Zum Inhalt

Erkennungen generieren (NDR)

Sie können Test-Erkennungen generieren, um zu überprüfen, ob Sophos NDR richtig eingerichtet und funktioniert.

Der Test ist nicht schädlich. Er löst eine Erkennung aus, indem ein Ereignis simuliert wird, das typische Merkmale eines Angriffs aufweist. Das Ereignis ist ein Client, der eine Datei von einem Server mit verdächtigen Domänen- und Zertifikatdetails herunterlädt.

Sie können den Test über Appliance Manager ausführen.

Voraussetzungen

Stellen Sie sicher, dass Appliance Manager auf unseren Testserver zugreifen kann. Konfigurieren Sie Ihre Firewall so, dass TCP-Datenverkehr an diese Domäne und IP-Adresse zugelassen wird:

  • Domäne: plrqkxqwvmtkm.xyz
  • IP-Adresse: 13.56.99.184
  • Port: 2222

Stellen Sie sicher, dass Sie den Netzwerkverkehr in die aktuelle Konfiguration der Portspiegelung einbezogen haben. Hilfe finden Sie auf den NDR-Einrichtungsseiten unter Sophos-Integrationen.

Erkennung generieren

Hinweis

Sie müssen von einem Gerät auf Appliance Manager zugreifen, das sich im selben Netzwerk wie Sophos NDR befindet.

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Konfiguriert.
  2. Klicken Sie auf den Tab Integrations-Appliances.

    Liste der Integrations-Appliances.

  3. Suchen Sie die Appliance. Klicken Sie in der rechten Spalte auf die drei Punkte und wählen Sie Appliance Manager öffnen aus.

    Im Menü „Aktionen“ wird „Appliance Manager öffnen“ angezeigt.

  4. Klicken Sie im Bestätigungsdialog auf Öffnen.

    Bestätigungsdialog zum Öffnen von Appliance Manager.

  5. Geben Sie auf dem Anmeldebildschirm den Benutzernamen zadmin und Ihr Kennwort ein.

    Anmeldebildschirm Appliance Manager.

  6. Wählen Sie im Appliance Manager die Option Erkennungen generieren.

  7. Klicken Sie auf der Seite NDR-Erkennungen generieren auf Erkennungen generieren.

    Seite „NDR-Erkennungen generieren“.

  8. Wenn eine Meldung angezeigt wird, die bestätigt, dass eine Erkennung generiert wird, klicken Sie auf OK und warten Sie zehn Minuten.

  9. Wechseln Sie wieder zu Sophos Central.
  10. Gehen Sie zu Bedrohungsanalyse-Center > Erkennungen.

  11. Auf der Seite Erkennungen sollte eine aktuelle Erkennung mit hohem Risiko NDR-DET-TEST-IDS-SCORE in der Liste angezeigt werden.

    Erkennungsseite.

  12. Klicken Sie auf NDR-DET-TEST-IDS-SCORE, um die zugehörigen Details zu öffnen.

    Die Beschreibung zeigt eine Quell- und Ziel-IP, die über TCP und TLS auf Port 2222 kommunizieren. Außerdem wird IDS (Intrusion Detection System) als Hauptverantwortlicher für die Erkennung angezeigt. IDS ist eine Liste blockierter Zertifikate.

    Erkennungs-Details.

  13. Klicken Sie auf den Tab Rohdaten. Der Abschnitt flow_risk zeigt folgende Details:

    • Bekanntes Protokoll auf einem nicht standardmäßigen Port
    • Selbstsigniertes Zertifikat
    • Ungewöhnliche Application Layer Protocol Negotiation (ALPN)
    • Zertifikat auf Blockliste
    • Hohe Wahrscheinlichkeit, dass die Serverdomäne durch Algorithmus (DGA) generiert wird
    • Hinweise auf eine Bedrohung der Familie „Friendly Chameleon“.

    Erkennung von Rohdaten.

Informationen zum Generieren einer NDR-Erkennung über die Befehlszeilenschnittstelle finden Sie unter NDR-Erkennungen über die Befehlszeilenschnittstelle generieren.