Fünf Angriffsmuster, die im SOC nicht im Alarmrauschen untergehen sollten
Security-Operations-Center-(SOC)-Teams müssen aus einer Flut an Alarmen diejenigen herausfiltern, die auf konkrete Angriffsmuster hindeuten – etwa verdächtige Anmeldungen, frühe Ransomware-Aktivitäten oder Command-and-Control-Kommunikation. Dafür reicht es nicht aus, einzelne Ereignisse isoliert zu betrachten: Erst durch Korrelation, Kontextinformationen und eine nachvollziehbare Priorisierung wird sichtbar, welche Alarme besondere Aufmerksamkeit verdienen.
Advertorial
Log360 Cloud von ManageEngine unterstützt Analysten dabei, solche Zusammenhänge schneller einzuordnen. Fünf typische Angriffsmuster zeigen, worauf es dabei ankommt.
Die neue Detection Engine von Log360 Cloud bündelt Standardregeln, Anomalie-Erkennungen und erweiterte Regeln in einer zentralen Ansicht. So können Analysten verschiedene Detection-Ansätze an einer Stelle verwalten, prüfen und bei Bedarf anpassen. Mehr als 2.000 vordefinierte Regeln decken unter anderem Insider-Aktivitäten, Malware-Verhalten, externe Bedrohungen und Identitätsmissbrauch ab. Die Erkennungslogiken werden dabei kontinuierlich um neu auftretende Verhaltensmuster erweitert.
Kontextinformationen zu jeder Regel wie Schweregrad, MITRE-ATT&CKZuordnungen, Tags und Erkennungshistorie helfen dabei, Alarme schneller einzuordnen und zu priorisieren. Die Regeln lassen sich zusätzlich über einen geführten Builder, per Query Grammar oder mithilfe von Ausnahmen an die eigene Umgebung anpassen, um irrelevantes Rauschen zu reduzieren.
Filter für Active-Directory-Objekte helfen, sich auf besonders wichtige Benutzer, Gruppen und Organisationseinheiten zu fokussieren. Tuning-Insights zeigen darüber hinaus, wo Optimierungspotenzial besteht. In der Praxis wird dieser Kontext insbesondere dann wichtig, wenn Aktivitäten erst im Zusammenspiel ein klares Risiko erkennen lassen – wie bei den folgenden Angriffsmustern.
„Impossible Travel“
„Impossible Travel“ ist ein typisches Anzeichen für kompromittierte Zugangsdaten: Dabei kommt es innerhalb kurzer Zeit zu Log-ins aus weit voneinander entfernten Regionen, die geografisch nicht plausibel sind. Log360 Cloud erkennt dieses Muster durch die Korrelation von Anmeldeaktivitäten aus Microsoft 365, Azure AD, Active Directory und VPN-Protokollen.
Registriert die Lösung innerhalb kurzer Zeit erfolgreiche Log-ins von geografisch weit entfernten Standorten, markiert sie das Verhalten als Anomalie. Analysten sehen unter anderem Herkunft, Entfernung, IPAdressen und MFA-Verhalten der jeweiligen Anmeldungen. So lassen sich kompromittierte Konten schneller einordnen, bevor sie für weitere Angriffe genutzt werden.
Erkennung von Ransomware-Mustern
Ransomware wird oft schon vor der Verschlüsselung sichtbar: Die Malware durchsucht Verzeichnisse, testet Zugriffsrechte und führt in kurzer Zeit viele Lese-, Schreib-, Änderungs- oder Löschvorgänge aus. Diese Aktivitäten dauern oft nur wenige Minuten und führen zu ungewöhnlichen Spitzen bei den Dateizugriffen.
Log360 Cloud überwacht Windows-Dateizugriffsereignisse und erkennt ungewöhnliche Abweichungen von etablierten Verhaltens-Baselines. Treten schnelle Änderungen über mehrere Verzeichnisse hinweg auf oder ähneln die Aktivitäten bekannten Ransomware-Mustern, wird das Verhalten als verdächtig markiert. Die Grundlage dafür liefern vordefinierte Regeln, die Analysten bei Bedarf an die Größe, Struktur und typischen Abläufe ihrer Umgebung anpassen können.
Command-and-Control-Aktivität
Command-and-Control-Kommunikation (kurz C2) ist ein deutliches Anzeichen dafür, dass ein Angreifer nach dem Erstzugriff versucht, die Kontrolle über ein kompromittiertes System aufrechtzuerhalten. Typischerweise baut der betroffene Host eine ausgehende Verbindung zu einer vom Angreifer kontrollierten Infrastruktur auf und kommuniziert anschließend regelmäßig über diesen Kanal. Der Angreifer kann so Remote-Befehle übermitteln, sich lateral bewegen oder eine Datenexfiltration vorbereiten.
Um das zu erkennen, korreliert Log360 Cloud verdächtige Prozessausführungen, unbekannte Child-Prozesse und Persistenz-Artefakte auf dem Host mit auffälligen ausgehenden Verbindungen in Netzwerkprotokollen. Dazu zählen selten genutzte externe IP-Adressen oder Ports, Beacon-ähnlicher Datenverkehr und verschlüsselte Verbindungen, die vom normalen Serververhalten abweichen. Treffen mehrere dieser Hinweise zusammen, weist die Lösung auf einen möglichen aktiven C2-Kanal hin.
Anschließend können Analysten den betroffenen Host identifizieren, die kontaktierten Ziele prüfen und den Aktivitätsverlauf nachvollziehen. So lässt sich bewerten, ob sich die Kompromittierung bereits ausgebreitet hat und welche Maßnahmen erforderlich sind – etwa Isolation des Systems, Blockierung der C2-Infrastruktur oder Entfernung von Persistenzmechanismen.
Privilege Escalation unter Windows und Linux
Privilege Escalation ist häufig der nächste Schritt nach dem Erstzugriff: Angreifer versuchen, administrative Kontrolle zu erlangen, Tools auszuführen oder sich lateral im Netzwerk zu bewegen. Unter Windows und Linux hinterlassen solche Aktivitäten typische Spuren – etwa ungewöhnliche Registry-Änderungen, verdächtige Prozessstarts, PowerShell-Ausführungen oder auffällige sudo-Aktivitäten.
Log360 Cloud korreliert diese Ereignisse mit den jüngsten Benutzeraktivitäten, um Abweichungen vom üblichen Verhalten sichtbar zu machen. MITRE-ATT&CK-Zuordnungen in den Regelmetadaten helfen Analysten, die Taktik einzuordnen und das Risiko schneller zu bewerten.
Port-Scanning auf einem kritischen Windows-Server
Port-Scanning ist ein typischer Reconnaissance-Schritt nach dem Eindringen in ein Netzwerk. Angreifer prüfen mehrere Ports auf einem kritischen Windows-Server, um potenziell ausnutzbare Dienste zu identifizieren und mögliche Ansatzpunkte für laterale Bewegungen oder eine weitergehende Kompromittierung zu finden.
Log360 Cloud erkennt solche Muster durch die Korrelation von Windows- Firewall- oder WFP-Logs mit auffälligen Netzwerkaktivitäten. Besonders hilfreich ist dabei die Event-ID 5157, die blockierte Verbindungsversuche in der Windows-Firewall protokolliert. Spricht eine einzelne Quell-IP innerhalb kurzer Zeit viele Ziel-Ports an und weicht dieses Verhalten von der Baseline des Servers ab, markiert die Lösung die Aktivität als mögliches Scanning.
Fazit: Kontext statt Alarmrauschen
Die präzise Priorisierung von Alarmen entsteht nicht durch möglichst viele Regeln, sondern durch den richtigen Kontext. Erst wenn Ereignisse korreliert, mit Baselines abgeglichen und nachvollziehbar bewertet werden, lassen sich relevante Angriffsmuster zuverlässig vom Alarmrauschen unterscheiden.
Log360 Cloud unterstützt SOC-Teams dabei, solche Zusammenhänge schneller sichtbar zu machen – mit zentral verwalteten Regeln, Kontextinformationen, Tuning-Möglichkeiten und kontinuierlich aktualisierten Detection-Logiken. So lassen sich False Positives reduzieren, Untersuchungen klarer strukturieren und Alarme stärker an tatsächlichen Risiken ausrichten.
Testen Sie den kompletten Funktionsumfang von Log360 30 Tage lang kostenlos:
Kontakt:
Vertrieb und deutschsprachiger Support
MicroNova AG
Unterfeldring 6
85256 Vierkirchen
Tel.: +49 8139 9300-456
www.ManageEngine.de
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
