Sicherheit im Active Directory: Angriffsspuren in Windows-Netzen analysieren
Wir erklären anhand einer Windows-Domäne, wie das Aufspüren typischer Angriffsmuster in Logs mithilfe frei verfügbarer Regeln funktioniert.
- Fabian Murer
- Gregor Wegberg
Für das Erkennen von Angriffen ist der sicherheitsrelevante Teil des Windows-Ereignisprotokolls, das Windows-Sicherheitsereignisprotokoll der Windows Domain Controller (DC), eine reichhaltige Informationsquelle. In ihm hält jeder Domänencontroller unter anderem erfolgreiche und fehlgeschlagene Anmeldeversuche fest. Große Unternehmen leiten solche Protokollereignisse an ein SIEM-System (Security Information and Event Management) weiter. Es sammelt sicherheitsrelevante Protokolle zentral, schützt sie vor unautorisierten Änderungen und erlaubt die effiziente Suche in den Ereignissen sowie deren Auswertung. Mit gezielten Abfragen wird in den gesammelten Daten nach unerwünschtem Verhalten gesucht.
Diese Suchabfragen sind vergleichbar mit einem SQL SELECT für die Abfrage von Daten aus einer relationalen Datenbank. Eine solche Abfrage kann beispielsweise die Suche nach erfolglosen Anmeldeversuchen mit unterschiedlichen Nutzerkonten sein, die alle vom selben Gerät stammen. Das weist auf ein potenziell infiziertes Gerät hin, das dazu genutzt wird, sich unerlaubten Zugang zu Nutzerkonten zu verschaffen, zum Beispiel mit einem Password-Spraying-Angriff.
Unternehmen, die eine proaktive und fortlaufende Suche nach Angriffen anstreben, werden solche und andere Angriffsmuster mit Suchabfragen beschreiben und als Alarm im SIEM einrichten. Findet das SIEM während der Verarbeitung von Protokolldaten eine Übereinstimmung, löst es den Alarm aus.
Immer mehr Wissen. Das digitale Abo für IT und Technik.
Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.
Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden
Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant
Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert
Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest
Boox Note Air3 C im Test: Hybrid-Tablet mit farbigem E-Paper-Display
Immer mehr Wissen. Das digitale Abo für IT und Technik.
Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.
Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden
Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant
Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert
Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest