ESA Analytics-Modul für die automatisierte Bedrohungserkennung aktivieren, sollten Sie beachten, dass es viele potenzielle Installationskonfigurationen gibt, die auf dem ESA-Service installiert werden können, einschließlich: ESA Analytics, ESA Correlation Rules und Context Hub. Sie alle binden Ressourcen, daher ist es wichtig, vor dem Bereitstellen der automatisierten Bedrohungserkennung auf Ihrem ESA-Service die Dimensionierung zu berücksichtigen.

Voraussetzungen

  • Wenn Sie Paketdaten verwenden, müssen Sie einen Decoder für HTTP-Paketdaten konfiguriert haben sowie einen Lua- oder Flex-HTTP-Parser.
  • Wenn Sie Protokolldaten für den Webproxy verwenden, müssen Sie den entsprechenden Log Decoder mit dem richtigen Parser für den Webproxy konfiguriert haben.
  • Wenn Sie Protokolldaten für den Webproxy verwenden, müssen Sie auf die aktuellen Protokollparser aktualisiert haben. Die folgenden Parser werden unterstützt: Blue Coat Cache Flow (Cacheflowelff), Cisco IronPort WSA (Ciscoiportwsa) und Zscaler (Zscalernss).
  • Wenn Sie Protokolldaten für den Webproxy verwenden, sollten Sie zum Erzielen der bestmöglichen Ergebnisse alle Ergebnisse auf die gleiche Weise konfigurieren (auf dieselbe Zeitzone festlegen, die gleiche Sammlungsmethode – syslog oder Stapel – verwenden und, wenn Sie Stapel verwenden, den gleichen Zeitplan für die Stapelverarbeitung nutzen).
  • Eine Verbindung zwischen dem ESA-Host und dem Whois-Service (selber Speicherort wie RSA Live cms:netwitness.com:443) muss über Port 443 geöffnet werden. Überprüfen Sie mit Ihrem Systemadministrator, ob dieser Vorgang abgeschlossen ist.
  • Fügen Sie eine Domain zur Whitelist hinzu, indem Sie den Context Hub-Service aktivieren.

Wichtig: Die automatisierte Bedrohungserkennung benötigt eine Anlaufphase, bei der der Bewertungsalgorithmus auf den Datenverkehr in Ihrem Netzwerk abgestimmt wird. Sie müssen die automatisierte Bedrohungserkennung so konfigurieren, dass die Anlaufphase auch während des normalen Datenverkehrs stattfinden kann. Beispielsweise ermöglicht das Starten der automatisierten Bedrohungserkennung an einem Dienstag um 8:00 Uhr in der Zeitzone, in dem sich der Großteil Ihrer Benutzer befindet, dass das Modul einen Tag mit normalem Datenverkehr analysieren kann.

Konfigurieren der automatisierten Bedrohungserkennung für verdächtige Domains

Dieses Verfahren enthält die Schritte zum Konfigurieren eines „Suspicious Domains“-Moduls für ESA Analytics für die automatisierte Bedrohungserkennung. ESA Analytics-Module wie „Suspicious Domains“ gelten als vorkonfiguriert, da Sie nicht manuell ESA-Regeln für sie erstellen müssen.

Die erforderlichen grundlegenden Schritte sind:

  1. Konfigurieren der Protokolleinstellungen (nur für Protokolle). Bevor Sie die automatisierte Bedrohungserkennung für Protokolle verwenden können, müssen Sie verschiedene Einstellungen konfigurieren. Überspringen Sie diesen Schritt, wenn Sie vorhaben, die automatisierte Bedrohungserkennung für Pakete zu verwenden.
  2. Eine Whitelist (optional) mithilfe des Service „Context Hub“ erstellen. Durch das Erstellen einer Whitelist können Sie sicherstellen, dass häufig verwendete Websites von der Bewertung durch die automatisierten Bedrohungserkennung ausgenommen sind.
  3. Konfigurieren des Whois-Abfrageservice. Mit dem Service „Whois“ können Sie präzise Daten über Domains erhalten, mit denen Sie sich verbinden. Es ist wichtig, dass Sie den Whois-Abfrageservice konfigurieren, um eine effektive Bewertung zu ermöglichen. Stellen Sie sicher, dass der Whois-Service aus Ihrer Umgebung erreichbar ist.
  4. Ordnen Sie Datenquellen ESA Analytics-Modulen zu. Sie legen fest, wie die automatisierte Bedrohungserkennung von NetWitness Suite Advanced Threats automatisch erkennen soll, indem Sie ein vorkonfigurierten ESA Analytics-Modul mehreren Datenquellen, z. B. Concentrators, und einem ESA Analytics-Service zuordnen.
  5. Stellen Sie sicher, dass die C2-Incident-Regel aktiviert ist, und überwachen Sie sie auf Aktivität. Nach der Zuordnung Ihres „Suspicous Domains“-Moduls muss etwas zeit vergehen, bis der Bewertungsalgorithmus angelaufen ist. Stellen Sie nach der Anlaufphase sicher, dass die C2-Regel in den Incident-Regeln aktiviert ist, und überwachen Sie, ob die Regel ausgelöst wird. 
  6. Stellen Sie sicher, das die Incident-Regeln richtig konfiguriert sind. Wenn Sie in der Ansicht „Reagieren“ Incidents anzeigen, ist es hilfreich, wenn die Incidents nach „Verdächtige C&C“ gruppiert sind.

Schritt 1: (Nur für Protokolle) Konfigurieren der Protokolleinstellungen

Konfigurieren Sie die automatisierte Bedrohungserkennung für Protokolle, indem Sie einige zusätzliche Konfigurationsschritte ausführen:

  • Stellen Sie sicher, dass die unterstützten Parser für Ihren Log Decoder aktiviert sind.
  • Rufen Sie die aktuellen Versionen des entsprechenden Webproxy-Parser von RSA Live ab.
  • Aktualisieren Sie die Zuordnung für die enVision-Konfigurationsdatei. Diese Datei ist erforderlich, um den Log Decoder zu aktualisieren, sodass er mit den neuen, über den Parser verfügbaren Metadaten arbeiten kann.
  • Stellen Sie sicher, dass die Datei „table-map.xml“ korrekt aktualisiert wurde.
  • Stellen Sie sicher, dass die Indizes korrekt aktualisiert wurden.

So überprüfen Sie, ob die Parser in Ihrem Log Decoder ausgeführt werden:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie einen Log Decoder und anschließend Actions icon > Ansicht > Konfiguration
    aus.
    Im Abschnitt „Serviceparserkonfiguration“ wird eine Liste der aktivierten Parser angezeigt.
  3. Stellen Sie sicher, dass der entsprechende Webproxy-Parser aktiviert ist.

Log Decoder Configuration for Parsers

So erhalten Sie die aktuellen Parser von RSA Live:

  1. Navigieren Sie zu Konfigurieren > Live-Inhalte.
  2. Geben Sie einen Suchbegriff für einen der unterstützten Webproxy-Parser ein.
  3. Wählen Sie den passenden Webproxy-Parser aus [zum Beispiel Blue Coat ELFF (cacheflowelff)].
  4. Hinweis: Sie sollten die Protokollierung so konfiguriert haben, dass sie korrekt auf dem Webproxy-Parser ausgeführt wird.

  5. Klicken Sie auf Bereitstellen.
    Der Bereitstellungsassistent wird geöffnet.
    Deployment Wizard
  6. Wählen Sie unter Services den Log Decoder als Service aus.
  7. Klicken Sie auf Bereitstellen, um den Parser auf Ihrem Log Decoder bereitzustellen.

So erhalten Sie die aktuelle enVision-Konfigurationsdatei:

  1. Navigieren Sie zu Konfigurieren > Live-Inhalte.

  2. Geben Sie enVision als Schlüsselwort für die Suche ein.
  3. Wählen Sie die aktuelle enVision-Konfigurationsdatei aus und klicken Sie auf Bereitstellen.
    Live showing Envision Configuration File
  4. Wählen Sie im Bereitstellungsassistenten unter Services Ihren Log Decoder aus.
  5. Klicken Sie auf Bereitstellen, um die enVision-Konfigurationsdatei auf dem Log Decoder bereitzustellen.

So überprüfen Sie, ob die enVision-Konfigurationsdatei korrekt aktualisiert wurde:

  1. Gehen Sie zu ADMIN > Services, wählen Sie einen Log Decoder aus und wählen Sie dann Actions icon > Ansicht > Konfiguration > Dateien aus.
    Sie sehen die Datei table-map.xml. Diese Datei wird geändert, wenn Sie die enVision-Konfigurationsdatei aktualisieren.
  2. Suchen Sie nach event.time. Das Feld sollte nun "event.time" Flags = "None" enthalten. Das bedeutet, dass die „event.time“-Metadaten jetzt in der Zuordnung enthalten sind. Auf ähnliche Weise sollte der FQDN-Flag auf „None“ festgelegt werden.

So überprüfen Sie, ob die Indizes für die Datei „index-concentrator.xml“ aktualisiert wurden:

Sie müssen sicherstellen, dass die Datei index-concentrator.xml die „event.time“- und die FQDN-Metadaten enthält.

  1. Navigieren Sie zu ADMIN > Services, wählen Sie Ihren Concentrator aus und navigieren Sie dann dazu Actions icon > Ansicht > Konfiguration
  2. Suchen Sie auf der Registerkarte „Dateien“ nach der Datei index-concentrator.xml.
  3. Stellen Sie sicher, dass der folgende Eintrag in der Datei „index-concentrator.xml“ vorhanden ist. Wenn dies nicht der Fall ist, müssen Sie sicherstellen, dass Ihr Concentrator auf die richtige Version aktualisiert wurde:

<key description="FQDN" level="IndexValues" name="fqdn" format="Text" valueMax="100000" defaultAction="Open"/><key description="Event Time" format="TimeT" level="IndexValues" name="event.time" valueMax="0" />

Custom Index

Schritt 2: Erstellen Sie eine Domain-Whitelist (Optional)

Dieses Verfahren wird bei der Arbeit mit der automatisierten Bedrohungserkennung verwendet, um sicherzustellen, dass bestimmte Domains keine Bedrohungsbewertung auslösen. Manchmal kann eine Domain, auf die Sie regelmäßig zugreifen, eine Bewertung durch die automatisierte Bedrohungserkennung auslösen. Beispielsweise könnte ein Wetterdienst ein ähnliches Beaconing-Verhalten zeigen wie eine Befehl-und-Kontrolle-Kommunikation und so eine nicht gerechtfertigte negative Bewertung auslösen. Eine solche Bewertung wird als falsch positiv bezeichnet. Sie können das Auslösen einer falsch positiven Bewertung verhindern, indem Sie die Domain einer Whitelist hinzufügen. Die meisten Domains müssen nicht einer Whitelist hinzugefügt werden, da die Lösung nur bei sehr verdächtigem Verhalten eine Warnmeldung ausgibt. Die Domains, die möglicherweise einer Whitelist hinzugefügt werden sollten, sind gültige automatisierte Services, mit denen sich nicht viele Hosts verbinden.

Hinweis: Bei Migrationen ab Version 10.6.x gilt: Wenn Ihre vorherige Whitelist für die automatisierte Bedrohungserkennung (Domains auf weißer Liste) auf der Registerkarte „Listen“ angezeigt wird, können Sie sie in domains_whitelist umbenennen, um sie für die „Suspicious Domains“-Module zu verwenden.

  1. Erstellen Sie eine Whitelist für Domains in Context Hub mit dem Namen domains_whitelist:
    1. Navigieren Sie zu ADMIN > Services, wählen Sie den Context Hub Server-Service aus und gehen Sie dann zu Ansicht > Konfiguration > Registerkarte „Listen“.
      Auf der Registerkarte „Listen“ werden die aktuellen Listen in Context Hub angezeigt.
      Context Hub Server service View > Config > Lists tab
    2. Klicken Sie im Bereich „Listen“ auf Add icon, um eine Liste hinzuzufügen. Geben Sie im Feld Listenname domains_whitelist ein. Sie müssen diesen Namen verwenden, damit er vom Modul erkannt wird.
      List tab showing domains_whitelist created
  2. Fügen Sie der Liste manuell Domains hinzu oder importieren Sie eine CSV-Datei, die eine Liste von Domains enthält.
    Sie können vollständige Domains eingeben oder einen Platzhalter verwenden, um alle Subdomains für eine bestimmte Domain einzuschließen. Beispielsweise können Sie „*.gov“ eingeben, um alle IP-Adressen von Regierungsbehörden einer Whitelist hinzuzufügen. Sie können jedoch keine anderen Regex-Funktionen wie [a-z]*.gov verwenden. Das liegt daran, dass *.gov eine vollständige Zeichenfolge wie z. B. www.irs.gov ersetzt.
    1. Kicken Sie zum manuellen Hinzufügen von Domains im Abschnitt Listenwerte auf Add icon, um Domains hinzuzufügen.
    2. Wählen Sie die Domain aus und klicken Sie auf Delete icon, um eine Domain zu entfernen.
    3. Klicken Sie zum Importieren einer CSV-Datei im Abschnitt Listenwerte auf Import icon und navigieren Sie im Dialogfeld Listenwerte importieren zur CSV-Datei. Wählen Sie eines der folgenden Trennzeichen aus: Komma, LF (Zeilenvorschub) und CR (Wagenrücklauf), je nachdem, wie Sie die Werte in Ihrer Datei getrennt haben. Klicken Sie auf Hochladen
  3. Klicken Sie auf Speichern.
    Die Whitelist domains_whitelist wird im Bereich „Listen“ angezeigt. Analysten können dieser Liste in der Ansicht „Reagieren“ und in anderen Bereichen von „Untersuchen“ Domains hinzufügen. Im Context Hub-Konfigurationsleitfaden finden Sie zusätzliche Informationen.

Schritt 3: Konfigurieren des Whois-Abfrageservice

Siehe „Konfigurieren des Whois-Abfrageservice“ im ESA-Konfigurationsleitfaden.

Schritt 4: Zuordnen von Datenquellen zu ESA Analytics-Modulen

Weitere Informationen finden Sie im Thema „Zuordnen von ESA-Datenquellen zu Analytics-Modulen“ im ESA-Konfigurationsleitfaden.

Schritt 5: Überprüfen, ob die Regel „Verdacht auf Befehl-und-Kontrolle-Kommunikation von Domain“ aktiviert ist, und Überwachen der Regel

Überprüfen Sie die Regel „Verdacht auf Befehl-und-Kontrolle-Kommunikation von Domain“ in den Incident-Regeln.

  1. Navigieren Sie zu Konfigurieren > Incident-Regeln > Aggregationsregeln.
  2. Wählen Sie die Regel Verdacht auf Befehl-und-Kontrolle-Kommunikation von Domain aus und doppelklicken Sie darauf, um sie zu öffnen.
    Enable Incident Rule
  1. Überprüfen Sie, ob Aktiviert ausgewählt ist.

Wenn sie aktiviert ist, zeigt die Regel eine grüne „Aktiviert“-Schaltfläche an.

Ergebnis

Nach der Bereitstellung der Zuordnung des „Suspicious Domains“-Moduls von ESA Analytics für die automatisierte Bedrohungserkennung beginnt ESA damit, den HTTP-Datenverkehr zu analysieren. Sie können in der Ansicht „Reagieren“ detaillierte Informationen für jeden Incident anzeigen.

Schritt 6: Überprüfen, ob der Incident nach verdächtigem C&C gruppiert ist

Sie können Incidents in der Ansicht „Reagieren“ korrekt gruppieren, indem Sie die Bedingung „Gruppieren nach“ auf „Domain“ festlegen.

  1. Navigieren Sie zu Konfigurieren > Incident-Regeln > Aggregationsregeln.
  2. Wählen Sie die Regel Verdacht auf Befehl-und-Kontrolle-Kommunikation von Domain aus und doppelklicken Sie darauf, um sie zu öffnen. 
  3. Überprüfen Sie, ob das Feld Gruppieren nach auf Domain festgelegt ist.

    Dadurch werden Warnmeldungen aggregiert und es werden Incidents für „Verdächtige C&C“ erstellt.

Nächste Schritte

Überwachen Sie die Ansicht „Reagieren“, um festzustellen, ob die Regel ausgelöst wird. Im NetWitness Respond-Benutzerhandbuch finden Sie zusätzliche Informationen.

You are here
Table of Contents > Konfigurieren der automatisierten Bedrohungserkennung für verdächtige Domains

Attachments

    Outcomes