Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/mdr/help/de-de/index.html?contextId=terms

Fälle, Threat Hunts und weitere wichtige Begriffe

Unser Hauptziel besteht in der Erkennung und Analyse potenziell schädlicher Aktivitäten in Ihrer Umgebung. Dabei bedienen wir uns der beiden folgenden Methoden: 1) Analyse von Erkennungen und 2) von Analysten geleitete Bedrohungssuche.

Wenn Erkennungen oder Aktivitäten näher untersucht werden müssen, legen wir einen Fall an und führen eine umfassende Analyse durch (nähere Informationen zu diesem Thema finden Sie weiter unten).

Hinweis

Dabei informieren wir Sie nur über Fälle, bei denen Sie tätig werden müssen.

Eine Definition zu den Begriffen:

  • Erkennungen: Technologiegenerierte Aktivitätsindikatoren, die auf der Grundlage ihres Bedrohungspotenzials gewichtet und klassifiziert werden. In den meisten Fällen sind diese Datenpunkte rein informativ und es wird kein gesonderter Fall erstellt. Zu den Erkennungen gehören häufig Elemente wie Befehlsausführungen, offene Netzwerksockets, Authentifizierungs-Ereignisse und laufende Anwendungen.
  • Threats: Bestätigte Indikatoren für Angriffe (IoA) oder Kompromittierungen (IoC), die in einem Kunden-Netzwerk beobachtet wurden
  • Fälle: Unabhängig davon, ob es sich um eine erkennungsgesteuerte oder manuell erstellte Erkennung handelt, werden Fälle untersucht, um festzustellen, ob es sich um eine echte Bedrohung handelt und ob schädliche Aktivitäten stattfinden
  • Eskalationen: Fälle, die ohne das Zutun des Kunden nicht von uns bearbeitet werden können
  • Vorfälle: Als schädlich bestätigte Aktivitäten, auf die sofort reagiert werden muss

Fallschweregrad-Klassifizierungsmatrix

Schweregrad Definition
Kritisch Eine bestätigte Kompromittierung oder ein nicht autorisierter Zugriff auf ein oder mehrere Systeme, welche eine unmittelbare Bedrohung für Kunden-/MSP-Assets darstellen, wie zum Beispiel interaktive Angreifer, Datenverschlüsselung, Datenvernichtung oder Datenausschleusung.
Hoch Erkennungen, die auf einen gezielten Angriff hinweisen, der geeignet ist, zu einer bestätigten Kompromittierung oder einem nicht autorisierter Zugriff auf ein oder mehrere Systeme zu führen, welche eine unmittelbare Bedrohung für Kunden-/MSP-Assets darstellen.
Mittel Erkennungen, die von sich aus nicht als bösartig angesehen werden können und die nicht erkennbar gezielt sind.
Niedrig Erkennungen, die nicht auf Integritätsverletzungen, bösartige Aktivitäten, eine bestätigte Kompromittierung oder einen nicht autorisierten Zugriff auf ein oder mehrere Systeme hinweisen.
Informativ Ein spezieller Schweregrad für die erstmaligen Integritätsprüfungen.

Methodik unserer Bedrohungsanalysen

Was meinen wir eigentlich genau, wenn wir von Analysen durch unsere Experten sprechen?

Unsere Sicherheitsanalysten folgen bei der Bearbeitung von Fällen einem Rahmenwerk mit klar definierten Strukturen und Prozessen. So erstellen unsere MDR-Ops-Experten Angriffskonzepte, anhand derer sie – sofern genügend qualitativ hochwertige Daten vorhanden sind – schädliche Aktivitäten in der Kundenumgebung ermitteln können. Wir richten uns dabei nach der sogenannten OODA-Loop, einer Entscheidungsschleife, die bei neuen Ereignissen immer wieder durchlaufen wird. (OODA steht für „Observe“ [Beobachten] „Orient“ [Orientieren], „Decide“ [Entscheiden] und „Act“ [Handeln]).

Analyse-Framework.

  1. In der Beobachtungsphase wählen Analysten wichtige Datenpunkte aus, die dabei helfen, eine logische Beschreibung der Aktivität zu erstellen, bei der jeder ausgewählte Datenpunkt das Potenzial hat, auf schädliche Aktivitäten hinzuweisen.
  2. In der Orientierungsphase validieren Analysten ihre Beobachtungen. Dabei werden die Datenpunkte mit der MITRE-ATT&CK-Matrix und der Cyber Kill Chain abgeglichen. Natürlich fließt dabei auch das Know-how unserer Analysten mit ein. Wenn genügend beobachtbare Elemente als Indikatoren übernommen wurden, entsteht ein Angriffskonzept.
  3. Während der Entscheidungsphase durchläuft der Analyst die Datenpunkte und entscheidet, ob die Aktivität seiner Meinung nach schädlich ist.
  4. Die Handlungen des Analysten in der „Act“-Phase orientieren sich an den Analyseergebnissen. Wenn nicht genug Informationen zur Beantwortung der Fragen in der „Decide“-Phase vorliegen, wird ein neuer OODA-Loop eingeleitet. Hierbei bilden die im Vorfeld ermittelten Indikatoren die neue Grundlage für die Analyse.

Bedrohungssuche

Threat Hunting ist einer dieser Begriffe im Bereich der Sicherheit, der häufig verwendet wird. Viele verstehen jedoch nicht, was es wirklich bedeutet (und trauen sich nicht, nachzufragen). Fangen wir mit der Definition an.

  • Threat Hunting

    Von Menschen durchgeführte Analyse kausaler und angrenzender Ereignisse (schwache Signale), um neue „Indicators of Attack (IoA)“ und „Indicators of Compromise (IoC)“ zu enttarnen, die mit vorhandenen Tools bislang nicht erkannt oder abgewehrt werden können.

Bei einem Threat Hunt suchen Analysten manuell gezielt nach Angriffen, zu denen Tools keine Warnmeldungen ausgeben oder die maschinell nicht auffindbar sind. Es gibt unterschiedliche Vorgehensweisen beim Threat Hunting.

Automatisches Threat Hunting stützt sich auf Automatisierung und/oder Machine Learning zum Auffinden von Hinweisen auf schädliche Aktivitäten, die unter Umständen von Bedrohungsexperten weiter analysiert werden müssen. Viele Anbieter sprechen in diesem Zusammenhang zwar von „Managed Threat Hunting“, es handelt sich hierbei jedoch eigentlich um programmgesteuertes Threat Hunting, das von der Sophos MDR-Plattform vorgenommen wird.

Das Threat Hunting von Sophos umfasst die manuelle (von Menschen durchgeführte) Ermittlung und Analyse von Ereignissen und Aktivitäten, zu denen Tools keine Warnmeldungen ausgeben, die jedoch auf bisher unbekanntes Angriffsverhalten hinweisen könnten.

Außerdem kombinieren wir mit Hilfe von Data Science, Threat Intelligence und der Expertise erfahrener Bedrohungsexperten verschiedene Informationen (Unternehmensprofil, hochwertige Assets und Benutzer mit hohem Risiko), um das Verhalten von neuen Angreifern vorherzusagen und die „Detection and Response“-Fähigkeit zu überprüfen.

Dabei darf man nicht vergessen, dass Threat Hunting ein hohes Maß an kritischem und kreativem Denken erfordert. Viele halten Threat Hunting und die Cybersecurity im Allgemeinen für eine rein analytische Disziplin. In Wirklichkeit steckt in Security Operations jedoch nicht nur reine Wissenschaft, sondern auch Kunst und Kreativität.